Менее чем за три недели кибероперативники, связанные с Корейской Народно-Демократической Республикой (КНДР), похитили более 500 миллионов долларов с криптоплатформ DeFi.
Это знаменует собой резкую эскалацию спонсируемой государством кампании Пхеньяна по финансированию своих оружейных программ за счет кражи криптовалюты.
Эксплойты в Drift и KelpDAO привели к хищению Северной Кореей более 500 миллионов долларов в DeFi
Примечательно, что двойные разрушительные эксплойты, нацеленные на Drift Protocol и KelpDAO, довели незаконные криптоактивы Северной Кореи за год до отметки, значительно превышающей 700 миллионов долларов.
Ошеломляющие потери подчеркивают сдвиг в тактике кибервойск Ким Чен Ына, которые все чаще используют уязвимости в сложных цепочках поставок и проводят глубоко законспирированные операции по внедрению для обхода стандартных периметров безопасности.
20 апреля поставщик кроссчейн-инфраструктуры LayerZero подтвердил, что KelpDAO подвергся эксплойту, приведшему к потере около 290 миллионов долларов. Взлом, произошедший 18 апреля, на данный момент является крупнейшей единичной криптокражей 2026 года.
Фирма заявила, что предварительная криминалистическая экспертиза прямо указывает на TraderTraitor — специализированную ячейку, действующую в рамках печально известной группировки Lazarus Северной Кореи.
Всего за несколько недель до этого, 1 апреля, с биржи децентрализованных бессрочных фьючерсов Drift Protocol на базе Solana было выведено около 286 миллионов долларов.
Фирма по анализу блокчейна Elliptic быстро связала методы отмывания средств в сети, последовательность транзакций и сетевые сигнатуры с ранее установленными векторами атак КНДР, отметив, что это уже 18-й подобный инцидент, отслеженный фирмой только в этом году.
Использование периферии инфраструктуры
Методология, лежащая в основе апрельских атак, демонстрирует зрелость в подходе спонсируемых государством хакеров к децентрализованным финансам (DeFi). Вместо того чтобы атаковать напрямую защищенные основные смарт-контракты, оперативники выявляют и используют структурную периферию.
В случае атаки на KelpDAO LayerZero объяснила, что хакеры скомпрометировали нижестоящую инфраструктуру удаленного вызова процедур (RPC), используемую Сетью Децентрализованных Верификаторов (DVN) LayerZero Labs.
Отравляя эти критически важные пути передачи данных, злоумышленники манипулировали операциями протокола, не нарушая его основную криптографию. LayerZero с тех пор вывела из эксплуатации затронутые узлы и полностью восстановила работу DVN, но финансовый ущерб уже был нанесен.
Этот косвенный подход подчеркивает пугающую эволюцию в кибервойне.
Фирма по безопасности блокчейна Cyvers сообщила CryptoSlate, что атакующие, связанные с Северной Кореей, демонстрируют возросшую изощренность и вкладывают больше ресурсов как в подготовку, так и в исполнение своих вредоносных атак.
Фирма добавила:
«Мы также наблюдаем, как они постоянно находят самое слабое звено. В данном случае это была третья сторона, а не основная инфраструктура протокола».
Эта стратегия во многом отражает традиционный корпоративный кибершпионаж и показывает, что сбои, связанные с КНДР, становится все труднее остановить.
Недавние инциденты, такие как компрометация цепочки поставок широко используемого программного пакета Axios npm, которую исследователи Google связали с отдельным угрожающим актором КНДР под названием UNC1069, демонстрируют продолжающиеся методичные усилия по «отравлению колодца» еще до того, как программное обеспечение попадет в экосистему блокчейна.
Северная Корея внедряется в криптосообщество
Помимо технических эксплойтов, Северная Корея в настоящее время проводит масштабную скоординированную инфильтрацию на мировой рынок труда в сфере криптовалют.
Модель угроз фундаментально сместилась от удаленных хакерских кампаний к внедрению вредоносных инсайдеров непосредственно в штаты ничего не подозревающих Web3-стартапов.
Тяжелое шестимесячное расследование проекта Ketman, инициативы, действующей в рамках программы безопасности ETH Rangers Фонда Ethereum, недавно завершилось поразительными выводами: около 100 кибероперативников из Северной Кореи в настоящее время внедрены в различные блокчейн-компании.
Действуя под вымышленными именами, эти изощренные IT-специалисты регулярно проходят стандартные проверки отдела кадров, получают доступ к конфиденциальным внутренним репозиториям кода и тихо работают в продуктовых командах месяцами, а то и годами, прежде чем инициировать просчитанную атаку.
