ब्लॉकचेन इंटेलिजेंस फर्म टीआरएम लैब्स की एक नई रिपोर्ट के अनुसार, उत्तर कोरियाई हैकर्स ने इस साल साइबर अपराधियों द्वारा चुराई गई कुल क्रिप्टोकरेंसी का लगभग तीन-चौथाई हिस्सा चुरा लिया है - यह लगातार हमलों के अभियान से नहीं, बल्कि अप्रैल में विकेंद्रीकृत वित्त प्लेटफॉर्मों को निशाना बनाकर दो सटीक रूप से निष्पादित डकैतियों के माध्यम से हुआ है।

यह दो घटनाएं—1 अप्रैल को ड्रिफ्ट प्रोटोकॉल का $285 मिलियन का उल्लंघन और 18 अप्रैल को केल्प डीएओ का $292 मिलियन का शोषण—कुल मिलाकर अप्रैल तक ट्रैक किए गए सभी क्रिप्टो हैक नुकसान का 76% हिस्सा है, हालांकि यह रिकॉर्ड किए गए कुल घटनाओं की संख्या का केवल 3% है।

कुल मिलाकर, टीआरएम लैब्स का अनुमान है कि उत्तर कोरिया से जुड़े हैकर्स ने 2017 से अब तक क्रिप्टो प्रोटोकॉल और परियोजनाओं से $6 बिलियन से अधिक की चोरी की है, जिसमें उद्योग की सबसे खराब डकैतियां भी शामिल हैं।

ये आंकड़े राज्य-संबद्ध उत्तर कोरियाई ऑपरेटिव द्वारा क्रिप्टोकरेंसी चोरी की बढ़ती एकाग्रता को दर्शाते हैं। कुल क्रिप्टो हैक नुकसान में प्योंगयांग का हिस्सा 2020 और 2021 में 10% से कम से बढ़कर 2022 में 22%, 2023 में 37%, 2024 में 39%, और 2025 में 64% हो गया है। अप्रैल तक 2026 का 76% आंकड़ा रिकॉर्ड में सबसे अधिक स्थायी हिस्सा है।

ड्रिफ्ट प्रोटोकॉल हमला अपनी धैर्यशीलता के लिए उल्लेखनीय था। ऑन-चेन स्टेजिंग 11 मार्च को शुरू हुई, और इस अभियान में उत्तर कोरियाई प्रतिनिधियों और ड्रिफ्ट कर्मचारियों के बीच कई महीनों तक व्यक्तिगत बैठकें शामिल थीं—जिसे टीआरएम विश्लेषकों ने उत्तर कोरिया के लंबे क्रिप्टो हैकिंग अभियान में संभावित रूप से अभूतपूर्व रणनीति बताया।

हमलावरों ने सोलाना की एक विशेषता का फायदा उठाया जिसे ड्यूरेबल नॉनस कहा जाता है, जो पूर्व-हस्ताक्षरित लेनदेन को बाद में रखने और तैनात करने की अनुमति देता है। 1 अप्रैल को, लगभग 12 मिनट में 31 निकासी हुई, जिससे USDC और JLP सहित वास्तविक संपत्तियां निकाल ली गईं। चुराए गए फंड को तुरंत एथेरियम में स्थानांतरित कर दिया गया और तब से निष्क्रिय पड़ा है।

केल्प डीएओ हमले ने एक अलग रास्ता अपनाया। हमलावरों ने दो आंतरिक आरपीसी नोड्स से समझौता किया और फिर बाहरी नोड्स के खिलाफ सेवा से इनकार का हमला (DoS) शुरू किया, जिससे ब्रिज के एकल सत्यापनकर्ता को दूषित डेटा स्रोतों पर निर्भर रहने के लिए मजबूर होना पड़ा। उन नोड्स ने झूठी रिपोर्ट दी कि अंतर्निहित परिसंपत्ति को स्रोत श्रृंखला पर जला दिया गया था जब ऐसी कोई कार्रवाई नहीं हुई थी, और लगभग 116,500 rsETH—लगभग $292 मिलियन मूल्य का—एथेरियम ब्रिज कॉन्ट्रैक्ट से निकाला गया था।

केल्प डीएओ चोरी के बाद, आर्बिट्रम सुरक्षा परिषद ने नेटवर्क पर छोड़े गए चुराए गए फंड के लगभग $75 मिलियन को फ्रीज करने के लिए आपातकालीन शक्तियों का प्रयोग किया—एक दुर्लभ हस्तक्षेप जिसने त्वरित मनी लॉन्ड्रिंग प्रतिक्रिया को प्रेरित किया। लगभग $175 मिलियन ETH को फिर बिटकॉइन में बदल दिया गया, ज्यादातर थोरचेन (THORChain) के माध्यम से, जो एक क्रॉस-चेन लिक्विडिटी प्रोटोकॉल है जिसमें कोई केवाईसी (KYC) आवश्यकता नहीं होती है।

थोरचेन ने 2025 में बायबिट उल्लंघन—उद्योग की अब तक की सबसे खराब चोरी, जिसमें $1.4 बिलियन से अधिक की क्रिप्टो चोरी हुई—और 2026 में केल्प डीएओ हैक दोनों से प्राप्त अधिकांश आय को संसाधित किया, जिसमें चुराए गए लाखों ETH को बिटकॉइन में परिवर्तित किया गया और कोई भी ऑपरेटर स्थानांतरण को फ्रीज या अस्वीकार करने को तैयार नहीं था।

टीआरएम विश्लेषकों ने उल्लेख किया कि यह समूह अपने उपकरणों को तेज करता हुआ प्रतीत होता है: विश्लेषकों ने अनुमान लगाना शुरू कर दिया है कि उत्तर कोरियाई ऑपरेटिव अपने खुफिया जानकारी एकत्र करने और सोशल इंजीनियरिंग वर्कफ्लो में एआई उपकरणों को शामिल कर रहे हैं, जो ड्रिफ्ट जैसे हमलों की बढ़ती सटीकता के अनुरूप है, जिसमें जटिल ब्लॉकचेन तंत्र के लक्षित हेरफेर में हफ्तों लगे थे।