Hackingangrep av Lazarus Group
I april 2026 utgjorde to hackingangrep utført av Nord-Koreas Lazarus Group et tyveri på 577 millioner dollar, som tilsvarte 76 % av all kryptovaluta-tyveri dette året. Ingen av angrepene involverte utnyttelse av smarte kontrakter. Angriperne tilbrakte seks måneder med å posere som et handelsfirma, delta på kryptokonferanser personlig og bygge ekte relasjoner med ingeniører hos Drift Protocol før de fikk tak i signaturene de trengte for å tømme 285 millioner dollar på tolv minutter. Det andre angrepet tappet 292 millioner dollar fra en enkelt sårbar bro-node. Dette er ikke lenger et kryptosikkerhetsproblem; det er en statssponset etterretningsoperasjon drevet av et land som bruker inntektene til å finansiere sitt våpenprogram. Bransjen begynner først nå å innrømme dette.
Det første angrepet
Klokken 16:06:09 UTC den 1. april 2026 tappet en angriper de store kassene til Drift Protocol, den største desentraliserte evigvarende futures-børsen på Solana, for omtrent 285 millioner dollar i brukeraktiva. Den første uttaket flyttet 41,72 millioner JLP-tokens, mens den siste flyttet 2 200 wrapped ETH. Hele kassen ble tømt på tolv minutter, omtrent den tiden det tar å skrive en lang tekstmelding. Teamets første offentlige uttalelse, postet på X innen timer, ba samfunnet bekrefte at den uvanlige aktiviteten de observerte ikke var en aprilspøk. Det var det ikke. Det var kulminasjonen av seks måneders metodisk forberedelse av operatører som jobbet for regjeringen i Nord-Korea.
Gjenopprettings-tokens og KelpDAO
NYHET: Drift Protocol annonserer at alle lommebøker som ble påvirket av utnyttelsen den 1. april vil motta gjenopprettings-tokens, hver representerer verifisert tap og proporsjonal gjenopprettingspool krav. Sytten dager senere, den 18. april, tappet angriperne 292 millioner dollar fra KelpDAO, et restaking-protokoll, ved å manipulere en enkelt-verifiseringskonfigurasjon i sin LayerZero-bro. De to angrepene utgjorde til sammen omtrent 95 prosent av aprils 625 millioner dollar i kryptotyveri, noe som gjorde april 2026 til den verste måneden for kryptosikkerhet i registrert historie. Tyveri så langt i år frem til april krysset 1 milliard dollar. TRM Labs pekte på at 76 prosent av hele 2026-totalen kom fra to angrep utført av den samme trusselaktøren.
Lazarus Group og deres metoder
NYHET: KelpDAO flytter $rsETH til Chainlink CCIP og siterer LayerZero-infrastruktur som aprils $300M+ DeFi utnyttelseskilde. Den trusselaktøren er Lazarus Group, det overordnede navnet som vestlige etterretningsbyråer bruker for statssponserte hackingoperasjoner drevet av General Reconnaissance Bureau, Nord-Koreas primære etterretningsbyrå. Siden 2017 har Lazarus og dens underenheter stjålet over 6 milliarder dollar i kryptovaluta. Ifølge Chainalysis-figurer ble 2,06 milliarder dollar av dette stjålet i 2025 alene, drevet primært av det katastrofale 1,5 milliarder dollar Bybit-hacket i februar det året, den største kryptotyveri i historien. 2026-farten setter gruppen på sporet til å komfortabelt passere 2025-totalen.
Trusselen mot DeFi-protokoller
Dette er ikke en kryptosikkerhetshistorie i noen konvensjonell forstand. Truslene DeFi-protokoller står overfor i dag er ikke de truslene de ble designet for å forsvare seg mot. Bekymringen fra 2020-tallet var smart kontrakt-feil og flash-låneutnyttelser, sårbarheter i koden. 2026-realityen er vedvarende, flerlands, fler-måneders operasjoner drevet av etterretningsprofesjonelle som ikke trenger en kodeutnyttelse fordi de allerede har nøklene. De måtte bare overbevise noen om å gi dem over. Det var det Drift-angrepet var. Å forstå dette er den viktigste sikkerhetsutdanningen enhver kryptoinnehaver, bygger eller leder kan få akkurat nå.
