Pag-hack ng Cryptocurrency noong Abril 2026
Noong Abril 2026, dalawang pag-hack na nagkakahalaga ng $577 milyon ang umabot sa 76% ng lahat ng pagnanakaw sa cryptocurrency sa taong iyon. Pareho itong gawa ng Lazarus Group ng North Korea. Wala sa mga ito ang exploit ng smart contract. Ang mga umaatake ay nag-aksaya ng anim na buwan na nagpapanggap bilang isang trading firm, dumadalo sa mga crypto conference nang personal, at bumubuo ng tunay na relasyon sa mga inhinyero ng Drift Protocol bago kunin ang mga pirma na kailangan nila upang ubusin ang $285 milyon sa loob ng labindalawang minuto. Ang isa pang pag-atake ay umubos ng $292 milyon mula sa isang solong mahina na bridge node. Ito ay hindi na isang problema sa seguridad ng crypto; ito ay isang operasyon ng intelihensiya na sinusuportahan ng estado, na pinapatakbo ng isang bansa na gumagamit ng mga nalikom upang pondohan ang kanilang programa sa armas. At ang industriya ay nagsisimula pa lamang na aminin ito.
Mga Detalye ng mga Pag-atake
Noong Abril 1, 2026, isang umaatake ang umubos ng mga pangunahing vault ng Drift Protocol, ang pinakamalaking decentralized perpetual futures exchange sa Solana, ng humigit-kumulang $285 milyon sa mga asset ng gumagamit. Ang unang withdrawal ay naglipat ng 41.72 milyong JLP tokens, habang ang huli ay naglipat ng 2,200 wrapped ETH. Ang buong treasury ay naubos sa loob ng labindalawang minuto, halos kasing tagal ng pagsusulat ng isang mahabang text message. Ang unang pampublikong pahayag ng koponan, na inilathala sa X sa loob ng ilang oras, ay humiling sa komunidad na kumpirmahin na ang hindi pangkaraniwang aktibidad na kanilang nakikita ay hindi isang April Fool’s joke. Hindi ito. Ito ay ang bunga ng anim na buwang sistematikong paghahanda ng mga operatiba na nagtatrabaho para sa gobyerno ng North Korea.
Labindalawang araw mamaya, noong Abril 18, umubos ang mga umaatake ng $292 milyon mula sa KelpDAO, isang restaking protocol, sa pamamagitan ng pagmamanipula ng isang single-verifier configuration sa LayerZero bridge nito. Ang dalawang pag-atake ay pinagsama ay umabot sa humigit-kumulang 95 porsyento ng $625 milyon sa pagnanakaw ng crypto noong Abril, na ginawang pinakamasamang buwan para sa seguridad ng crypto sa nakasulat na kasaysayan. Ang pagnanakaw mula simula ng taon hanggang Abril ay lumampas sa $1 bilyon. Itinuro ng TRM Labs ang 76 porsyento ng kabuuang 2026 sa dalawang pag-atake. Pareho itong gawa ng parehong banta na aktor.
Ang Lazarus Group
Ang banta na aktor na ito ay ang Lazarus Group, ang pangkalahatang pangalan na ginagamit ng mga ahensya ng intelihensiya sa Kanluran para sa mga operasyon ng pag-hack na sinusuportahan ng estado na pinapatakbo mula sa Reconnaissance General Bureau, ang pangunahing ahensya ng intelihensiya ng North Korea. Mula noong 2017, ang Lazarus at ang mga sub-unit nito ay ninakaw ng higit sa $6 bilyon sa cryptocurrency. Ayon sa mga numero ng Chainalysis, $2.06 bilyon sa mga ito ay ninakaw noong 2025 lamang, na pangunahing pinadali ng nakapipinsalang $1.5 bilyong Bybit hack noong Pebrero ng taong iyon, ang pinakamalaking pagnanakaw ng crypto sa kasaysayan. Ang takbo ng 2026 ay naglalagay sa grupo sa tamang landas upang lampasan ang kabuuan ng 2025.
