По данным TRM Labs, Северная Корея похитила $577 миллионов из $651 миллиона совокупных потерь от криптовзломов за первые четыре месяца 2026 года. Это 76% всех украденных средств. Два атакованных протокола, один исполнитель: группа TraderTraitor, входящая в структуру Lazarus Group.
Ключевые данные
- Потери КНДР, январь-апрель 2026 $577 000 000
- Всего потерь от крипто-взломов (апр 2026) $651 000 000
- Доля КНДР от общего объёма 76%
- Drift Protocol (1 апр, TraderTraitor) $285 000 000
- Kelp DAO (18 апр, TraderTraitor) $292 000 000
- Апрель 2026, худший месяц с февраля 2025 $651M всего
Источник: TRM Labs, Chainalysis, Elliptic · Май 2026
Источник: TRM Labs, Chainalysis, Elliptic · Май 2026
Две атаки, два совершенно разных протокола, один исполнитель, один месяц. Drift Protocol: 1 апреля хакеры вывели 285 миллионов долларов из протокола на базе Solana. По данным Elliptic и TRM Labs, операция приписывается подгруппе TraderTraitor в составе Lazarus Group. Kelp DAO: 292 миллиона долларов 18 апреля, та же группировка. Принципиально иной вектор атаки (мост LayerZero вместо социальной инженерии на Solana). Северная Корея не импровизировала: параллельные операции, разные векторы, заблаговременная подготовка.
Security Incident Report
- Протокол Drift Protocol (Solana)
- Похищено $285 000 000
- Дата 1 апреля 2026
- Вектор атаки Долгосрочное внедрение: создание токена CarbonVote Token (CVT) 11 марта, систематический вош-трейдинг, затем эксплойт хранилищ Drift за 12 минут. Средства переброшены через Circle CCTP из Solana в Ethereum за 6 часов в рабочее время США.
- Атрибуция Lazarus Group / TraderTraitor (Elliptic, TRM Labs). Временны́е метки соответствуют пхеньянскому рабочему времени. Предварительное финансирование через Tornado Cash: 10 ETH.
Источник: Elliptic, TRM Labs, ZachXBT · Апрель 2026
Источник: Elliptic, TRM Labs, ZachXBT · Апрель 2026
Security Incident Report
- Протокол Kelp DAO (rsETH/LayerZero)
- Похищено $292 000 000
- Дата 18-19 апреля 2026
- Вектор атаки Компрометация RPC-нода DVN LayerZero и DDoS-атака на незатронутые узлы. Дренаж 116 500 rsETH. Протокол Aave V3 получил безнадёжный долг из-за использования rsETH в качестве залога.
- Атрибуция Lazarus Group / TraderTraitor (официальный пост-мортем LayerZero, 20 апреля 2026). Около $175 млн отмыто через THORChain за 36 часов.
Источник: LayerZero Labs, Chainalysis, ZachXBT · Апрель 2026
Источник: LayerZero Labs, Chainalysis, ZachXBT · Апрель 2026
Детальный разбор эксплойта Kelp DAO и атаки на Drift Protocol, а также развитие кризиса Aave после взлома описаны в отдельном материале: Aave и возврат 95% rsETH.
Как Северная Корея крадёт криптовалюту?
Модель давно эволюционировала. Речь больше не идёт об одиночном хакере, ищущем уязвимости в смарт-контрактах. По данным Chainalysis, TRM Labs и исследователей ФБР, группировка TraderTraitor работает как полноценная корпорация. Вербовка разработчиков ведётся через фиктивные вакансии, операции GhostHire, задокументированные Cisco Talos. Завербованных внедряют в криптокомпании в роли подрядчиков, где они месяцами работают как обычные сотрудники. Затем в нужный момент используют внутренний доступ: компрометируют ключи, меняют конфигурации, опустошают кошельки.
#PeckShieldAlert @THORChain has been exploited for ~$10M worth of crypto, including 36.75 $BTC ($3M) and ~$7M worth of assets from #BNBChain, #Ethereum, and #Base.
, PeckShieldAlert (@PeckShieldAlert) May 15, 2026
The stolen funds mainly sit in:
bc1ql4u94klk265lnfur2ujk9p6uh52f2a8jhf6f37… pic.twitter.com/mhWIWueVPK
Атака на Drift задокументирована подробнее всего. Злоумышленники создали аккаунты разработчиков на Solana 23 марта, за три недели до удара. Провели вош-трейдинг, чтобы придать CarbonVote Token видимость легитимности. Ждали. 1 апреля за 12 минут опустошили хранилища. Затем через Circle CCTP, кросс-чейн протокол USDC, перевели 232 миллиона долларов из Solana в Ethereum за 6 часов, в рабочее время американского рынка. Circle не вмешалась. Роль Lazarus Group в эксплойте Kelp подчиняется той же логике долгосрочного планирования.
ИИ и дипфейки: новые инструменты северокорейских хакеров
Искусственный интеллект входит в арсенал атакующих. Кампании GhostCall и GhostHire, задокументированные Cisco Talos, используют клонированный голос и дипфейк-видео для имитации руководителей Web3-компаний на собеседованиях. Это повышает процент успешных внедрений. Речь пока не идёт о сценарии «ИИ атакует смарт-контракты» по модели EVMbench. Это предвестник: ИИ как инструмент подготовки и прикрытия ещё до самого эксплойта.
Что дальше: THORChain и давление на сектор
По сути, tRM Labs пока не приписала взлом THORChain 15 мая Северной Корее. Но если причастность TraderTraitor к этой операции на $10,8 миллиона подтвердится, совокупные потери КНДР в 2026 году превысят $588 миллионов ещё до середины года. Регуляторный ответ Европы был сосредоточен на России, тогда как северокорейское досье остаётся наиболее конкретной и наименее решённой проблемой безопасности в отрасли. OFAC в 2026 году уже ввёл санкции против десятков северокорейских пособников, последний раунд прошёл в марте. Этого оказалось недостаточно.
Сообщество THORChain голосует по плану восстановления до 22-23 мая. Если атрибуция изменится, давление на весь сектор с требованием внедрить механизмы скрининга транзакций усилится: сегодня такие инструменты отсутствуют у 99% мостов и кросс-чейн протоколов. Следите за всеми обновлениями в разделе Hack на SpazioCrypto.
