کره شمالی با سوءاستفاده از Drift و KelpDAO مسئول ۷۶٪ از خسارات هک ارز دیجیتال در سال ۲۰۲۶ است

بر اساس گزارش منتشر شده توسط TRM Labs، گروه‌های هکری کره شمالی مسئول ۷۶٪ از کل خسارات ناشی از هک ارز دیجیتال در سال ۲۰۲۶ تا آوریل بوده‌اند. همین حوادث تنها ۳٪ از کل حملات را شامل می‌شدند. این شرکت تقریباً ۵۷۷ میلیون دلار از وجوه سرقت‌شده را به دو پرونده نسبت می‌دهد: نقض امنیتی پروتکل Drift در ۱ آوریل و سوءاستفاده از KelpDAO در ۱۸ آوریل.

TRM اعلام کرد که این دو حادثه تنها سهم کوچکی از کل حملات امسال را تشکیل می‌دهند، اما بخش عمده‌ای از خسارات را به خود اختصاص داده‌اند. این گزارش الگویی را توصیف می‌کند که در آن تعداد محدودی از عملیات‌های پرارزش بیشترین آسیب را وارد می‌کنند، نه افزایش گسترده در تعدد حملات.

بر اساس داده‌های TRM، مجموع سرقت ارز دیجیتال منتسب به کره شمالی از سال ۲۰۱۷ اکنون از ۶ میلیارد دلار فراتر رفته است.

سهم کره شمالی از سرقت ارز دیجیتال از سال ۲۰۲۰ هر ساله افزایش یافته است

داده‌های TRM نشان می‌دهد سهم کره شمالی از کل خسارات هک ارز دیجیتال از زیر ۱۰٪ در سال‌های ۲۰۲۰ و ۲۰۲۱ به ۲۲٪ در ۲۰۲۲، ۳۷٪ در ۲۰۲۳، ۳۹٪ در ۲۰۲۴ و ۶۴٪ در ۲۰۲۵ رسیده است. رقم ۷۶٪ برای سال ۲۰۲۶ تا به امروز، بالاترین سهم پایداری است که TRM ثبت کرده است.

جهش ۲۰۲۵ تقریباً به طور کامل ناشی از نقض امنیتی Bybit در فوریه آن سال بود، که در آن ۱.۴۶ میلیارد دلار از یک کیف پول سرد از طریق یک رابط امضای Safe{Wallet} به خطر افتاده سرقت شد. TRM اعلام کرد Bybit همچنان بزرگترین هک تکی ارز دیجیتال در تاریخ است.

ریتم حملات تغییر نکرده است. TRM گفت تیم‌های هکری کره شمالی همچنان به جای اجرای کمپین‌های پرحجم، تعداد کمی از عملیات‌های هدفمند را در طول سال اجرا می‌کنند.

بر اساس گفته تحلیلگران TRM، آنچه تغییر کرده پیچیدگی عملیات‌هاست. این گزارش بیان می‌کند که تحلیلگران شروع به گمانه‌زنی کرده‌اند که اپراتورهای کره شمالی در حال ادغام ابزارهای هوش مصنوعی در جریان‌های کاری شناسایی و مهندسی اجتماعی هستند، که با حمله Drift همسو است؛ این حمله به هفته‌ها دستکاری هدفمند مکانیزم‌های پیچیده بلاک چین نیاز داشت، نه به سرقت ساده کلیدهای خصوصی که کره شمالی تاریخاً به آن متکی بوده است.

هک پروتکل Drift پس از ماه‌ها مهندسی اجتماعی ۲۸۵ میلیون دلار را تخلیه کرد

TRM حمله Drift را به یک گروه کره شمالی نسبت داد که آن را متمایز از TraderTraitor ارزیابی می‌کند؛ TraderTraitor یک عامل تهدید کره شمالی مرتبط با دولت است که به هدف قرار دادن شرکت‌های ارز دیجیتال از طریق مهندسی اجتماعی شناخته شده است. زیرگروه خاص هنوز در حال تحقیق است.

این کمپین ماه‌ها قبل از سرقت آغاز شد و شامل جلسات حضوری بین نمایندگان کره شمالی و کارمندان Drift بود، که TRM گفت ممکن است در تاریخ هک ارز دیجیتال کره شمالی بی‌سابقه باشد. مرحله‌بندی درون زنجیره‌ای از ۱۱ مارس با برداشت ۱۰ ETH از Tornado Cash آغاز شد.

