Korea Północna ukradła 577 milionów dolarów w krypto. Wystarczyły dwa ataki

Kwiecień 2026 to najgorszy miesiąc dla bezpieczeństwa krypto od marca 2022. Suma strat z włamań i exploitów to według CertiK ok. 651 mln USD w skali ponad 40 incydentów.
Dwa ataki Korei Północnej, na Drift Protocol i KelpDAO, odpowiadają za ok. 577 mln USD czyli niemal 88% wszystkich strat miesiąca.
W 48 godzin po włamaniu na KelpDAO z DeFi uciekło ponad 13 mld USD, w tym 8,4 mld USD z samego Aave. To pokazuje jak jeden incydent potrafi zachwiać całym sektorem pożyczek.
Test dla Ciebie jako użytkownika giełd i DeFi jest prosty. Pieniądze trzymane w jednym protokole, nawet renomowanym, to zawsze pojedynczy punkt awarii. Sprawdź to dziś, nie po następnym ataku.

Statystyki za pierwszy kwartał 2026 roku wskazywały na spokojne otwarcie. DeFi straciło wtedy w sumie ok. 165 mln USD w 12 incydentach. To było jeszcze wcześniej. Potem przyszedł kwiecień i wszystko, co wiedzieliśmy o bezpieczeństwie zdecentralizowanych finansów, trzeba było napisać od nowa.

Najgorszy miesiąc od czasów wojny w Ukrainie

Według raportu firmy CertiK zajmującej się bezpieczeństwem blockchaina, w samym kwietniu 2026 hakerzy wyprowadzili z protokołów krypto ok. 651 mln USD w ponad 40 odrębnych incydentach. Inne źródła podają nieco niższe liczby. Global Ledger mówi o ok. 642 mln USD, The Defiant o 635 mln USD, a DefiLlama o 606 mln USD w 12 największych atakach. Różnice wynikają z metodologii, czyli co kto wlicza w sumę, ale wszystkie te firmy są zgodne co do jednego. Kwiecień 2026 to najgorszy miesiąc dla bezpieczeństwa krypto od marca 2022, kiedy z rynku zniknęło ok. 715 mln USD.

Dla porównania, każdy miesiąc od lutego 2025 mieścił się poniżej 240 mln USD. Wzrost jest więc skokowy, a nie ewolucyjny. I co ważne, kwiecień 2026 osiągnął ten poziom bez ani jednego dużego włamania na centralną giełdę, jak Bybit w lutym 2025. Wszystko wydarzyło się w DeFi.

Dwa ataki, niemal cała kwota

Schemat jest niezwykły. Z całego kwietniowego rachunku ok. 577 mln USD pochodzi z zaledwie dwóch incydentów. Jednostka TraderTraitor, podgrupa północnokoreańskiego Lazarus Group, w 18 dni opróżniła dwa różne protokoły dwoma różnymi metodami.

Pierwszy atak uderzył 1 kwietnia w Drift Protocol, giełdę kontraktów terminowych zbudowaną na Solanie. Według ustaleń TRM Labs, koreańscy operatorzy przez ok. sześć miesięcy podszywali się pod firmę handlową, jeździli na konferencje krypto, budowali relacje zawodowe z pracownikami protokołu i powoli wchodzili w jego Security Council, czyli wieloosobowe ciało zarządzające bezpieczeństwem. Kiedy uzyskali zaufanie, w 12 minut wyprowadzili 285 mln USD przy użyciu wcześniej przygotowanych instrukcji wypłaty.

Drugi atak nastąpił 18 kwietnia i był jeszcze większy. Atakujący zdrenowali z KelpDAO, protokołu liquid restakingu na Ethereum, ok. 292,7 mln USD w postaci tokenów rsETH. Ten atak nie wymagał miesięcy infiltracji. Tu wystarczyła błędna konfiguracja jednego elementu w mostku łączącym blockchainy. KelpDAO używał infrastruktury LayerZero, ale ustawił weryfikację cross-chain w trybie "1 z 1". Oznacza to, że pojedynczy węzeł weryfikujący decydował o tym, czy przyjąć transakcję między łańcuchami. Hakerzy podstawili fałszywe wiadomości temu jednemu węzłowi i protokół wypłacił 116 500 tokenów rsETH, które nie były niczym pokryte.

13 miliardów dolarów ucieczki z DeFi w dwa dni

To co stało się potem, pokazuje że zdecentralizowane finanse są w praktyce dużo bardziej połączone, niż chciałyby tego protokoły. KelpDAO emituje rsETH jako pochodną ethera, którą inni używają jako zabezpieczenie pożyczek. Największy bank DeFi, czyli Aave, akceptował rsETH jako collateral. Kiedy hakerzy stworzyli niepokrytego 116 500 rsETH, wzięli pod ten token pożyczkę ok. 190 mln USD w prawdziwym Ethereum z Aave i zniknęli.

Aave został z bezwartościowym papierem w zabezpieczeniach i prawdziwym długiem do spłacenia. Uderzenie w zaufanie było natychmiastowe. W 48 godzin po ataku z Aave wyszło 8,4 mld USD depozytów. Całkowita wartość zablokowana w DeFi spadła w tym samym czasie o ponad 13 mld USD. Pule stablecoinów na Aave osiągnęły 100% wykorzystania, więc użytkownicy chcący wypłacić środki musieli czekać w kolejce, aż ktoś spłaci pożyczkę. Analitycy z Galaxy Research wyliczyli, że Aave zostało z luką w bilansie szacowaną na 123 do 230 mln USD.

