블록체인 정보 분석 회사인 TRM Labs의 새로운 보고서에 따르면, 북한 해커들은 올해 사이버 범죄자들이 탈취한 전체 암호화폐의 거의 4분의 3을 훔쳤는데, 이는 끊임없는 공격 캠페인을 통해서가 아니라 4월에 분산형 금융 플랫폼을 표적으로 삼아 정교하게 실행된 두 건의 해킹을 통해 이루어 졌습니다 .
4월 1일에 발생한 2 억 8500만 달러 규모의 드리프트 프로토콜(Drift Protocol) 해킹 사건 과 4월 18일에 발생한 2억 9200만 달러 규모의 켈프 분산형 자율 조직(DAO) (Kelp DAO) 해킹 사건은 4월 한 달 동안 발생한 전체 암호화폐 해킹 피해액의 3%에 불과하지만, 전체 피해액의 76%를 차지합니다.
종합적으로 TRM Labs는 북한과 연계된 해커들이 2017년 이후 암호화폐 프로토콜 및 프로젝트에서 60억 달러 이상을 훔쳐갔으며, 여기에는 업계 역사상 최악의 해킹 사건들도 포함된다고 추산합니다.
이 수치들은 북한 국가 연계 공작원들에 의한 암호화폐 절도가 가속화되고 있음을 반영합니다. 전체 암호화폐 해킹 손실에서 북한이 차지하는 비중은 2020년과 2021년 10% 미만에서 2022년 22%, 2023년 37%, 2024년 39%, 2025년 64%로 증가했습니다. 2026년 4월까지의 76%는 역대 최고 지속 점유율입니다.
드리프트 프로토콜 공격은 놀라울 정도로 오랜 시간을 들였다. 온체인 스테이징은 3월 11일에 시작되었으며, 이 캠페인은 수개월에 걸쳐 북한 대리인과 드리프트 직원들 간의 대면 회의를 포함했다. TRM 분석가들은 이러한 전술이 북한의 장기간에 걸친 암호화폐 해킹 캠페인에서 전례 없는 것일 수 있다고 평가했다.
공격자들은 솔라나(Solana) ' 내구성이 뛰어난 논스(durable 논스)' 라는 기능을 악용했습니다. 이 기능은 사전 서명된 거래를 저장해 두었다가 나중에 사용할 수 있도록 합니다. 4월 1일, 약 12분 만에 31건의 인출이 발생하여 USDC와 JLP를 포함한 실물 자산이 유출되었습니다. 탈취된 자금은 신속하게 이더리움 으로 옮겨진 후 현재까지 사용되지 않고 있습니다.
켈프 분산형 자율 조직(DAO) 공격은 다른 경로를 택했습니다. 공격자들은 내부 RPC 노드 두 개를 해킹한 후 외부 노드에 대한 서비스 거부 공격을 감행하여 브리지의 유일한 검증자가 변조된 데이터 소스에 의존하도록 만들었습니다. 이 노드들은 실제로 자산이 소각되지 않았음에도 불구하고 소스 체인에서 자산이 소각되었다고 허위 보고했고, 그 결과 약 116,500 rsETH(약 2억 9,200만 달러 상당)가 이더리움 브리지 계약에서 유출되었습니다.
켈프 분산형 자율 조직(DAO) 해킹 사건 이후, 아비트럼(Arbitrum) 보안위원회는 긴급 권한을 행사하여 네트워크에 남아 있던 약 7,500만 달러 상당의 도난 자금을 동결했습니다. 이는 매우 이례적인 개입으로, 신속한 자금 세탁 대응을 촉발했습니다. 이후 약 1억 7,500만 달러 상당의 이더 이더리움(ETH) 이 비트코인으로 교환되었는데, 대부분 신원 확인 절차가 필요 없는 크로스체인 유동성 프로토콜인 토르체인(THORChain) 통해 이루어졌습니다.
THORChain은 2025년 업계 최악의 해킹 사건인 바이비트(Bybit) 해킹 (14억 달러 이상의 암호화폐 도난)과 2026년 Kelp DAO 해킹으로 발생한 토르체인(THORChain) 의 대부분을 처리했으며 , 수억 달러에 달하는 도난당한 이더리움(ETH) 비트코인 으로 전환했지만, 어떤 운영자도 이체 거래를 동결하거나 거부하지 않았습니다.
TRM 분석가들은 해당 그룹이 공격 도구를 더욱 정교하게 다듬고 있는 것으로 보인다고 지적했습니다. 분석가들은 북한 공격자들이 정찰 및 사회공학적 기법에 AI 도구를 통합하고 있을 가능성을 제기했는데, 이는 복잡한 블록체인 메커니즘을 표적 조작하는 데 몇 주가 소요되는 드리프트(Drift)와 같은 공격의 정확도가 높아지는 추세와 일치합니다.