Metodene bak angrepene
Drift Protocols egen post-mortem, publisert tidlig i april, leser mer som en kontraetterretningsrapport enn en sikkerhetsavsløring. Den begynner i oktober 2025. På en stor kryptokonferanse nærmet en gruppe individer som presenterte seg som representanter for et kvantitativt handelsfirma seg Drift-bidragsytere. De hadde verifiserte profesjonelle bakgrunner, demonstrerte teknisk flyt, og stilte akkurat de spørsmålene et ekte institusjonelt handelsfirma ville stilt om integrering med et evigvarende protokoll. Drift-bidragsytere, som håndterer slike forespørsel rutinemessig, behandlet dem som enhver annen potensiell institusjonell partner. Drift har siden klargjort at individene på de personlige møtene ikke var nordkoreanske statsborgere. Lazarus-operasjoner bruker nesten alltid tredjeparts mellomledd for ansikt-til-ansikt kontakt, med de faktiske tekniske operatørene som holder seg inne i Nord-Korea eller Kina.
Konsekvenser for DeFi
Implisitt er strukturelt. Etter hvert som DeFi har modnet, har det bygget komposabilitet, egenskapen at enhver token kan tjene som sikkerhet for et hvilket som helst annet produkt. Den komposabiliteten er det som gjør DeFi nyttig, og det er også det som gjør en enkelt kompromittert eiendel i stand til å spre tap på tvers av flere protokoller innen timer. Aaves sikkerhetsmodul var utilstrekkelig til å absorbere den eventuelle dårlige gjelden fra rsETH-støttede lån. Estimater antyder at 100 til 120 millioner dollar i tap gjensto etter at forsikringsfondet var uttømt, og Aaves styring diskuterer nå åpent hvem som betaler for det som er igjen. Forslaget som vurderes ville dele tapene jevnt blant långivere som hadde de berørte posisjonene. Dette er, på klart språk, en innskyter-bail-in-hendelse for et av de største utlånsprotokollene i DeFi.
Veien videre for kryptovalutaindustrien
Det vanskeligste med Lazarus-historien er at den tvinger kryptovalutaindustrien til å konfrontere en sannhet som ikke passer rent inn i dens selvoppfatning. I løpet av mesteparten av sin historie har kryptovaluta rammet seg selv som en kamp mellom innovatører og utdaterte regulatorer, mellom tillatelsesfrie systemer og portvoktere, mellom kode og menneskelig skjønn. Lazarus-realityen er annerledes. Trusselen er ikke eksternt press. Trusselen er en fiendtlig statssponsert motstander som har industrialisert utnyttelsen av kryptovalutas spesifikke strukturelle trekk, mangelen på mellomleddsscreening, utbredelsen av multisig-styring, hastigheten på cross-chain oppgjør, og vanskeligheten med å gjenvinne hvitvaskede midler, mot industrien selv.
«Denne motstanderen bryr seg ikke om de ideologiske forpliktelsene kryptovaluta gjør til seg selv. Den bryr seg om å trekke ut verdi, og designvalgene som gjør kryptovaluta nyttig er de samme designvalgene som gjør det effektivt å stjele fra.»
Industrien har brukt år på å debattere om den skal være mer eller mindre som det tradisjonelle finanssystemet. Lazarus-problemet antyder at det mer interessante spørsmålet kan være hvordan man bygger en forsvarlig versjon av systemet kryptovaluta faktisk har blitt: komposabelt, raskt, cross-chain, og nå, demonstrert, et mål.
Denne artikkelen er kun til informasjonsformål og utgjør ikke sikkerhets- eller investeringsråd. Sikkerhetshendelser, attribusjon og gjenopprettingsinnsats utvikler seg raskt; tallene og operasjonelle detaljene som er beskrevet gjenspeiler rapportering tilgjengelig per midten av mai 2026. Gjør alltid din egen forskning og konsulter kvalifiserte sikkerhetsprofesjonelle.