Pag-unawa sa mga Banta
Ito ay hindi isang kwento ng seguridad ng crypto sa anumang karaniwang kahulugan. Ang mga banta na kinakaharap ng mga DeFi protocol ngayon ay hindi ang mga banta na dinisenyo upang ipagtanggol laban. Ang takot noong 2020 ay mga bug sa smart contract at mga exploit ng flash loan, mga kahinaan sa code. Ang katotohanan ng 2026 ay patuloy, multi-bansa, multi-buwan na mga operasyon na pinapatakbo ng mga propesyonal sa intelihensiya na hindi nangangailangan ng code exploit dahil mayroon na silang mga susi. Kailangan lamang nilang kumbinsihin ang isang tao na ibigay ang mga ito. Iyan ang nangyari sa Drift attack. At ang pag-unawa dito ay ang pinakamahalagang edukasyon sa seguridad na maaaring makuha ng sinumang may hawak ng crypto, tagabuo, o ehekutibo sa ngayon.
Post-Mortem ng Drift Protocol
Ang sariling post-mortem ng Drift Protocol, na inilathala noong unang bahagi ng Abril, ay mas mukhang isang ulat ng counterintelligence kaysa sa isang pagsisiwalat ng seguridad. Nagsimula ito noong Oktubre 2025. Sa isang pangunahing crypto conference, isang grupo ng mga indibidwal na nagpapakilala bilang mga kinatawan ng isang quantitative trading firm ang lumapit sa mga contributor ng Drift. Sila ay may napatunayang propesyonal na background, nagpakita ng teknikal na kasanayan, at nagtanong ng eksaktong mga uri ng tanong na itatanong ng isang tunay na institusyonal na trading firm tungkol sa pagsasama sa isang perpetuals protocol. Ang mga contributor ng Drift, na nakikitungo sa mga ganitong kahilingan nang regular, ay tinrato sila tulad ng anumang iba pang potensyal na institusyonal na kasosyo.
Mga Estratehiya ng mga Umaatake
Ang blockchain investigator na si ZachXBT, na nagmamasid sa mga operasyon ng DPRK crypto sa loob ng maraming taon, ay napansin na ang layered identity structure na ito ay isa sa mga natatanging katangian ng mga kampanya ng Lazarus. Hindi tumigil ang grupo pagkatapos ng unang conference. Sa loob ng anim na buwan, ang parehong mga operatiba, o mga operatiba na nagpapakita ng parehong pagkakakilanlan, ay lumitaw sa maraming pandaigdigang kaganapan sa industriya, pinapalalim ang mga relasyon sa mga tiyak na contributor ng Drift. Isang Telegram group ang itinatag para sa patuloy na talakayan ng mga estratehiya sa trading at mga posibilidad ng pagsasama.
Pagkakaroon ng Access sa mga Wallet
Noong Pebrero at Marso 2026, ang mga relasyon ay naging sapat na malalim na nagtitiwala ang mga contributor sa mga counterparties na ibahagi ang mga repository at aplikasyon. Ayon sa Drift, ginamit ng mga umaatake ang dalawang tiyak na malware vectors. Ang isa ay kinasasangkutan ng pagbabahagi ng mga repository na naglalaman ng code na, kapag binuksan sa VSCode o Cursor (ang AI-augmented code editor), ay maaaring mag-trigger ng tahimik na code execution sa pamamagitan ng isang hindi pa na-patch na kahinaan. Ang isa pa ay kinasasangkutan ng isang contributor na nag-download ng kung ano ang ipinakita bilang isang wallet product na ipinamamahagi sa pamamagitan ng TestFlight, ang beta-testing platform ng Apple, na nagkompromiso sa aparato.
Logistics ng Pagnanakaw
Noong Marso 23, higit sa isang linggo bago ang pagnanakaw, nag-set up ang mga umaatake ng apat na wallet gamit ang “durable nonce” feature ng Solana, na nagpapahintulot sa mga pre-signed na transaksyon na maisagawa sa anumang hinaharap na punto. Dalawa sa mga wallet na iyon ay pagmamay-ari ng mga compromised na miyembro ng Security Council ng Drift, ang multisig signer group na kumokontrol sa mga pinaka-sensitibong function ng protocol. Ang iba pang dalawa ay nasa direktang kontrol ng mga umaatake. Sa pamamagitan ng social engineering at mga compromised na device, nakuha ng mga umaatake ang mga multisig approvals mula sa dalawa sa limang Security Council signers na kinakailangan upang maisagawa ang mga pre-signed na transaksyon.
