उत्तर कोरिया 2026 में Drift और KelpDAO एक्सप्लॉइट्स के साथ क्रिप्टो हैक नुकसान में 76% हिस्सेदारी रखता है
TRM Labs द्वारा प्रकाशित एक रिपोर्ट के अनुसार, उत्तर कोरियाई हैकिंग समूह अप्रैल तक 2026 में सभी क्रिप्टो हैक नुकसान के 76% के लिए जिम्मेदार थे। इन्हीं घटनाओं की कुल हमलों में हिस्सेदारी मात्र 3% थी। फर्म लगभग $577 मिलियन की चोरी हुई धनराशि को दो मामलों से जोड़ती है: 1 अप्रैल को Drift Protocol उल्लंघन और 18 अप्रैल को KelpDAO एक्सप्लॉइट।
TRM ने कहा कि दोनों घटनाएं इस वर्ष कुल हमलों का एक छोटा हिस्सा ही दर्शाती हैं, लेकिन नुकसान के विशाल बहुमत के लिए जिम्मेदार हैं। रिपोर्ट एक ऐसे पैटर्न का वर्णन करती है जहां सीमित संख्या में उच्च-मूल्य वाले ऑपरेशन अधिकांश नुकसान के लिए जिम्मेदार हैं, न कि हमले की आवृत्ति में व्यापक वृद्धि।
TRM के डेटा के आधार पर, उत्तर कोरिया की 2017 से अब तक की कुल क्रिप्टो चोरी $6 बिलियन से अधिक हो गई है।
2020 से हर साल क्रिप्टो चोरी में उत्तर कोरिया की हिस्सेदारी बढ़ी है
TRM के डेटा से पता चलता है कि उत्तर कोरिया की कुल क्रिप्टो हैक नुकसान में हिस्सेदारी 2020 और 2021 में 10% से कम से बढ़कर 2022 में 22%, 2023 में 37%, 2024 में 39% और 2025 में 64% हो गई। 2026 के लिए वर्ष-दर-तारीख 76% का आंकड़ा TRM द्वारा दर्ज की गई सबसे अधिक निरंतर हिस्सेदारी है।
2025 की छलांग लगभग पूरी तरह से उस वर्ष फरवरी में Bybit उल्लंघन से प्रेरित थी, जिसमें एक समझौता किए गए Safe{Wallet} साइनिंग इंटरफेस के माध्यम से एक कोल्ड वॉलेट से $1.46 बिलियन चुराए गए थे। TRM ने कहा कि Bybit अब तक का सबसे बड़ा एकल क्रिप्टो हैक बना हुआ है।
हमले की लय नहीं बदली है। TRM ने कहा कि उत्तर कोरियाई हैकिंग टीमें हर साल उच्च-मात्रा अभियान के बजाय सटीक रूप से लक्षित कम संख्या में ऑपरेशन चलाती रहती हैं।
TRM विश्लेषकों के अनुसार, जो बदला है वह ऑपरेशनों की परिष्कृतता है। रिपोर्ट में कहा गया है कि विश्लेषकों ने अनुमान लगाना शुरू कर दिया है कि उत्तर कोरियाई ऑपरेटर टोही और सोशल इंजीनियरिंग वर्कफ्लो में AI टूल्स को शामिल कर रहे हैं, जो Drift हमले के अनुरूप है, जिसमें जटिल ब्लॉकचेन तंत्रों की सरल निजी कुंजी समझौते के बजाय सप्ताहों तक लक्षित हेरफेर की आवश्यकता थी, जिस पर उत्तर कोरिया ऐतिहासिक रूप से निर्भर रहा है।
Drift Protocol हैक ने महीनों की सोशल इंजीनियरिंग के बाद $285 मिलियन खाली किए
TRM ने Drift हमले को एक ऐसे उत्तर कोरियाई समूह से जोड़ा, जिसे वह TraderTraitor से अलग मानता है — TraderTraitor एक राज्य-संबद्ध उत्तर कोरियाई खतरा अभिनेता है जो सोशल इंजीनियरिंग के माध्यम से क्रिप्टो फर्मों को निशाना बनाने के लिए जाना जाता है। विशिष्ट उपसमूह अभी भी जांच के अधीन है।
अभियान चोरी से महीनों पहले शुरू हुआ और इसमें उत्तर कोरियाई प्रॉक्सी और Drift कर्मचारियों के बीच व्यक्तिगत बैठकें शामिल थीं, जो TRM ने कहा कि उत्तर कोरिया के क्रिप्टो हैकिंग इतिहास में अभूतपूर्व हो सकती है। ऑन-चेन स्टेजिंग 11 मार्च को Tornado Cash से 10 ETH निकासी के साथ शुरू हुई।
