W 2026 r. trzy na cztery dolary skradzione w kryptowalucie na świecie trafiły do tego samego miejsca: Pjongjangu. Według TRM Labs, Korea Północna odpowiadała za 76% całej wartości skradzionej w atakach kryptograficznych w 2026 r. (do kwietnia). Liczba przeraża — ale to, co ona ukrywa, przeraża jeszcze bardziej. Ta dominacja nie wynikła z lawiny ataków. Wynikła z zaledwie dwóch oszustw, sumując około 577 mln USD. I obydwa już tutaj czytałeś.
Pierwszy to włamania za 285 mln USD do Drift Protocol, które okazało się sześciomiesięczną operacją inżynierii społecznej powiązaną z Koreą Północną. Drugi to exploit około 292 mln USD w KelpDAO, którą opisaliśmy w miesiącu, gdy cross-chain oszacował — i którą Chainalysis, partner ON3X w blockchain analytics, formalnie przypisuje teraz Lazarus Group. Dwie oddzielne reportaże, które razem stanowią trzy czwarte całej kryptoprzestępczości roku. To jest teza tego artykułu: era samotnego hakera się skończyła. To, co istnieje dzisiaj, to państwo z ośrodkiem zysku.
Dwa oszustwa, nie fala
Naiwna interpretacja 76% to wyobrażenie sobie armii północnokoreańskich hakerów przeszukujących DeFi każdego dnia. To jest odwrotnie. Korea Północna wykonuje mniej ataków, ale większych — i dwa z nich wystarczyły, aby przejąć rok. Drift i KelpDAO nie były błędami przypadkowo wykorzystanymi: były to operacje na pojedynczy cel, planowane przez miesiące, z zwrotami dziewięciocyfrowych każda.
Kontrast z przeszłością jest uderzający. W 2020 r. aktorzy powiązani z Koreą Północną odpowiadali za mniej niż 10% globalnego kradzieży kryptowaluty. W 2025 r. reżim przywłaszczył sobie rekord około 2,02 miliardów USD — wzrost o 51% w ciągu roku —, podnosząc łączną kwotę od 2017 r. na ponad 6 miliardów USD. Trajektoria to koncentracja: w miarę jak kwoty na oszustwo wybuchają, udział pojedynczego państwa w całości rośnie. Kryptowaluty przestały być celem opportunistów i stały się przedmiotem polityki państwowej.
Schemat nie jest nowy — to podpis reżimu. Rekord 2025 r. był napędzany przez jedno zdarzenie: kradzież około 1,5 miliarda USD z Bybit na początku roku, największe włamania w historii kryptografii, także przypisane Lazarus. Jedno oszustwo określiło rok 2025; dwa oszustwa określiły 2026. Korea Północna odkryła, że nie potrzebuje objętości — potrzebuje chirurgicznej operacji dziewięciu lub dziesięciocyfrowej na okno. To różnica między złodziejem portfela a napadaczem banku centralnego.
Śmierć samotnego hakera
Za oszustwami stoi Reconnaissance General Bureau (RGB), północnokoreańska agencja wywiadowcza, działająca poprzez Lazarus Group i jej podjednostki. To nie jest zbiorowość anarchistyczna — to struktura hierarchiczna, z celami, budżetem i jasnym celem dla pieniędzy: program broni i pocisków reżimu, pod ciężkimi międzynarodowymi sankcjami.
To zmienia naturę problemu. Kiedy Raport Chainalysis o Przestępczości Kryptograficznej 2026 opisuje przejście od samotnych hakerów do wielkoskalowej infrastruktury przestępczej, Korea Północna jest przypadkiem granicznym: cały kraj przekształcony w operację kradzieży cybernetycznej w celu finansowania wojskowego. Każdy exploit DeFi przypisany Lazarus to nie tylko strata protokołu — to transfer kapitału do programu broni.
Wymiar ekonomiczny to to, co czyni temat nie do uniknięcia. Szacunki paneli ekspertów ONZ wskazują od lat, że kradzież kryptoaktywów finansuje znaczną część programu broni masowego zniszczenia reżimu — źródło dochodów, które przeskoczyło kolejne warstwy sankcji handlowych. Dla izolowanej gospodarki pod embargiem kilka miliardów dolarów czystej kryptowaluty rocznie to nie zmiana: to jedna z głównych linii finansowania pocisków balistycznych. Dlatego każda skradziona kwota ma znaczenie daleko poza księgą DeFi.
Podręcznik nie to exploit — to ludzie
Tutaj jest najbardziej niebezpieczne błędy rynku: myślenie, że broni się przed Koreą Północną poprzez audyt smart contract. Głównym wektorem Lazarus nie jest kod. To osoba.
Atak na Drift to portret metody: sześciomiesięczna operacja, z fałszywymi tożsamościami profesjonalnymi, obecność na konferencjach branżowych poprzez pośredników i cierpliwa budowa relacji z konkretnymi celami aż do uzyskania dostępu. Jednocześnie Fireblocks udokumentowała kampanie fałszywych rozmów rekrutacyjnych — ghosty rekruterzy, rozmowy przez Google Meet, testy techniczne wysyłane przez GitHub, które po uruchomieniu instalowały malware zdolny do wyeksponowania portfeli, kluczy i systemów produkcyjnych. To ten sam DNA "Mach-O Man", malware na macOS rozpowszechniany poprzez fałszywy Zoom dla kadry kierowniczej kryptowaluty, który zmapowaliśmy w kwietniu.
