Pohjois-Korean Lazarus-ryhmän hyökkäykset
Huhtikuussa 2026 Pohjois-Korean Lazarus-ryhmä toteutti kaksi merkittävää hakkerointia, joiden yhteisarvo oli 577 miljoonaa dollaria. Nämä hyökkäykset vastasivat 76 prosentista kaikista kryptovarkauksista tänä vuonna. Kumpikaan hyökkäys ei perustunut älysopimusten hyväksikäyttöön. Hyökkääjät viettivät kuusi kuukautta esiintyen kaupankäyntiyrityksenä, osalistuen kryptokonferensseihin henkilökohtaisesti ja luoden aitoja suhteita Drift Protocolin insinöörien kanssa ennen kuin he saivat tarvittavat allekirjoitukset 285 miljoonan dollarin varojen tyhjentämiseksi vain kahdessatoista minuutissa. Toinen hyökkäys tyhjensi 292 miljoonaa dollaria yhdestä haavoittuvasta silta-solmusta. Tämä ei ole enää pelkkä kryptoturvallisuusongelma; se on valtion tukema tiedustelutoiminta, jota johtaa maa, joka käyttää varojaan aseohjelmansa rahoittamiseen. Ala alkaa vasta myöntää tämän tosiasian.
Hyökkäysten yksityiskohdat
1. huhtikuuta 2026 kello 16:06:09 UTC hyökkääjä tyhjensi Drift Protocolin päävarastot, joka on suurin hajautettu jatkuvien futuurien pörssi Solanassa, noin 285 miljoonalla dollarilla käyttäjävaroja. Ensimmäinen nostosumma oli 41,72 miljoonaa JLP-tokenia, ja viimeinen nostosumma oli 2 200 käärittyä ETH:ta. Koko valtionvarasto tyhjennettiin kahdessatoista minuutissa, mikä on suunnilleen sama aika, joka kuluu pitkän tekstiviestin kirjoittamiseen. Drift-tiimi julkaisi ensimmäisen julkisen lausuntonsa X:ssä muutamassa tunnissa, pyytäen yhteisöä vahvistamaan, että he olivat havainneet epätavallista toimintaa, joka ei ollut aprillipila. Se ei ollut. Se oli kuuden kuukauden systemaattisen valmistelun huipentuma Pohjois-Korean hallituksen työntekijöiltä.
JUURI SAAPUNUT: Drift Protocol ilmoittaa, että kaikki huhtikuun 1. päivän hyväksikäytöstä kärsineet lompakot saavat palautustokeneita, jotka edustavat vahvistettua menetystä ja suhteellista palautuspoolin vaatimusta.
Seitsemäntoista päivää myöhemmin, 18. huhtikuuta, hyökkääjät tyhjensivät 292 miljoonaa dollaria KelpDAO:sta, restaking-protokollasta, manipuloimalla yksittäisen vahvistimen kokoonpanoa sen LayerZero-sillassa. Nämä kaksi hyökkäystä yhdessä vastasivat noin 95 prosentista huhtikuun 625 miljoonan dollarin kryptovarkauksista, mikä teki huhtikuusta 2026 pahimman kuukauden kryptoturvallisuuden historiassa. Vuoden alusta huhtikuuhun varastetut summat ylittivät miljardin dollarin.
Kryptovarkauksien taustat
TRM Labs arvioi, että 76 prosenttia koko vuoden 2026 summasta johtui näistä kahdesta hyökkäyksestä, ja molemmat olivat saman uhkaavan toimijan työtä. UUTISIA: KelpDAO siirtää $rsETH Chainlink CCIP:hen viitaten LayerZero-infrastruktuuriin huhtikuun yli 300 miljoonan dollarin DeFi-hyväksikäytön lähteenä. Tämä uhkaava toimija on Lazarus-ryhmä, lännen tiedustelupalveluiden kattotermi valtion tukemille hakkerointitoimille, joita johtaa Pohjois-Korean pääasiallinen tiedustelupalvelu, Tiedustelun yleinen toimisto.
Hyökkäysten vaikutukset ja tulevaisuus
Vuodesta 2017 lähtien Lazarus ja sen alayksiköt ovat varastaneet yli 6 miljardia dollaria kryptovaluutassa. Chainalysisin mukaan 2,06 miljardia dollaria tästä varastettiin pelkästään vuonna 2025, pääasiassa tuhoisan 1,5 miljardin dollarin Bybit-hyökkäyksen vuoksi helmikuussa, joka on historian suurin kryptovarkaus. Vuoden 2026 vauhti asettaa ryhmän mukavasti ylittämään vuoden 2025 kokonaismäärän.