این حمله از یک ویژگی سولانا به نام nonce پایدار سوءاستفاده کرد که پنجره اعتبار یک تراکنش پیش‌امضا شده را از حدود ۹۰ ثانیه به مدت نامحدود تمدید می‌کند. بین ۲۳ مارس و ۳۰ مارس، مهاجم امضاکنندگان مولتی‌سیگ شورای امنیت Drift را وادار کرد تا تراکنش‌ها را با استفاده از nonce های پایدار پیش‌تأیید کنند. در ۲۷ مارس، Drift شورای امنیت خود را به پیکربندی آستانه ۲/۵ با صفر timelock منتقل کرد که مهاجم بعداً از آن سوءاستفاده کرد.

به طور موازی، مهاجم توکنی به نام CarbonVote Token (CVT) ساخت، آن را با نقدینگی تأمین کرد و قیمت را از طریق تجارت شستشو افزایش داد. اوراکل‌های Drift CVT را به عنوان وثیقه مشروع تلقی کردند.

در ۱ آوریل، تراکنش‌های پیش‌امضا شده پخش شدند. TRM گفت ۳۱ برداشت در تقریباً ۱۲ دقیقه اجرا شد و USDC، JLP (توکن ارائه‌دهنده نقدینگی Jupiter) و سایر دارایی‌ها را تخلیه کرد. بیشتر وجوه ظرف چند ساعت از طریق پل میان زنجیره‌ای به بلاک چین اتریوم منتقل شدند و از آن زمان جابجا نشده‌اند.

KelpDAO از طریق نقص تک‌تأییدکننده LayerZero ۲۹۲ میلیون دلار از دست داد

نقض امنیتی KelpDAO در ۱۸ آوریل، پل LayerZero مربوط به rsETH این پروژه را در بلاک چین اتریوم هدف قرار داد. rsETH توکن ری‌استیکینگ نقدی KelpDAO است که نشان‌دهنده ETH ری‌استیک‌شده در چندین پروتکل است.

بر اساس گفته TRM، مهاجمان دو گره RPC داخلی را به خطر انداختند و نرم‌افزار گره را جایگزین کردند تا داده‌های کاذب بلاک چین را گزارش دهند. سپس حمله DDoS را علیه گره‌های RPC خارجی سالم راه‌اندازی کردند و تأییدکننده پل را مجبور کردند به دو گره داخلی مسموم‌شده سوئیچ کند.

گره‌های مسموم به کذب گزارش دادند که rsETH در زنجیره منبع سوزانده شده، حتی اگر هیچ عملیات سوزاندنی انجام نشده بود. تأییدکننده واحد پیام جعلی میان زنجیره‌ای را به عنوان مشروع تأیید کرد و مهاجم تقریباً ۱۱۶,۵۰۰ rsETH به ارزش حدود ۲۹۲ میلیون دلار را از قرارداد پل تخلیه کرد.

TRM گفت پیکربندی تک-DVN (شبکه تأییدکننده غیرمتمرکز) آسیب‌پذیری اصلی است. LayerZero از پیکربندی چندین تأییدکننده مستقل برای اعتبارسنجی میان زنجیره‌ای پشتیبانی می‌کند، اما استقرار rsETH در KelpDAO فقط از DVN متعلق به LayerZero Labs استفاده کرد. بدون نیاز به موافقت تأییدکننده دوم، یک منبع داده مسموم کافی بود.

TRM این سوءاستفاده را بر اساس تحلیل درون زنجیره‌ای هم پیش‌تأمین‌مالی و هم پولشویی به کره شمالی نسبت داد. بخشی از تأمین مالی اولیه به یک کیف پول بیت‌کوین سال ۲۰۱۸ متعلق به Wu Huihui، یک کارگزار ارز دیجیتال چینی که در سال ۲۰۲۳ به دلیل پولشویی سرقت‌های Lazarus Group محاکمه شد، ردیابی شد؛ Lazarus Group واحد هکری مرتبط با دولت کره شمالی است که پشت برخی از بزرگترین سوءاستفاده‌های ارز دیجیتال در تاریخ قرار دارد. سایر وجوه از هک BTCTurk، یکی دیگر از سرقت‌های اخیر TraderTraitor تأمین شدند.

هک‌های Drift و KelpDAO استراتژی‌های مختلف پولشویی ارز دیجیتال را آشکار می‌کنند

Drift و KelpDAO رویکردهای متمایز پولشویی را که توسط شرایط عملیاتی مختلف شکل گرفته‌اند، نشان می‌دهند.

