Самый успешный документ в истории. Его не существует.
Image

Антипов про самый живучий фейк в истории. Спойлер: дело не в евреях

Фейк без единого оригинального предложения пережил две мировые войны, холодную войну и интернет. 46% взрослого населения планеты до сих пор держит в голове хотя бы один миф из этого текста. Разбираю, как работает машина, которую давно остановили, но никто не заметил.

Пришли, поговорили и вынесли кассу. Хакеры из КНДР ответственны за 76% всех криптовзломов

leer en español

13230
КНДР TRM Labs Drift Protocol KelpDAO THORChain Lazarus криптокражи
Пришли, поговорили и вынесли кассу. Хакеры из КНДР ответственны за 76% всех криптовзломов
КНДР TRM Labs Drift Protocol KelpDAO THORChain Lazarus криптокражи

Вежливость и терпение оказались эффективнее любого софта.

image

Северокорейские хакеры снова показали, как несколько точечных атак могут перекроить статистику криптопреступности за целый год. По данным TRM Labs, с января по апрель 2026 года на связанные с КНДР группировки пришлось 76% всех потерь от взломов в криптоиндустрии, хотя речь идёт всего о двух крупных инцидентах.

Авторы отчёта оценивают ущерб от атак на Drift Protocol и KelpDAO примерно в $577 млн. Взлом Drift Protocol 1 апреля принёс злоумышленникам $285 млн, а атака на мост KelpDAO 18 апреля — ещё $292 млн. Вместе два инцидента составили лишь небольшую часть общего числа атак в 2026 году, но дали Северной Корее основную долю похищенных средств.

TRM Labs пишет, что доля КНДР в криптокражах растёт несколько лет подряд. В 2020 и 2021 годах показатель был ниже 10%, в 2022 году вырос до 22%, в 2023 году — до 37%, в 2024 году — до 39%, а в 2025 году достиг 64%. На рост повлиял и взлом Bybit в феврале 2025 года, когда из холодного кошелька вывели $1,46 млрд. TRM Labs называет тот инцидент крупнейшей криптокражей в истории.

Атака на Drift Protocol отличалась долгой подготовкой. По версии TRM Labs, злоумышленники начали ончейн-подготовку 11 марта, а ещё раньше несколько месяцев вели социальную инженерию против сотрудников проекта. В отчёте говорится, что северокорейские посредники даже встречались с представителями Drift лично.

Затем атакующие использовали механизм Solana durable nonce, который позволяет заранее подписывать транзакции и отправлять их позже. 1 апреля заранее подготовленные операции помогли вывести средства примерно за 12 минут. После быстрого обмена и перевода активов в Ethereum украденная криптовалюта пока не двигалась.

В случае KelpDAO атакующие ударили по мосту rsETH LayerZero. Они скомпрометировали два внутренних RPC узла, заставили внешние узлы работать со сбоями через DDoS атаку и добились ложного подтверждения межсетевого сообщения.

Ключевой слабостью TRM Labs называет схему с одним верификатором, который не требовал независимого подтверждения. После атаки часть средств на сумму около $75 млн заморозил Arbitrum Security Council, но около $175 млн в ETH злоумышленники успели перевести в Bitcoin, в основном через THORChain.

TRM Labs связывает KelpDAO с группой TraderTraitor и указывает, что часть средств для подготовки атаки прослеживается до Bitcoin кошелька У Хуэйхуэя, китайского криптоброкера, обвинённого в 2023 году в отмывании средств Lazarus. Компания считает, что совокупный объём криптовалюты, похищенной группами КНДР с 2017 года, уже превысил $6 млрд.

TRM Labs предупреждает биржи и DeFi проекты о рисках, связанных с THORChain, мостами и мультиподписными кошельками Solana. Компания советует проверять апрельские поступления, особенно Bitcoin после обменов через THORChain и средства, прошедшие через адреса, связанные с криптокражами Drift и KelpDAO.