Tämä ei ole kryptoturvallisuustarina missään perinteisessä mielessä. DeFi-protokollien kohtaamat uhkat tänään eivät ole uhkia, joita varten ne on suunniteltu puolustautumaan. Vuoden 2020 huoli oli älysopimusten virheet ja pikaluottohyökkäykset, haavoittuvuudet koodissa. Vuoden 2026 todellisuus on kestäviä, monen maan, monen kuukauden operaatioita, joita johtavat tiedusteluprofessionaalit, jotka eivät tarvitse koodin hyväksikäyttöä, koska heillä on jo avaimet. Heidän piti vain vakuuttaa joku luovuttamaan ne.
Drift Protocolin jälkikäteisarvio
Drift Protocolin oma jälkikäteisarvio, joka julkaistiin huhtikuun alussa, muistuttaa enemmän vastatiedusteluraporttia kuin turvallisuustietoa. Se alkaa lokakuusta 2025, jolloin suurella kryptokonferenssilla joukko henkilöitä, jotka esittäytyivät kvantitatiivisen kaupankäyntiyrityksen edustajina, lähestyi Driftin osallistujia. Heillä oli vahvistetut ammatilliset taustat, he osoittivat teknistä sujuvuutta ja kysyivät juuri sellaisia kysymyksiä, joita todellinen institutionaalinen kaupankäyntiyritys kysyisi integraatiosta jatkuvan protokollan kanssa.
Driftin osallistujat, jotka käsittelevät tällaisia pyyntöjä säännöllisesti, kohtelivat heitä kuin mitä tahansa muuta mahdollista institutionaalista kumppania. Drift on sittemmin selventänyt, että henkilöitä noissa henkilökohtaisissa tapaamisissa ei ollut Pohjois-Korean kansalaisia. Lazarus-operaatiot käyttävät lähes aina kolmansia osapuolia kasvokkain tapahtuvaan kontaktiin, kun taas varsinaiset tekniset operaattorit pysyvät Pohjois-Koreassa tai Kiinassa.
Hyökkäysten mekanismit
23. maaliskuuta, yli viikko ennen varkautta, hyökkääjät perustivat neljä lompakkoa käyttäen Solanan ”kestävä nonce” -ominaisuutta, joka mahdollistaa ennakkoon allekirjoitettujen tapahtumien suorittamisen tulevaisuudessa. Kaksi näistä lompakoista kuului Driftin turvallisuusneuvoston vaarantuneille jäsenille, monisignaaliryhmälle, joka hallitsi protokollan herkimmät toiminnot. Kaksi muuta olivat hyökkääjien suoran hallinnan alla.
Sosiaalisen manipuloinnin ja vaarantuneiden laitteiden kautta hyökkääjät saivat monisignaalin hyväksynnät kahdelta viidestä turvallisuusneuvoston allekirjoittajasta, joita tarvittiin ennakkoon allekirjoitettujen tapahtumien toteuttamiseen. 1. huhtikuuta, kun Driftin tiimi suoritti rutiininomaista nostoa vakuutusrahastosta, hyökkääjät suorittivat kaksi ennakkoon allekirjoitettua tapahtumaa neljän lohko-aukkojen välein.
Yhteenveto ja tulevaisuuden näkymät
Kiusaus, kun lukee Driftin jälkikäteisarviota, on käsitellä sitä poikkeuksellisena kertaluonteisena tapahtumana. Kuuden kuukauden operaatio. Useita vaarantuneita laitteita. Ennakkoon allekirjoitetut tapahtumat. Pesukaupassa kaupankäydyt valevakuudet. Se kuulostaa Hollywoodin käsikirjoitukselta. Mutta astu taaksepäin, ja jokaisen merkittävän Lazarus DeFi-hyökkäyksen arkkitehtoniset sormenjäljet viimeisten kolmen vuoden aikana ovat identtisiä.
Osa, joka vain kuvaisi ongelmaa, olisi masentava. Vaikeampi kysymys on, mitä todella pitäisi muuttua, jotta Lazarus-ongelma olisi käsiteltävissä. Kolme asiaa, järjestyksessä siitä, kuinka vaikeita niiden toteuttaminen on. Ensimmäinen on operatiivisen turvallisuuden kulttuuri DeFi-protokollissa. Hyökkäyspinta, jota Lazarus hyödyntää, ei ole tekninen. Se on inhimillinen.
Tämä artikkeli on tiedotustarkoituksiin eikä se muodosta turvallisuus- tai sijoitusneuvontaa. Turvallisuustapahtumat, attribuutiot ja palautusyritykset kehittyvät nopeasti; kuvastetut luvut ja operatiiviset yksityiskohdat heijastavat raportointia, joka on saatavilla toukokuun 2026 puolivälistä. Tee aina oma tutkimus ja ota yhteyttä päteviin turvallisuusalan ammattilaisiin.