برای Drift، توکن‌های سرقت‌شده از طریق Jupiter به USDC تبدیل شدند، از طریق پل میان زنجیره‌ای به بلاک چین اتریوم منتقل شدند، به ETH تبدیل شدند و در کیف پول‌های جدید توزیع شدند. وجوه از روز سرقت جابجا نشده‌اند. گروه مسئول الگوی مستند کره شمالی را دنبال می‌کند که طی آن درآمدها را برای ماه‌ها یا سال‌ها نگه می‌دارند قبل از اجرای یک برداشت ساختارمند.

KelpDAO مسیر دیگری را طی کرد. هکرهای TraderTraitor تقریباً ۳۰,۷۶۶ ETH را در Arbitrum رها کردند و شورای امنیت Arbitrum از اختیارات اضطراری برای فریز کردن حدود ۷۵ میلیون دلار از آن استفاده کرد. این فریز باعث شروع سریع پولشویی شد.

تقریباً ۱۷۵ میلیون دلار ETH فریز نشده به بیت‌کوین تبدیل شد، عمدتاً از طریق THORChain، یک پروتکل نقدینگی میان زنجیره‌ای بدون نیاز به KYC. از Umbra، یک ابزار حریم خصوصی اتریوم، برای پنهان کردن برخی ارتباطات کیف پول قبل از تبدیل استفاده شد. TRM گفت مرحله پولشویی جاری تقریباً به طور کامل توسط واسطه‌های چینی و نه خود کره شمالی‌ها مدیریت می‌شود.

THORChain اکثر درآمدهای حاصل از هر دو نقض Bybit در سال ۲۰۲۵ و هک KelpDAO در ۲۰۲۶ را پردازش کرد و صدها میلیون دلار ETH سرقت‌شده را بدون دخالت اپراتور به بیت‌کوین تبدیل کرد. در سال ۲۰۲۵، اکثر وجوه سرقت‌شده Bybit بین ۲۴ فوریه و ۲ مارس از ETH به BTC از طریق THORChain تبدیل شدند. KelpDAO در آوریل ۲۰۲۶ همان رویه را دنبال کرد.

توسعه‌دهندگان و اعتبارسنج‌های THORChain گفته‌اند که پروتکل غیرمتمرکز است، هیچ اپراتور مرکزی ندارد و نمی‌تواند تراکنش‌ها را رد کند. اظهارات اخیر در X توسط اعضای پروژه نشان می‌دهد که این موضوع همیشه صادق نبوده یا هنوز هم نیست.

آنچه TRM می‌گوید تیم‌های انطباق باید نظارت کنند

این گزارش چهار اولویت نظارتی برای صرافی‌ها و پروتکل‌های امور مالی غیر متمرکز (دیفای) فهرست کرد.

صرافی‌هایی که جریان ورودی BTC از استخرهای THORChain دریافت می‌کنند باید در برابر خوشه‌های آدرس شناخته‌شده KelpDAO و Lazarus Group غربالگری کنند. انتساب آدرس‌های خاص KelpDAO در حال انجام است و TRM توصیه کرد که واریزی‌ها پس از ۳۰ روز مجدداً غربالگری شوند، زیرا انتساب آدرس‌های مرتبط با KelpDAO هنوز در حال نهایی شدن است.

پروتکل‌هایی که از مولتی‌سیگ شورای امنیت سولانا با مجوز nonce پایدار استفاده می‌کنند باید حادثه Drift را به عنوان یک حمله الگو تلقی کنند که تکرار خواهد شد، زیرا زیرساخت حکمرانی را هدف قرار داد نه منطق برنامه.

غربالگری آدرس اولین گام به تنهایی وجوهی را که قبل از رسیدن به صرافی از کیف پول‌های واسطه عبور کرده‌اند شناسایی نخواهد کرد. هر دو KelpDAO و Bybit شامل زیرساخت پل یا میان زنجیره‌ای بودند و TRM گفت تحلیل چند گامی لازم است.

TRM همچنین به شبکه Beacon خود اشاره کرد که بیش از ۳۰ عضو دارد، از جمله Coinbase، بایننس، Kraken، OKX و Crypto.com، و به صورت خودکار آدرس‌های مهاجمان علامت‌گذاری شده را در زمان واقعی ردیابی می‌کند هنگامی که وجوه مرتبط با کره شمالی به یک نهاد عضو می‌رسد.