Pagkawala ng Pondo
Noong Abril 1, habang ang Drift team ay nagsasagawa ng isang routine withdrawal mula sa insurance fund, isinagawa ng mga umaatake ang dalawang pre-signed na transaksyon na apat na block slots ang pagitan. Ang mga transaksyon ay kumuha ng admin control, nagpakilala ng isang synthetic asset na tinatawag na CarbonVote Token (CVT) sa spot market, minanipula ang presyo nito sa pamamagitan ng wash trading sa dalawang decentralized exchanges upang bigyang-diin ang maling hitsura ng lehitimong halaga, at itinaas ang limitasyon ng withdrawal ng protocol sa USDC sa 500 trillion. Ang CVT ay pagkatapos ay idineposito bilang collateral laban sa buong treasury. Labindalawang minuto mamaya, $285 milyon ang nawala.
Paglilipat ng mga Ninakaw na Asset
Ang mga umaatake ay nagpalit ng mga ninakaw na asset sa USDC sa pamamagitan ng Jupiter, ang pinakamalaking DEX aggregator ng Solana, at nag-bridge ng humigit-kumulang 129,000 ETH na nagkakahalaga ng $270 milyon sa Ethereum sa pamamagitan ng CCTP protocol ng Circle. Iningatan nila ang ninakaw na USDC sa loob ng ilang oras bago kumpletuhin ang bridge. Hindi nag-freeze ang Circle ng mga pondo sa panahong iyon. Napansin ng security researcher na si Specter sa oras na iyon na ang mga umaatake ay sadyang iniiwasan ang pag-convert sa Tether, na nagmumungkahi ng kumpiyansa na ang Circle, partikular, ay hindi makikialam.
Pag-uulit ng mga Estratehiya
Ang tukso, habang binabasa ang post-mortem ng Drift, ay tratuhin ito bilang isang pambihirang one-off. Isang anim na buwang operasyon. Maraming compromised na device. Pre-signed na transaksyon. Wash-traded na pekeng collateral. Mukha itong isang script ng Hollywood. Ngunit humakbang pabalik, at ang mga architectural fingerprints ng bawat pangunahing Lazarus DeFi attack ng nakaraang tatlong taon ay magkapareho. Isang compromised na human signer. Isang huminang multisig configuration. Isang naantala o walang timelock. Isang malisyosong payload na nakatago bilang isang routine operation.
Mga Nakaraang Pag-atake
Ang Bybit hack noong Pebrero 2025, ang $1.5 bilyong pagnanakaw na ngayon ay iniuugnay ng FBI sa isang sub-cluster ng Lazarus na tinatawag na TraderTraitor, ay gumamit ng parehong diskarte. Naniniwala ang mga signer ng Bybit na inaprubahan nila ang mga routine cold wallet operations sa pamamagitan ng multisig infrastructure ng Safe. Hindi sila. Ang infrastructure ng Safe ay na-kompromiso sa pamamagitan ng isang developer-side attack, at ang transaksyon na kanilang pinirmahan ay naglipat ng kontrol ng wallet contract mismo. Balikan pa ang mas maaga at ang pattern ay nananatiling. Ang 2022 Ronin Bridge hack, na nawalan ng $625 milyon mula sa bridge ng Axie Infinity, ay nagsimula sa mga pekeng LinkedIn job offers na nag-target sa isang developer. Isang malisyosong “interview challenge” ang nag-download ng malware. Ang malware ay nagkompromiso sa mga validator nodes. Nakuha ng mga umaatake ang limang validator signatures na kailangan nila at inubos ang bridge.
