২০২৬ সালে ড্রিফট এবং কেল্পডিএও এক্সপ্লয়েটসহ ক্রিপ্টো হ্যাক ক্ষতির ৭৬% উত্তর কোরিয়ার দায়

TRM Labs প্রকাশিত একটি প্রতিবেদন অনুযায়ী, ২০২৬ সালের এপ্রিল পর্যন্ত সমস্ত ক্রিপ্টো হ্যাক ক্ষতির ৭৬% এর জন্য উত্তর কোরিয়ার হ্যাকিং গ্রুপগুলো দায়ী। একই ঘটনাগুলো মোট আক্রমণের মাত্র ৩% এর জন্য দায়ী। প্রতিষ্ঠানটি দুটি ঘটনায় প্রায় ৫৭ কোটি ৭০ লাখ ডলার চুরির দায় নির্ধারণ করেছে: ১ এপ্রিলের Drift Protocol লঙ্ঘন এবং ১৮ এপ্রিলের KelpDAO এক্সপ্লয়েট।

TRM জানিয়েছে, দুটি ঘটনা এ বছরের মোট আক্রমণের মাত্র একটি ক্ষুদ্র অংশ প্রতিনিধিত্ব করে, কিন্তু ক্ষতির বিশাল সংখ্যাগরিষ্ঠতার জন্য দায়ী। প্রতিবেদনটি একটি প্যাটার্ন বর্ণনা করে যেখানে আক্রমণের ব্যাপকতা বৃদ্ধির পরিবর্তে সীমিত সংখ্যক উচ্চমূল্যের অপারেশন বেশিরভাগ ক্ষতি ঘটায়।

TRM-এর তথ্য অনুযায়ী, ২০১৭ সাল থেকে উত্তর কোরিয়ার দায়যুক্ত মোট ক্রিপ্টো চুরি এখন ৬০০ কোটি ডলার ছাড়িয়েছে।

২০২০ সাল থেকে প্রতি বছর ক্রিপ্টো চুরিতে উত্তর কোরিয়ার অংশ বেড়েছে

TRM-এর তথ্য দেখায় যে উত্তর কোরিয়ার মোট ক্রিপ্টো হ্যাক ক্ষতির অংশ ২০২০ ও ২০২১ সালে ১০%-এর নিচে থেকে ২০২২ সালে ২২%, ২০২৩ সালে ৩৭%, ২০২৪ সালে ৩৯% এবং ২০২৫ সালে ৬৪%-এ উন্নীত হয়েছে। ২০২৬ সালের বছর-থেকে-এখন পর্যন্ত ৭৬% সংখ্যাটি TRM-এর রেকর্ড করা সর্বোচ্চ টেকসই অংশ।

২০২৫ সালের লাফটি প্রায় সম্পূর্ণভাবে সেই বছরের ফেব্রুয়ারিতে Bybit লঙ্ঘনের কারণে হয়েছিল, যেখানে একটি আপোষকৃত Safe{Wallet} সাইনিং ইন্টারফেসের মাধ্যমে একটি কোল্ড ওয়ালেট থেকে ১৪৬ কোটি ডলার চুরি হয়েছিল। TRM জানিয়েছে, Bybit রেকর্ডে সবচেয়ে বড় একক ক্রিপ্টো হ্যাক হিসেবে রয়ে গেছে।

আক্রমণের ছন্দ পরিবর্তন হয়নি। TRM জানিয়েছে, উত্তর কোরিয়ার হ্যাকিং দলগুলো উচ্চ-মাত্রার প্রচারণার পরিবর্তে প্রতি বছর একটি ছোট সংখ্যক সুনির্দিষ্টভাবে লক্ষ্যবিদ্ধ অপারেশন চালিয়ে যাচ্ছে।

TRM বিশ্লেষকদের মতে, যা পরিবর্তন হয়েছে তা হলো অপারেশনের পরিশীলতা। প্রতিবেদনটি জানায় যে বিশ্লেষকরা অনুমান করতে শুরু করেছেন যে উত্তর কোরিয়ার অপারেটররা রিকনেসাঁ এবং সোশ্যাল ইঞ্জিনিয়ারিং কর্মপ্রবাহে AI সরঞ্জাম অন্তর্ভুক্ত করছে, যা Drift আক্রমণের সাথে সামঞ্জস্যপূর্ণ, যেটিতে উত্তর কোরিয়া ঐতিহাসিকভাবে যে সহজ প্রাইভেট কী আপোষের উপর নির্ভর করে তার পরিবর্তে জটিল ব্লকচেইন মেকানিজমের লক্ষ্যভিত্তিক ম্যানিপুলেশনের জন্য সপ্তাহের পর সপ্তাহ প্রয়োজন হয়েছিল।

