Специалисты платформы кибербезопасности TRM Labs обнародовали масштабную оценку деятельности северокорейских кибергруппировок: совокупный объём криптовалют, изъятых злоумышленниками из КНДР за последние девять лет, превысил отметку в $6 млрд. Только за первые четыре месяца текущего года зафиксирован прирост похищенных средств примерно на $577 млн, однако аналитики подчёркивают: речь идёт исключительно о верифицированных инцидентах, которые удалось достоверно атрибутировать северокорейским акторам.
Одним из наиболее резонансных эпизодов стала атака 1 апреля на децентрализованный протокол Drift, в ходе которой злоумышленники вывели активов на сумму свыше $270 млн. По данным экспертов по информационной безопасности, подготовка к операции занимала три недели, а элементы социальной инженерии применялись на протяжении нескольких месяцев предшествующего периода. При этом непосредственная эксфильтрация средств с целевых адресов была выполнена всего за 12 минут.
Следующим крупным инцидентом стал взлом 18 апреля платформы Kelp DAO с оценочным ущербом порядка $292 млн. В данном случае хакеры эксплуатировали архитектурную уязвимость в инфраструктуре моста LayerZero. После компрометации часть похищенных активов была отмыта через децентрализованный протокол THORChain, несмотря на то, что совет безопасности сети Arbitrum успел заморозить около $75 млн в криптоактивах на ассоциированных адресах.
Аналитики TRM Labs акцентируют: протокол THORChain играет системообразующую роль в схемах легализации средств, похищенных северокорейскими группировками. Платформа обработала значительную долю доходов как от недавних атак, так и от более ранних инцидентов — включая компрометацию биржи Bybit в 2025 году, — конвертируя для КНДР активы на сотни миллионов долларов в эфир и биткоин, что существенно упрощает дальнейшее использование украденных средств.