Pagkakaroon ng Panganib
Ang ebolusyon ng 2026 ay nagdadagdag ng dalawang bagong wrinkles. Isa ay ang paggamit ng mga AI-augmented coding tools bilang isang attack vector. Ang VSCode at Cursor ay ginawang dramatikong mas madali para sa mga developer na buksan at patakbuhin ang code mula sa mga panlabas na mapagkukunan. Ang kaginhawaan na iyon ay pinalawak din ang attack surface. Ang Drift attack ay nag-exploit ng isang tiyak na kahinaan kung saan ang pagbubukas ng isang repository sa isang development environment ay maaaring mag-trigger ng tahimik na code execution. Ito ay hindi isang flaw na natatangi sa Drift. Ito ay isang klase ng kahinaan na nakaupo sa ilalim ng bawat developer sa industriya na gumagamit ng mga tool na ito, na karamihan sa kanila.
Pagpopondo ng mga Programa sa Armas
Mahalaga na maging tiyak kung saan nagtatapos ang mga ninakaw na pondo, dahil dito nagiging pinaka-masakit ang hindi komportable ng industriya ng crypto sa kwento. Tinataya ng United Nations Panel of Experts on North Korea na ang mga pondo mula sa pagnanakaw ng cryptocurrency ay nagpopondo ng isang materyal na bahagi ng badyet ng DPRK para sa pagbuo ng mga missile at nuclear weapons. Ang pagtatayang iyon ay ngayon ay nakikita sa mga pormal na pagtatasa ng US Treasury at South Korean intelligence. Ang kabuuang pagnanakaw ng crypto ng North Korea, na higit sa $6 bilyon mula noong 2017, ay ginawang isa sa pinakamalaking pinagkukunan ng dayuhang currency ng rehimen, kasama ang mga export ng uling sa Tsina at ang pagpapadala ng mga IT workers sa ibang bansa.
Mga Mekanika ng Paglipat
Ang mga mekanika ng paglipat mula sa “ninakaw na ETH” patungo sa “procurement ng armas” ay maayos na naidokumento. Matapos ang paunang pagnanakaw, ang mga pondo ay karaniwang pinapalitan sa Bitcoin o stablecoins, pagkatapos ay dinadaan sa mga cross-chain bridges upang itago ang landas. Ang THORChain, ang cross-chain swap protocol, ay naging paboritong ruta dahil ang mga operator nito ay tahasang tumanggi na isaalang-alang ang pag-freeze o pag-screen ng mga transaksyon, na itinuturing ang anumang interbensyon bilang salungat sa mga prinsipyo ng desentralisasyon ng protocol. Ang THORChain ang nagproseso ng karamihan sa laundering volume mula sa parehong Bybit at KelpDAO heists.
Implikasyon para sa Crypto Industry
Ang papel ng industriya ng crypto sa pipeline na ito ay hindi komportable ngunit hindi maiiwasan. Ang bawat protocol exploit ng Lazarus ay, sa katunayan, isang paglilipat ng kapital mula sa mga gumagamit ng crypto patungo sa pagbuo ng armas ng isang estado na nagbanta ng nuclear strikes laban sa mga kapitbahay nito. Ang bawat undefended multisig ay isang kontribusyon sa pipeline na iyon. Ang bawat developer na nag-click sa isang “portfolio company interview” calendar invite nang walang beripikasyon ay nagiging, sa isang tunay na kahulugan, isang line item sa badyet ng missile ng DPRK.
Pagbabago sa Operational Security
Ang pag-atake ng KelpDAO noong Abril 18 ay estruktural na naiiba mula sa Drift sa isang mahalagang aspeto: ito ay nagbunga ng isang bagay na pinag-usapan ng industriya ng crypto sa loob ng maraming taon ngunit hindi kailanman talagang nasaksihan sa sukat. Isang DeFi bank run. Sa loob ng ilang oras ng pag-ubos ng KelpDAO bridge, ang ninakaw na rsETH (restaking receipt token ng KelpDAO) ay idineposito bilang collateral sa Aave at iba pang lending platforms, habang ang mga underlying KelpDAO contracts ay pinahinto at ang tunay na halaga ng token ay bumagsak. Ang mga gumagamit ng Aave na nangutang ng ETH laban sa rsETH collateral ay biglang natagpuan ang kanilang mga pautang na sinusuportahan ng walang halaga na mga asset.
