ब्लॉकचेन इंटेलिजेंस फर्म टीआरएम लैब्स के अनुसार, उत्तर कोरियाई तत्वों ने 2026 के पहले चार महीनों के दौरान लगभग $577 मिलियन निकाले, जो इस अवधि के दौरान सभी वैश्विक क्रिप्टोकरेंसी हैक हानियों का 76% है।

ये नुकसान अप्रैल की दो घटनाओं से उपजे हैं, जिनमें $292 मिलियन का केल्पडीएओ (KelpDAO) एक्सप्लॉइट और $285 मिलियन का ड्रिफ्ट प्रोटोकॉल (Drift Protocol) हमला शामिल है, जिसके बारे में टीआरएम ने एक रिपोर्ट में कहा कि यह अप्रैल 2026 तक कुल हैक घटनाओं का 3% था। 

रिपोर्ट के अनुसार, ड्रिफ्ट हमला एक उत्तर कोरियाई उपसमूह से आया था जो ट्रेडरट्रेटर (TraderTraitor), एक अच्छी तरह से प्रलेखित लाजरस (Lazarus)-संबद्ध ऑपरेशन से अलग था, हालांकि विशिष्ट पहचान अभी भी जांच के दायरे में है। इसमें कहा गया है कि केल्पडीएओ का उल्लंघन ट्रेडरट्रेटर का काम था। 

टीआरएम टीम ने कहा कि ड्रिफ्ट हैक में उत्तर कोरियाई प्रतिनिधियों और ड्रिफ्ट कर्मचारियों के बीच महीनों की व्यक्तिगत बैठकें शामिल थीं, यह देखते हुए कि हमले की योजना 11 मार्च को ही शुरू हो गई थी, इससे पहले कि हमलावर ने सोलाना (Solana) पर ड्यूरेबल नॉनस (durable nonce) खाते बनाए और ड्रिफ्ट के सुरक्षा परिषद के मल्टीसिग (multisig) हस्ताक्षरकर्ताओं को लेनदेन को पूर्व-अधिकृत करने के लिए प्रेरित किया। 

टीम ने आगे बताया कि हमलावर ने फिर 1 अप्रैल को, ड्रिफ्ट द्वारा अपनी सुरक्षा परिषद को शून्य टाइमलॉक (timelock) के साथ एक नए 2/5 थ्रेशोल्ड (threshold) कॉन्फ़िगरेशन में स्थानांतरित करने के कुछ दिनों बाद, लगभग 12 मिनट तक चलने वाले एक त्वरित निष्पादन चरण में धन निकालने के लिए 31 पूर्व-हस्ताक्षरित निकासी को तैनात किया। बाद में इन निधियों को एथेरियम (Ethereum) पर ब्रिज किया गया, जहां वे तब से बड़े पैमाने पर निष्क्रिय पड़ी हैं।

इस बीच, केल्पडीएओ हमला एक अलग तकनीकी रास्ते पर चला, रिपोर्ट के अनुसार, एक लेयरज़ीरो (LayerZero) ब्रिज में एकल-सत्यापनकर्ता डिज़ाइन का शोषण करके आरपीसी (RPC) इन्फ्रास्ट्रक्चर से समझौता किया और क्रॉस-चेन सत्यापन तर्क में हेरफेर किया। 

टीआरएम ने कहा कि हमलावरों ने सत्यापन को समझौता किए गए नोड्स पर विफल करने के लिए मजबूर करने के बाद लगभग 116,500 rsETH निकाल लिए, जिसके बाद आर्बिट्रम (Arbitrum) पर आंशिक संपत्ति फ्रीज के बाद क्रॉस-चेन इन्फ्रास्ट्रक्चर, जिसमें थॉरचेन (THORChain) भी शामिल है, के माध्यम से मनी लॉन्ड्रिंग की गई।

क्रिप्टो चोरी में उत्तर कोरिया की हिस्सेदारी बढ़ी

टीआरएम टीम ने कहा कि वैश्विक क्रिप्टो हैक हानियों में उत्तर कोरिया की हिस्सेदारी स्थिर होने के बजाय 'तेज' हुई है, जो 2020 और 2021 में 10% से कम से बढ़कर 2022 में 22%, 2023 में 37%, 2024 में 39% और 2025 में 64% हो गई है। 2017 से अब तक कुल चोरी $6 बिलियन से अधिक हो गई है।

फर्म ने 2025 में हुए $1.46 बिलियन के बायबिट (Bybit) उल्लंघन को उत्तर कोरिया की हालिया गतिविधि प्रोफाइल में एक महत्वपूर्ण मोड़ बताया। तब से, टीआरएम ने कहा कि परिचालन तालमेल लगातार बना हुआ है, जिसमें कुलीन समूह पुलों, मल्टीसिग गवर्नेंस सिस्टम और क्रॉस-चेन इन्फ्रास्ट्रक्चर को लक्षित करने वाले कम लेकिन उच्च प्रभाव वाले हमलों को प्राथमिकता दे रहे हैं।

टीआरएम ने कहा कि ड्रिफ्ट और केल्पडीएओ की घटनाएँ मनी लॉन्ड्रिंग के अलग-अलग तरीकों को उजागर करती हैं। ड्रिफ्ट से जुड़ा एक समूह एथेरियम पर प्रारंभिक ब्रिजिंग के बाद परिसंपत्तियों को बड़े पैमाने पर निष्क्रिय छोड़ गया है और शायद 'महीनों या सालों तक आय को रोके रखेगा, और फिर एक संरचित, बहु-चरण कैशआउट निष्पादित करेगा'।”

इस बीच, केल्पडीएओ हमलावरों ने थॉरचेन (THORChain) के माध्यम से क्रॉस-चेन स्वैप के जरिए बिटकॉइन (Bitcoin) में धन को अधिक तेजी से स्थानांतरित किया, जिसमें चल रहे मनी लॉन्ड्रिंग चरण को टीआरएम के अनुसार, उत्तर कोरियाई लोगों के बजाय चीनी बिचौलियों द्वारा बड़े पैमाने पर संभाला गया। 

टीआरएम द्वारा उल्लिखित अनुपालन निगरानी प्राथमिकताओं में समझौता किए गए ब्रिज वातावरण से थॉरचेन-लिंक्ड प्रवाह, ब्रिज इन्फ्रास्ट्रक्चर में मल्टी-हॉप लेनदेन का पता लगाना, और ड्यूरेबल नॉनस (durable nonce) लेनदेन से जुड़े सोलाना गवर्नेंस-संबंधित जमा मार्गों की स्क्रीनिंग शामिल है। 

फर्म ने एक्सचेंजों और डेफी (DeFi) प्रोटोकॉल में बीकन नेटवर्क (Beacon Network) की भागीदारी को भी एक तंत्र के रूप में उजागर किया है ताकि उत्तर कोरिया से जुड़े पते की पहचान होने के बाद क्रॉस-प्लेटफॉर्म अलर्टिंग में तेजी लाई जा सके।