हमले ने Solana की एक सुविधा का फायदा उठाया जिसे durable nonce कहा जाता है, जो एक पूर्व-हस्ताक्षरित लेनदेन की वैधता विंडो को लगभग 90 सेकंड से अनिश्चित काल तक बढ़ा देता है। 23 मार्च और 30 मार्च के बीच, हमलावर ने Drift के Security Council multisig साइनर्स को durable nonces का उपयोग करके लेनदेन पूर्व-अधिकृत करने के लिए प्रेरित किया। 27 मार्च को, Drift ने अपने Security Council को शून्य टाइमलॉक के साथ 2/5 थ्रेशोल्ड कॉन्फ़िगरेशन में माइग्रेट किया, जिसे हमलावर ने बाद में एक्सप्लॉइट किया।
समानांतर में, हमलावर ने CarbonVote Token (CVT) नामक एक टोकन बनाया, इसे तरलता के साथ बीज दिया, और वॉश ट्रेडिंग के माध्यम से कीमत को बढ़ाया। Drift के ऑरेकल ने CVT को वैध संपार्श्विक माना।
1 अप्रैल को, पूर्व-हस्ताक्षरित लेनदेन प्रसारित किए गए। TRM ने कहा कि लगभग 12 मिनट में 31 निकासियां निष्पादित हुईं, USDC, JLP (Jupiter liquidity provider token) और अन्य संपत्तियों को खाली कर दिया। अधिकांश धन घंटों के भीतर Ethereum में ब्रिज किया गया और तब से नहीं हिला है।
KelpDAO ने एकल-वेरिफायर LayerZero खामी के कारण $292 मिलियन खोए
18 अप्रैल को KelpDAO उल्लंघन ने Ethereum पर प्रोजेक्ट के rsETH LayerZero ब्रिज को निशाना बनाया। rsETH KelpDAO का लिक्विड रीस्टेकिंग टोकन है, जो कई प्रोटोकॉल में रीस्टेक किए गए ETH का प्रतिनिधित्व करता है।
TRM के अनुसार, हमलावरों ने दो आंतरिक RPC नोड्स से समझौता किया और नोड सॉफ्टवेयर को बदल दिया ताकि वे गलत ब्लॉकचेन डेटा रिपोर्ट करें। फिर उन्होंने बाहरी असमझौताकृत RPC नोड्स के खिलाफ DDoS हमला किया, जिससे ब्रिज के वेरिफायर को दो जहरीले आंतरिक नोड्स पर फेल ओवर करने के लिए मजबूर होना पड़ा।
जहरीले नोड्स ने गलत तरीके से रिपोर्ट किया कि rsETH को सोर्स चेन पर बर्न किया गया था, भले ही कोई बर्न नहीं हुआ था। एकल वेरिफायर ने धोखाधड़ी वाले क्रॉस-चेन संदेश को वैध के रूप में पुष्टि की, और हमलावर ने ब्रिज कॉन्ट्रैक्ट से लगभग 116,500 rsETH, जो लगभग $292 मिलियन के बराबर है, खाली कर दिया।
TRM ने कहा कि एकल-DVN (Decentralized Verifier Network) कॉन्फ़िगरेशन निर्धारित भेद्यता है। LayerZero क्रॉस-चेन सत्यापन के लिए कई स्वतंत्र वेरिफायर कॉन्फ़िगर करने का समर्थन करता है, लेकिन KelpDAO के rsETH डिप्लॉयमेंट ने केवल LayerZero Labs DVN का उपयोग किया। किसी दूसरे वेरिफायर के सहमत होने की आवश्यकता के बिना, एक जहरीला डेटा स्रोत पर्याप्त था।
TRM ने प्री-फंडिंग और लॉन्ड्रिंग दोनों के ऑन-चेन विश्लेषण के आधार पर एक्सप्लॉइट को उत्तर कोरिया से जोड़ा। प्रारंभिक फंडिंग का एक हिस्सा Wu Huihui द्वारा नियंत्रित 2018 Bitcoin वॉलेट से जुड़ा था, जो एक चीनी क्रिप्टो ब्रोकर है जिस पर 2023 में Lazarus Group द्वारा चोरी की लॉन्ड्रिंग के लिए अभियोग लगाया गया था — Lazarus Group उत्तर कोरियाई राज्य-संबद्ध हैकिंग इकाई है जो रिकॉर्ड पर कुछ सबसे बड़े क्रिप्टो एक्सप्लॉइट के पीछे है। अन्य धन BTCTurk हैक से प्राप्त हुए, जो एक और हालिया TraderTraitor चोरी है।
Drift और KelpDAO हैक ने विभिन्न क्रिप्टो लॉन्ड्रिंग रणनीतियों का खुलासा किया
Drift और KelpDAO विभिन्न परिचालन स्थितियों द्वारा आकारित अलग-अलग लॉन्ड्रिंग दृष्टिकोण प्रदर्शित करते हैं।