Это терпение в стиле разведывательного агентства было дополнительно подтверждено независимым исследователем блокчейна ZachXBT.
Недавно он раскрыл специализированную сеть КНДР, которая зарабатывает около 1 миллиона долларов в месяц, используя мошеннические псевдонимы для получения удаленной работы.
Эта конкретная схема направляет крипто-фиатные переводы через находящиеся под санкциями глобальные финансовые каналы и обработала более 3,5 миллионов долларов с конца 2025 года.
По оценкам отрасли, более широкое развертывание IT-специалистов Пхеньяном приносит многомиллионные суммы ежемесячно.
Это создает для режима двойной поток доходов: стабильное накопление мошеннических заработных плат в сочетании с катастрофическими внезапными выигрышами от эксплойтов протоколов, облегченных инсайдерами.
Сети отмывания денег Северной Кореи и макроэкономическое выживание
Масштаб операций Северной Кореи с цифровыми активами затмевает таковые у любого традиционного синдиката киберпреступников.
По данным фирмы по анализу блокчейна Chainalysis, хакеры, связанные с КНДР, похитили рекордные 2 миллиарда долларов только в 2025 году, что составляет ошеломляющие 60% всех мировых криптокраж в том году. Эта цифра была значительно увеличена за счет разрушительного налета на биржу Bybit на 1,5 миллиарда долларов в феврале 2025 года.
С учетом жестокой кампании этого года, общий объем криптоактивов, полученных Северной Кореей, оценивается в 6,75 миллиарда долларов.
Как только средства похищены, оперативники группы Lazarus демонстрируют весьма специфические, регионализированные схемы отмывания. В отличие от обычных криптопреступников, которые часто используют децентрализованные биржи (DEX) и протоколы однорангового кредитования, акторы КНДР активно их избегают.
Вместо этого данные в сети показывают сильную зависимость от китайскоязычных гарантийных услуг, глубоких внебиржевых (OTC) брокерских сетей и сложных кроссчейн-миксеров.
Это специфическое предпочтение указывает на структурные ограничения и глубоко укоренившиеся, географически ограниченные каналы вывода средств, а не на широкий, неограниченный доступ к мировой финансовой системе.
Можно ли предотвратить эти атаки?
Исследователи безопасности и руководители отрасли говорят, что да, но только если криптофирмы устранят те же операционные слабости, которые продолжают проявляться при крупных взломах.
Теренс Коук, основатель Humanity, заявил CryptoSlate, что закономерность многих потерь, связанных с Северной Кореей, по-прежнему указывает на знакомые слабости, а не на совершенно новые формы кибервторжения.
По его мнению, северокорейские акторы улучшают как свои методы доступа, так и способность перемещать похищенные средства, но ущерб часто по-прежнему прослеживается до плохих средств контроля доступа и концентрированного операционного риска.
Он пояснил:
«Поразительно, как часто ущерб сводится к тем же слабым местам, связанным с контролем доступа и единичными точками отказа. Это говорит о том, что у отрасли все еще есть проблемы с базовой дисциплиной безопасности, которые она не решила».
Учитывая это, Коук заявил, что первая линия обороны отрасли — сделать перемещение активов материально более сложным для компрометации. Это означает введение более строгого контроля над приватными ключами, внутренними разрешениями и доступом третьих сторон во всем программном стеке.
На практике это потребует от фирм снижения зависимости от отдельных операторов, ограничения привилегированного доступа, укрепления зависимостей от поставщиков и создания большего количества проверок вокруг инфраструктуры, которая находится между основными протоколами и внешним миром.
Второй приоритет — скорость. Как только похищенные средства начинают перемещаться между сетями, через мосты или в сети отмывания, шансы на их возврат резко падают. Коук считает, что биржи, эмитенты стейблкоинов, фирмы по анализу блокчейна и правоохранительные органы должны координировать свои действия намного быстрее в первые минуты и часы после взлома, если они хотят улучшить сдерживание.
Его комментарии указывают на более широкую реальность для сектора.
Криптосистемы часто труднее всего защитить там, где пересекаются код, люди и операции. Скомпрометированные учетные данные, слабая зависимость от поставщика или упущенный сбой в разрешениях могут создать достаточно большую брешь, чтобы вывести сотни миллионов долларов.
Задача для DeFi заключается уже не просто в написании устойчивых смарт-контрактов. Она заключается в обеспечении безопасности операционного периметра вокруг них до того, как злоумышленники используют следующую слабую точку.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Oluwapelumi Adejumo