Co tu właściwie zaatakowano

Najciekawsza obserwacja dotyczy tego, czego haker nie zaatakował. Według firmy OpenZeppelin, audytora bezpieczeństwa, smart kontrakty KelpDAO działały dokładnie tak, jak zostały napisane. Nie znaleziono w nich błędu. Aave też nie został zhakowany w klasycznym sensie. Po prostu zaakceptował tokeny, które według jego logiki były prawdziwym rsETH, bo przyszły z legalnego mostka.

Atakujący nie złamali kodu, tylko konfigurację. To nowy rozdział w historii bezpieczeństwa DeFi. Drift Protocol nie został złamany kodem, tylko inżynierią społeczną na ludziach. KelpDAO nie został złamany kodem, tylko błędną konfiguracją trzeciej strony, czyli mostka. Audyty kodu, które do tej pory były głównym narzędziem oceny ryzyka, nie wykryły żadnego z tych ataków, bo nie było czego wykrywać.

Korea Północna jako infrastruktura

Według TRM Labs, w pierwszych czterech miesiącach 2026 roku północnokoreańscy hakerzy odpowiadają za 76% wszystkich strat krypto na świecie. To skok z 64% w 2025 i z mniej niż 10% w latach 2020 - 2021. Skumulowane straty przypisane Pjongjangowi od 2017 roku przekraczają już 6 mld USD.

Korea Północna kradnie krypto z bardzo konkretnego powodu. Pod sankcjami nie ma dostępu do globalnego systemu bankowego, a potrzebuje walut wymienialnych do programu rakietowego i nuklearnego. To czyni z tych ataków nie tyle przestępczość zorganizowaną, co operację państwową na infrastrukturze finansowej, której większość użytkowników nawet jej nie dostrzega.

Co więcej, hakerzy uczą się szybciej, niż protokoły się zabezpieczają. Drift i KelpDAO padły w 18 dni, dwoma zupełnie różnymi metodami. Inżynieria społeczna przeciwko ciału zarządczemu i poisoning infrastruktury węzłów weryfikujących to dwa różne podejścia, ale ten sam zespół.

Co to oznacza dla Ciebie

Zacznijmy od oczywistego. Jeśli nie używasz DeFi, kwietniowy rekord Cię nie dotyczy bezpośrednio. Pośrednio jednak jak najbardziej, bo każdy taki incydent obniża wycenę i zaufanie do całego sektora krypto, łącznie z Bitcoinem.

Jeśli używasz, czas na trzy konkretne wnioski.

Po pierwsze, audyt smart kontraktu nie jest dowodem bezpieczeństwa. Sprawdza tylko, czy kod robi to, co miał robić. Nie sprawdza, kto ma klucze administracyjne, jak skonfigurowany jest mostek między łańcuchami i czy w razie awarii ktoś rzeczywiście może coś zatrzymać.

Po drugie, trzymanie wszystkich środków w jednym protokole, nawet największym, to pojedynczy punkt awarii. Aave przed atakiem na KelpDAO miało 26,4 mld USD depozytów. Po ataku miało 17,9 mld USD. Strata blisko jednej trzeciej w 48 godzin pokazuje, że nawet największe protokoły reagują na zewnętrzny szok.

Po trzecie, mostki cross-chain są dziś najsłabszym ogniwem DeFi. Konfiguracja "1 z 1" w przypadku KelpDAO nie była unikalna. Wiele protokołów używa pojedynczych weryfikatorów dla wygody i niższych kosztów. Jeśli korzystasz z protokołu, który przenosi środki między blockchainami, sprawdź czy używa wielu niezależnych weryfikatorów. Jeśli nie wiesz, jak to sprawdzić, prawdopodobnie używasz właśnie najbardziej ryzykownej kategorii.

Czy to się kiedyś skończy

Niestety nie ma podstaw, żeby zakładać, że kwiecień 2026 był punktem szczytowym. Liczba incydentów rośnie o 68% rok do roku, hakerzy państwowi rozwijają nowe wektory ataku szybciej, niż branża wdraża obronę. Moim zdaniem najbliższe miesiące mogą przynieść kolejny incydent na poziomie 200 - 300 mln USD, a uderzenie pójdzie w kolejny mostek lub konfigurację, nie w klasyczną lukę w kodzie. To, co dla mnie jest tu najważniejsze, to nie sama skala strat, tylko to, że stary model bezpieczeństwa oparty na audytach kodu właśnie pokazał swoje granice. Branża potrzebuje audytu konfiguracji i audytu procesów ludzkich, bo to są dziś najbardziej podatne ogniwa.

Nad rynkiem wisi również drugi cień. Decyzje Fed dotyczące stóp procentowych i utrzymujące się napięcia geopolityczne mogą wzmocnić odpływy z DeFi przy każdej kolejnej fali ataków. Bezpieczeństwo i makroekonomia działają teraz w tym samym kierunku, czyli na rzecz większej zmienności.

Indeks Strachu i Chciwości