Istnieje również strategia "Wagemole": infiltrować północnokoreańskich pracowników IT, z fałszywymi tożsamościami, do legalnych firm na całym świecie. Po zatrudnieniu działają jako zwykli pracownicy, podczas gdy przekazują wywiad zespołom ataku lub ułatwiają kradzież od wewnątrz. Powierzchnia ataku przestała być obwodem technicznym i stała się HR-em.
Jak pieniądze znikają
Kradzież to połowa pracy; reszta to pranie. Po tym jak Stany Zjednoczone nałożyły sankcje na Tornado Cash i Sinbad.io, operatorzy Korei Północnej przenieśli przepływy prania na mosty cross-chain — przede wszystkim THORChain i LI.FI —, robiąc "chain hopping": konwertują Ethereum na Bitcoin, potem na stablecoins takie jak DAI, skacząc z blockchaina na blockchain, aby pomieszać trop.
To nie jest zbieg okoliczności, że THORChain pojawia się zarówno w praniu pieniędzy, jak i na liście exploatowanych mostów, które opisaliśmy w klastrze trzech mostów w cztery dni. Infrastruktura cross-chain stała się jednocześnie celem i pralnią. Możliwą odpowiedzią jest zamrożenie na warstwie emitenta — jak kiedy Tether zamroziła USDT na żądanie OFAC — ale to działa tylko dla scentralizowanych stablecoinów i kiedy przypisanie dociera na czas.
Dlaczego to jest geopolityka, a nie wsparcie techniczne
Warto zamknąć kontrast, który krąży wokół całego naszego pokrycia cyber. W przypadku Comando Vermelho, przestępczość kryptograficzna jest terytorialna i analogowa na wejściu — kradzież prądu w favelach Rio. W Korei Północnej jest państwowa i wyrafinowana od wejścia do wyjścia: agencja wywiadowcza, inżynieria społeczna przez sześć miesięcy, pranie cross-chain. To dwa skrajne punkty tego samego spektrum — i oba kończą się w tym samym miejscu, na blockchaina, ponieważ jest to jedyna warstwa rozliczeniowa, która nie prosi o pozwolenie ani nie oddaje pieniędzy.
Dla protokołu DeFi konsekwencja praktyczna jest trudna: odpowiednim przeciwnikiem nie jest już skrypt kiddie za reentrancy. To государство-nacja z cierpliwością sześciu miesięcy, budżetem wywiadowczym i programem pocisków do finansowania. Obrona przed tym to higiena personelu i procesów — weryfikacja tożsamości kandydatów, segregacja kluczy, nieufność wobec "rekruterów" — nie tylko audyt umowy.
Perspektywa ON3X
Trzy odczyty, które należy wziąć z tej liczby:
- 76% z dwoma oszustwami to statystyka o koncentracji, nie częstotliwości. Korea Północna nie hakuje więcej; hakuje większe. Ryzyko systemowe przemigrował z ilości ataków na wielkość każdego z nich — i wystarczy jedna udana operacja na kwartał, aby zdominować cały rok.
- Najsłabszym ogniwem jest człowiek, nie technika. Drift, Mach-O Man i fałszywe rozmowy mówią tę samą historię: Lazarus wchodzi przez osobę, nie kod. Ci, którzy traktują bezpieczeństwo kryptografii jako problem audytu smart contract, bronią złych drzwi.
- Każdy hack Lazarus to problem sankcji. Skradziony pieniądz finansuje broń pod embargiem. To przekształca każdy exploit DeFi w kwestię bezpieczeństwa narodowego — i wyjaśnia, dlaczego zamrożenie stablecoinu, przypisanie on-chain i współpraca między analytics (Chainalysis, TRM, Elliptic) przestały być szczegółem technicznym, aby stać się narzędziem polityki zagranicznej.
Często zadawane pytania
Korea Północna rzeczywiście ukradła 76% całej kryptowaluty w 2026 r.?
Według TRM Labs, aktorzy powiązani z Koreą Północną odpowiadali za około 76% całej wartości skradzionej w atakach kryptograficznych w 2026 r. do kwietnia. Liczba jest zdominowana przez zaledwie dwa oszustwa — Drift Protocol i KelpDAO — które sumują się do około 577 mln USD.
Jakie były te dwa ataki?
Włamanie około 285 mln USD do Drift Protocol, ujawnione jako sześciomiesięczna operacja inżynierii społecznej powiązana z Koreą Północną, i exploit około 292 mln USD w moście cross-chain KelpDAO, przypisany przez Chainalysis Lazarus Group.
Jak Korea Północna czyści skradzioną kryptografię?
Po sankcjach USA na Tornado Cash i Sinbad.io, operatorzy migrowali do mostów cross-chain takich jak THORChain i LI.FI, robiąc "chain hopping" — konwertują Ethereum na Bitcoin i potem na stablecoins takie jak DAI, skacząc między blockchainami, aby utrudnić śledzenie.
Dlaczego to ma znaczenie poza rynkiem kryptografii?
Skradzione zasoby finansują program broni i pocisków Korei Północnej, pod międzynarodowymi sankcjami. To przekształca każdy exploit przypisany Lazarus w kwestię unikania sankcji i bezpieczeństwa narodowego, nie tylko stratę protokołu.