Nordkoreanska hackare stod för 76 % av alla kryptoförluster till och med april, enligt TRM Labs.
Rapporten visar att hackare från två olika grupper stal ungefär 577 miljoner USD vid två attacker under 2026.
Två nordkoreanska stölder stod för 76 % av förlusterna vid kryptohack 2026
Drift Protocol-attacken och KelpDAO-attacken hände samma månad. Tillsammans utgjorde de bara 3 % av årets incidenter, men stod för största delen av de stulna pengarna. Båda dessa attacker kopplas till nordkoreanska aktörer.
”Nordkoreanska hackargrupper stod för 76 % av alla kryptoförluster till och med april 2026 — inte för att Nordkorea startade många attacker, utan för att två attacker som totalt gav 577 miljoner USD överskuggade allt annat”, skrev TRM Labs.
Drift-attacken den 1 april kostade Solana-börsen Drift 285 miljoner USD. I en senare rapport berättade Drift-teamet att attacken var resultatet av ett halvår långt underrättelsearbete kopplat till nordkoreanska aktörer. Efterdyningarna drabbade fler protokoll, och påverkade flera protokoll.
Även Solanas plattform Carrot drabbades. Teamet meddelade att de stänger ner den 30 april. Carrot har satt 14 maj som sista dag för användare att ta ut kvarvarande saldon från Boost-, Turbo- och CRT-positionerna innan tvångslikvidering startar.
Följ oss på X för att få de senaste nyheterna direkt
Samtidigt, den 18 april, tog angripare ut 116 500 rsETH, värt cirka 292 miljoner USD, från KelpDAO:s brygga mellan blockkedjor. Detta är årets största DeFi-hack hittills.
Undersökningar pekar på att Lazarus Group, via TraderTraitor, antagligen låg bakom attacken. Effekterna nådde hela marknaden. Både Aave och DeFi TVL föll kraftigt efter attacken.
Nordkoreas andel av kryptostölder ökar ständigt
Nordkoreanska grupper har blivit störst på kryptostölder. De tog minst 2,02 miljarder USD i digitala tillgångar under 2025.
Deras andel av totala förluster har stigit mycket på senare år. Siffran låg under 10 % under 2020 och 2021, steg till 22 % år 2022 och sedan till 37 %, 39 % och 64 % åren därefter. 76 % till och med april 2026 är den högsta nivån hittills.
TRM:s analytiker säger att antalet attacker inte har ökat. Pyongyangs främsta grupper gör fortfarande få, men noggrant planerade, attacker varje år och väljer noggrannhet framför antal.
Det som förändrats är attackernas “komplexitet”. TRM tror att nordkoreanska aktörer nu kan använda AI-verktyg för spaning och social manipulation.
”TRM:s analytiker börjar misstänka att nordkoreanska aktörer använder AI-verktyg… en utveckling som passar med ökad precision hos attacker som Drift. Den krävde flera veckor av målinriktad manipulation av komplicerade blockkedjemekanismer, istället för Nordkoreas tidigare fokus på enkla stölder av privata nycklar,” står det i rapporten.
Detta väcker frågor om AI-drivna attackers möjligheter och om kryptoprotokoll kan hänga med i det nya hotet.
Prenumerera på vår YouTube-kanal för att se ledare och journalister ge expertanalyser