Drift के लिए, चुराए गए टोकन Jupiter के माध्यम से USDC में परिवर्तित किए गए, Ethereum में ब्रिज किए गए, ETH में स्वैप किए गए, और ताजे वॉलेट में वितरित किए गए। चोरी के दिन से धन नहीं हिला है। जिम्मेदार समूह एक संरचित कैशआउट निष्पादित करने से पहले महीनों या वर्षों तक आय रखने के एक प्रलेखित उत्तर कोरियाई पैटर्न का पालन करता है।
KelpDAO ने दूसरा रास्ता अपनाया। TraderTraitor हैकर्स ने Arbitrum पर लगभग 30,766 ETH छोड़ा, और Arbitrum Security Council ने आपातकालीन शक्तियों का उपयोग करके लगभग $75 मिलियन को फ्रीज कर दिया। फ्रीज ने एक तेज लॉन्ड्रिंग हड़बड़ी को ट्रिगर किया।
अनफ्रोजन ETH में से लगभग $175 मिलियन को Bitcoin में स्वैप किया गया, ज्यादातर THORChain के माध्यम से, जो बिना KYC आवश्यकता के एक क्रॉस-चेन लिक्विडिटी प्रोटोकॉल है। रूपांतरण से पहले कुछ वॉलेट लिंकेज को अस्पष्ट करने के लिए Umbra, एक Ethereum गोपनीयता टूल, का उपयोग किया गया था। TRM ने कहा कि चल रहे लॉन्ड्रिंग चरण को उत्तर कोरियाई खुद के बजाय लगभग पूरी तरह से चीनी मध्यस्थों द्वारा संभाला जा रहा है।
THORChain ने 2025 Bybit उल्लंघन और 2026 KelpDAO हैक दोनों से अधिकांश आय को संसाधित किया, ऑपरेटर हस्तक्षेप के बिना सैकड़ों मिलियन चुराए गए ETH को Bitcoin में परिवर्तित किया। 2025 में, अधिकांश चुराए गए Bybit फंड 24 फरवरी और 2 मार्च के बीच THORChain के माध्यम से ETH से BTC में परिवर्तित किए गए थे। KelpDAO ने अप्रैल 2026 में वही रणनीति अपनाई।
THORChain के डेवलपर्स और वैलिडेटर्स ने कहा है कि प्रोटोकॉल विकेंद्रीकृत है, कोई केंद्रीय ऑपरेटर नहीं है और यह लेनदेन अस्वीकार नहीं कर सकता। X पर प्रोजेक्ट सदस्यों के हालिया बयान सुझाव देते हैं कि यह नहीं है, या हमेशा ऐसा नहीं रहा है।
TRM का कहना है कि अनुपालन टीमों को क्या निगरानी करनी चाहिए
रिपोर्ट ने एक्सचेंज और DeFi प्रोटोकॉल के लिए चार निगरानी प्राथमिकताएं सूचीबद्ध कीं।
THORChain पूल से BTC प्रवाह प्राप्त करने वाले एक्सचेंजों को ज्ञात KelpDAO और Lazarus Group पता क्लस्टर के विरुद्ध स्क्रीन करना चाहिए। विशिष्ट KelpDAO पतों के लिए एट्रिब्यूशन जारी है, और TRM ने 30 दिनों के बाद जमा राशि की पुनः जांच की सिफारिश की, क्योंकि KelpDAO-लिंक्ड पतों के लिए एट्रिब्यूशन अभी भी अंतिम रूप दिया जा रहा है।
durable nonce प्राधिकरण के साथ Solana Security Council multisig का उपयोग करने वाले प्रोटोकॉल को Drift घटना को एक टेम्पलेट हमले के रूप में मानना चाहिए जिसे दोहराया जाएगा, क्योंकि इसने एप्लिकेशन लॉजिक के बजाय गवर्नेंस इंफ्रास्ट्रक्चर को निशाना बनाया।
फर्स्ट-हॉप एड्रेस स्क्रीनिंग अकेले उन फंड को नहीं पकड़ेगी जो एक्सचेंज तक पहुंचने से पहले मध्यस्थ वॉलेट से गुजरे। KelpDAO और Bybit दोनों में ब्रिज या क्रॉस-चेन इंफ्रास्ट्रक्चर शामिल था, और TRM ने कहा कि मल्टी-हॉप विश्लेषण आवश्यक है।
TRM ने अपने Beacon Network की ओर भी इशारा किया, जिसके 30 से अधिक सदस्य हैं, जिनमें Coinbase, Binance, Kraken, OKX और Crypto.com शामिल हैं, और जब उत्तर कोरिया-लिंक्ड फंड किसी भागीदार संस्था तक पहुंचते हैं तो वास्तविक समय में फ्लैग किए गए हमलावर पतों को ऑटो-ट्रेस करता है।
आपको यह भी पसंद आ सकता है
न्यूनतम वेतन क्षेत्रों में अलग-अलग क्यों होता है?
StepDrainer 20 से अधिक नेटवर्क पर क्रिप्टो वॉलेट खाली करता है