মাসের পর মাস সোশ্যাল ইঞ্জিনিয়ারিংয়ের পর Drift Protocol হ্যাকে ২৮ কোটি ৫০ লাখ ডলার নিষ্কাশিত হয়েছে

TRM Drift আক্রমণকে একটি উত্তর কোরিয়ান গোষ্ঠীর দায় নির্ধারণ করেছে যাকে এটি TraderTraitor থেকে আলাদা বলে মূল্যায়ন করে, TraderTraitor হলো একটি রাষ্ট্র-সংযুক্ত উত্তর কোরিয়ান হুমকি অভিনেতা যা সোশ্যাল ইঞ্জিনিয়ারিংয়ের মাধ্যমে ক্রিপ্টো প্রতিষ্ঠানগুলোকে লক্ষ্য করার জন্য পরিচিত। নির্দিষ্ট উপগোষ্ঠীটি এখনও তদন্তাধীন।

প্রচারণাটি চুরির মাস আগে শুরু হয়েছিল এবং উত্তর কোরিয়ার প্রক্সি ও Drift কর্মীদের মধ্যে সশরীরে বৈঠক জড়িত ছিল, যা TRM বলেছে উত্তর কোরিয়ার ক্রিপ্টো হ্যাকিং ইতিহাসে নজিরবিহীন হতে পারে। অন-চেইন স্টেজিং ১১ মার্চ Tornado Cash থেকে ১০ ETH উত্তোলনের মাধ্যমে শুরু হয়েছিল।

আক্রমণটি Solana-এর একটি বৈশিষ্ট্য ব্যবহার করেছিল যাকে ডিউরেবল নন্স বলা হয়, যা একটি প্রি-সাইনড ট্রানজেকশনের বৈধতার উইন্ডো প্রায় ৯০ সেকেন্ড থেকে অনির্দিষ্টকালের জন্য প্রসারিত করে। ২৩ মার্চ থেকে ৩০ মার্চের মধ্যে, আক্রমণকারী Drift-এর Security Council মাল্টিসিগ স্বাক্ষরকারীদের ডিউরেবল নন্স ব্যবহার করে ট্রানজেকশন প্রি-অথরাইজ করতে প্রলুব্ধ করেছিল। ২৭ মার্চ, Drift তার Security Council-কে শূন্য টাইমলক সহ ২/৫ থ্রেশহোল্ড কনফিগারেশনে মাইগ্রেট করে, যা আক্রমণকারী পরে ব্যবহার করেছিল।

সমান্তরালে, আক্রমণকারী CarbonVote Token (CVT) নামে একটি টোকেন তৈরি করেছিল, এটিকে তারল্য দিয়ে বীজ বপন করেছিল এবং ওয়াশ ট্রেডিংয়ের মাধ্যমে মূল্য বাড়িয়েছিল। Drift-এর ওরাকেলগুলো CVT-কে বৈধ জামানত হিসেবে বিবেচনা করেছিল।

১ এপ্রিল, প্রি-সাইনড ট্রানজেকশনগুলো সম্প্রচার করা হয়েছিল। TRM জানিয়েছে প্রায় ১২ মিনিটে ৩১টি উত্তোলন সম্পাদিত হয়েছে, USDC, JLP (Jupiter লিকুইডিটি প্রোভাইডার টোকেন) এবং অন্যান্য সম্পদ নিষ্কাশিত হয়েছে। বেশিরভাগ অর্থ কয়েক ঘণ্টার মধ্যে Ethereum-এ ব্রিজ করা হয়েছে এবং তারপর থেকে সরানো হয়নি।

KelpDAO একটি একক-ভেরিফায়ার LayerZero ত্রুটির মাধ্যমে ২৯ কোটি ২০ লাখ ডলার হারিয়েছে

১৮ এপ্রিলের KelpDAO লঙ্ঘন Ethereum-এ প্রকল্পের rsETH LayerZero ব্রিজকে লক্ষ্য করেছিল। rsETH হলো KelpDAO-এর লিকুইড রিস্টেকিং টোকেন, যা একাধিক প্রোটোকলে রিস্টেক করা ETH প্রতিনিধিত্ব করে।

TRM অনুযায়ী, আক্রমণকারীরা দুটি অভ্যন্তরীণ RPC নোড আপোষ করেছিল এবং তাদের মিথ্যা ব্লকচেইন ডেটা রিপোর্ট করতে নোড সফটওয়্যার পরিবর্তন করেছিল। তারপর তারা বাহ্যিক অসংক্রমিত RPC নোডগুলির বিরুদ্ধে DDoS আক্রমণ শুরু করেছিল, ব্রিজের ভেরিফায়ারকে দুটি বিষাক্ত অভ্যন্তরীণ নোডে ফেইলওভার করতে বাধ্য করেছিল।

