Nordkoreanske hackere sto for 76 % av alle kryptotap fra hacking frem til april, ifølge TRM Labs.
Rapporten avdekket at hackere fra to forskjellige grupper stjal omtrent $ 577 millioner gjennom to angrep i 2026.
2 nordkoreanske ran sto for 76 % av kryptotapene fra hacking i 2026
Drift Protocol-hacket og KelpDAO bridge-angrepet skjedde i samme måned. Samlet utgjorde de kun 3 % av årets registrerte hendelser, men sto for hoveddelen av den stjålne verdien. Begge disse hackene tilskrives nordkoreanske aktører.
“Nordkoreanske hackinggrupper sto for 76 % av alle kryptotap fra hacking i 2026 frem til april — ikke fordi Nord-Korea satte i gang en bølge med angrep, men fordi to angrep på totalt $ 577 millioner overskygget alt annet,” skrev TRM Labs.
Drift-hacket 1. april kostet den Solana-baserte perpetual exchange-plattformen $ 285 millioner. I en oppfølgingsrapport opplyste Drift-teamet at angrepet var resultatet av en seks måneder lang etterretningsoperasjon knyttet til nordkoreanske aktører. Virkningen strakte seg langt utover Drift og påvirket flere protokoller.
Solana-plattformen Carrot var blant de berørte. Teamet kunngjorde at de stenger ned 30. april. Carrot har satt 14. mai som siste frist for brukere til å ta ut gjenværende saldo fra Boost-, Turbo- og CRT-posisjoner før tvangsavvikling starter.
Følg oss på X for å få de siste nyhetene i sanntid
Samtidig, 18. april, tappet angripere 116 500 rsETH, verdt om lag $ 292 millioner, fra KelpDAOs cross-chain bridge. Dette er årets største DeFi-angrep så langt.
Undersøkelser tydet på at Lazarus-gruppens TraderTraitor mest sannsynlig sto bak angrepet. Ettervirkningene spredte seg videre i markedet. Både Aave og DeFi TVL falt kraftig etter angrepet.
Nord-Koreas andel av kryptotyveri fortsetter å øke
Nordkoreanske grupper har blitt den dominerende aktøren innen kryptotyveri. De stjal minst $ 2,02 milliarder i digitale aktiva bare i løpet av 2025.
Deres andel av de totale tapene ved hacking har økt kraftig de siste årene. Tallet lå under 10 % i 2020 og 2021, økte til 22 % i 2022, og nådde deretter 37 %, 39 % og 64 % de påfølgende årene. 76 % frem til april 2026 er det høyeste nivået som er målt.
TRM-analytikere påpeker at frekvensen av angrep ikke har økt. Pyongyangs ledende hacketeam gjennomfører fortsatt et lavt antall nøye utvalgte operasjoner hvert år, og prioriterer presisjon fremfor volum.
Det som har endret seg, er “sofistikeringen av angrepene”. TRM antyder at nordkoreanske aktører kan integrere AI-verktøy i etterretning og sosial manipulasjon.
“TRM-analytikere har begynt å spekulere i at nordkoreanske aktører tar i bruk AI-verktøy… en utvikling som er i tråd med den økte presisjonen i angrep som Drift, som krevde ukesvis med målrettet manipulering av komplekse blokkjede-mekanismer, i motsetning til Nord-Koreas tradisjonelle fokus på enkle privnøkkel-kompromitteringer,” heter det i rapporten.
Denne utviklingen reiser viktige spørsmål rundt AI-drevne angrepsmuligheter og om kryptoprotokoller klarer å holde tritt med dette nye trusselbildet.
Abonner på vår YouTube-kanal for å se ledere og journalister dele ekspertinnsikt