Mga Panganib sa DeFi
Ang kabuuang DeFi TVL sa buong ecosystem ay bumagsak ng higit sa $13 bilyon sa parehong bintana, habang ang mga gumagamit ay nag-withdraw muna at nagtanong pagkatapos. Ito ay hindi isang panic. Ito ay isang klasikong, textbook bank run, ang uri na dinisenyo ng mga regulator ng banking upang pigilin ang mga deposit insurance at lender-of-last-resort facilities sa tradisyunal na pananalapi. Wala ang DeFi. Ang katotohanan na ang mga smart contracts ng Aave ay patuloy na gumagana, na ang mga withdrawal ay patuloy na nalilinaw, at na ang sistema ay nanatiling buo ay talagang kahanga-hanga, at ito ay higit sa lahat ay isang kredito sa disenyo ng protocol.
Mga Estratehiya para sa Pagbabago
Ang pinakamahirap na bagay tungkol sa kwento ng Lazarus ay pinipilit nito ang industriya ng crypto na harapin ang isang katotohanan na hindi maayos na umaangkop sa sarili nitong pagkakakilanlan. Para sa karamihan ng kasaysayan nito, ang crypto ay nag-frame ng sarili nito bilang isang laban sa pagitan ng mga innovator at mga lipas na regulator, sa pagitan ng permissionless systems at gatekeepers, sa pagitan ng code at human discretion. Ang katotohanan ng Lazarus ay iba. Ang banta ay hindi panlabas na presyon. Ang banta ay isang hostil na kalaban na sinusuportahan ng estado na nag-industrialize ng pagsasamantala sa mga tiyak na estruktural na katangian ng crypto, ang kakulangan ng intermediary screening, ang paglaganap ng multisig governance, ang bilis ng cross-chain settlement, ang kahirapan ng pagbawi ng mga nalabhang pondo, laban sa industriya mismo.
Konklusyon
Ang mga numero mula Abril 2026 ay hindi magiging pinakamasama na nakikita ng industriya. Ito ay hindi pessimism. Ito ay ang trend line. Ang parehong mga operasyon ng Lazarus na tumakbo ng anim na buwan ng paghahanda para sa Drift ay halos tiyak na tumatakbo ng iba pang mga operasyon sa parallel laban sa iba pang mga protocol. Ang ilan sa mga iyon ay magtatagumpay. Ang tanong ay kung, sa oras na mangyari ang susunod na $300 milyon na pagnanakaw, nagawa na ng industriya ang gawain upang gawing mas mahal ang operasyon kaysa sa kita, o kung ang Abril 2026 ay isang preview ng kung ano ang mangyayari kapag ang mga kalaban na sinusuportahan ng estado ay nakatagpo ng isang target na kapaligiran na permanenteng hindi nakapresyo. Para sa ngayon, ang sagot ay hindi malinaw. Ang malinaw ay ang pag-uusap ay lumipat mula sa “May problema sa seguridad ang DeFi” patungo sa isang mas tiyak at mas mahirap. Isang serbisyo ng intelihensiya ng isang bansa ang nakilala ng isang asymmetric attack surface at nag-exploit nito, na may lumalaking sopistikasyon, sa loob ng kalahating dekada. Ang mga depensa ng industriya ay hindi pa umabot sa katotohanan na ito ang kinakaharap nito. Ang puwang na iyon ang kwento. Ang susunod na taon ng seguridad ng crypto ay tungkol sa kung isasara ng industriya ang puwang na iyon, o kung ang puwang ang magsasara sa industriya sa halip.
Ang artikulong ito ay para sa mga layuning pang-impormasyon at hindi bumubuo ng seguridad o investment advice. Ang mga insidente ng seguridad, attribution, at mga pagsisikap sa pagbawi ay mabilis na umuunlad; ang mga numero at operational details na inilarawan ay sumasalamin sa mga ulat na available noong kalagitnaan ng Mayo 2026. Palaging gawin ang iyong sariling pananaliksik at kumonsulta sa mga kwalipikadong propesyonal sa seguridad.