বিষাক্ত নোডগুলো মিথ্যা রিপোর্ট করেছিল যে rsETH সোর্স চেইনে বার্ন করা হয়েছে, যদিও কোনো বার্ন ঘটেনি। একক ভেরিফায়ার জালিয়াতিমূলক ক্রস-চেইন বার্তাটিকে বৈধ হিসেবে নিশ্চিত করেছিল এবং আক্রমণকারী ব্রিজ কন্ট্র্যাক্ট থেকে প্রায় ১,১৬,৫০০ rsETH প্রায় ২৯ কোটি ২০ লাখ ডলার মূল্যে নিষ্কাশিত করেছিল।

TRM বলেছে একক-DVN (Decentralized Verifier Network) কনফিগারেশন হলো মূল দুর্বলতা। LayerZero ক্রস-চেইন যাচাইয়ের জন্য একাধিক স্বাধীন ভেরিফায়ার কনফিগার করার সমর্থন করে, কিন্তু KelpDAO-এর rsETH ডিপ্লয়মেন্ট শুধুমাত্র LayerZero Labs DVN ব্যবহার করেছিল। দ্বিতীয় কোনো ভেরিফায়ারের সম্মতির প্রয়োজন না থাকায়, একটি বিষাক্ত ডেটা উৎসই যথেষ্ট ছিল।

TRM প্রি-ফান্ডিং এবং লন্ডারিং উভয়ের অন-চেইন বিশ্লেষণের ভিত্তিতে এক্সপ্লয়েটটিকে উত্তর কোরিয়ার দায় নির্ধারণ করেছে। প্রাথমিক অর্থায়নের একটি অংশ ২০১৮ সালের একটি Bitcoin ওয়ালেটে ট্রেস করা হয়েছিল যা Wu Huihui দ্বারা নিয়ন্ত্রিত, একজন চীনা ক্রিপ্টো ব্রোকার যাকে ২০২৩ সালে Lazarus Group-এর চুরি লন্ডারিংয়ের জন্য অভিযুক্ত করা হয়েছিল, Lazarus Group হলো রেকর্ডে কিছু বৃহত্তম ক্রিপ্টো এক্সপ্লয়েটের পেছনে থাকা উত্তর কোরিয়ার রাষ্ট্র-সংযুক্ত হ্যাকিং ইউনিট। অন্যান্য অর্থ BTCTurk হ্যাক থেকে এসেছিল, আরেকটি সাম্প্রতিক TraderTraitor চুরি।

Drift এবং KelpDAO হ্যাক ভিন্ন ক্রিপ্টো লন্ডারিং কৌশল প্রকাশ করে

Drift এবং KelpDAO বিভিন্ন অপারেশনাল পরিস্থিতি দ্বারা গঠিত স্বতন্ত্র লন্ডারিং পদ্ধতি প্রদর্শন করে।

Drift-এর ক্ষেত্রে, চুরি করা টোকেনগুলো Jupiter-এর মাধ্যমে USDC-তে রূপান্তরিত করা হয়েছিল, Ethereum-এ ব্রিজ করা হয়েছিল, ETH-এ সোয়াপ করা হয়েছিল এবং নতুন ওয়ালেটগুলিতে বিতরণ করা হয়েছিল। চুরির দিন থেকে অর্থগুলো সরানো হয়নি। দায়ী গোষ্ঠীটি একটি কাঠামোগত ক্যাশআউট সম্পাদনের আগে মাস বা বছরের জন্য আয় ধরে রাখার একটি নথিভুক্ত উত্তর কোরিয়ান প্যাটার্ন অনুসরণ করে।

KelpDAO বিপরীত দিকে গেছে। TraderTraitor হ্যাকাররা Arbitrum-এ প্রায় ৩০,৭৬৬ ETH রেখে গেছে এবং Arbitrum Security Council জরুরি ক্ষমতা ব্যবহার করে প্রায় ৭ কোটি ৫০ লাখ ডলার ফ্রিজ করেছে। ফ্রিজটি একটি দ্রুত লন্ডারিং ছুটাছুটি শুরু করেছিল।

প্রায় ১৭ কোটি ৫০ লাখ ডলারের আনফ্রোজেন ETH Bitcoin-এ সোয়াপ করা হয়েছিল, বেশিরভাগ THORChain-এর মাধ্যমে, একটি ক্রস-চেইন লিকুইডিটি প্রোটোকল যার কোনো KYC প্রয়োজনীয়তা নেই। রূপান্তরের আগে কিছু ওয়ালেট সংযোগ অস্পষ্ট করতে Umbra, একটি Ethereum গোপনীয়তা সরঞ্জাম, ব্যবহার করা হয়েছিল। TRM বলেছে চলমান লন্ডারিং পর্যায়টি উত্তর কোরিয়ানদের পরিবর্তে প্রায় সম্পূর্ণভাবে চীনা মধ্যস্থতাকারীদের দ্বারা পরিচালিত হচ্ছে।

THORChain ২০২৫ সালের Bybit লঙ্ঘন এবং ২০২৬ সালের KelpDAO হ্যাক উভয়ের আয়ের সংখ্যাগরিষ্ঠতা প্রক্রিয়া করেছে, অপারেটরের হস্তক্ষেপ ছাড়াই শত কোটি ডলারের চুরি করা ETH Bitcoin-এ রূপান্তরিত করেছে। ২০২৫ সালে, বেশিরভাগ চুরি করা Bybit অর্থ ২৪ ফেব্রুয়ারি থেকে ২ মার্চের মধ্যে THORChain-এর মাধ্যমে ETH থেকে BTC-তে রূপান্তরিত হয়েছিল। KelpDAO ২০২৬ সালের এপ্রিলে একই কৌশল অনুসরণ করেছে।

THORChain-এর ডেভেলপার এবং ভ্যালিডেটররা বলেছেন যে প্রোটোকলটি বিকেন্দ্রীভূত কোনো কেন্দ্রীয় অপারেটর নেই এবং এটি ট্রানজেকশন প্রত্যাখ্যান করতে পারে না। X-এ প্রকল্পের সদস্যদের সাম্প্রতিক বিবৃতিগুলো পরামর্শ দেয় যে এটি নয়, বা সবসময় হয়নি।

TRM কমপ্লায়েন্স দলগুলোকে কী পর্যবেক্ষণ করতে বলে

প্রতিবেদনটি এক্সচেঞ্জ এবং DeFi প্রোটোকলের জন্য চারটি পর্যবেক্ষণ অগ্রাধিকার তালিকাভুক্ত করেছে।

THORChain পুল থেকে BTC ইনফ্লো পাওয়া এক্সচেঞ্জগুলোকে পরিচিত KelpDAO এবং Lazarus Group ঠিকানা ক্লাস্টারের বিরুদ্ধে স্ক্রিন করা উচিত। নির্দিষ্ট KelpDAO ঠিকানার জন্য দায় নির্ধারণ চলমান, এবং TRM ৩০ দিন পরে ডিপোজিট পুনরায় স্ক্রিন করার সুপারিশ করেছে, কারণ KelpDAO-সংযুক্ত ঠিকানার জন্য দায় নির্ধারণ এখনও চূড়ান্ত হচ্ছে।

ডিউরেবল নন্স অথরাইজেশন সহ Solana Security Council মাল্টিসিগ ব্যবহার করা প্রোটোকলগুলোকে Drift ঘটনাকে একটি টেমপ্লেট আক্রমণ হিসেবে বিবেচনা করা উচিত যা প্রতিলিপি করা হবে, কারণ এটি অ্যাপ্লিকেশন লজিকের পরিবর্তে গভর্ন্যান্স পরিকাঠামোকে লক্ষ্য করেছিল।

প্রথম-হপ ঠিকানা স্ক্রিনিং একা এমন অর্থ ধরতে পারবে না যা একটি এক্সচেঞ্জে পৌঁছানোর আগে মধ্যবর্তী ওয়ালেটের মধ্য দিয়ে গেছে। KelpDAO এবং Bybit উভয়ই ব্রিজ বা ক্রস-চেইন পরিকাঠামো জড়িত ছিল এবং TRM বলেছে মাল্টি-হপ বিশ্লেষণ প্রয়োজন।

TRM তার Beacon Network-এর দিকেও ইঙ্গিত করেছে, যার ৩০-এরও বেশি সদস্য রয়েছে, যার মধ্যে Coinbase, Binance, Kraken, OKX এবং Crypto.com রয়েছে, এবং যখন উত্তর কোরিয়া-সংযুক্ত অর্থ একটি অংশগ্রহণকারী প্রতিষ্ঠানে পৌঁছায় তখন রিয়েল টাইমে ফ্ল্যাগ করা আক্রমণকারীর ঠিকানাগুলো স্বয়ংক্রিয়ভাবে ট্রেস করে।