Kryptovaluta-stölder i april 2026
I april 2026 stod två hack som var värda 577 miljoner dollar för 76 % av all kryptovaluta-stöld detta år. Båda var verk av Nordkoreas Lazarus Group. Ingen av dem involverade utnyttjande av smarta kontrakt.
Metodisk förberedelse och genomförande
Angriparna spenderade sex månader med att låtsas vara ett handelsföretag, deltog personligen i kryptokonferenser och byggde verkliga relationer med ingenjörer på Drift Protocol innan de extraherade de signaturer de behövde för att tömma 285 miljoner dollar på tolv minuter. Den andra attacken tömde 292 miljoner dollar från en enda sårbar broknot.
”Detta är inte längre ett kryptovaluta-säkerhetsproblem; det är en statligt sponsrad underrättelseoperation, ledd av ett land som använder intäkterna för att finansiera sitt vapenprogram.”
Drift Protocol och KelpDAO-hacket
Klockan 16:06:09 UTC den 1 april 2026, tömde en angripare de stora valven på Drift Protocol, den största decentraliserade eviga futuresbörsen på Solana, på ungefär 285 miljoner dollar i användartillgångar. Teamets första offentliga uttalande bad gemenskapen att bekräfta att den ovanliga aktiviteten de såg inte var ett aprilskämt. Det var det inte.
Sjutton dagar senare, den 18 april, tömde angripare 292 miljoner dollar från KelpDAO, ett restaking-protokoll, genom att manipulera en konfiguration med en verifierare i sin LayerZero-bro. De två attackerna tillsammans stod för ungefär 95 procent av aprils 625 miljoner dollar i kryptovaluta-stöld, vilket gjorde april 2026 till den värsta månaden för kryptovaluta-säkerhet i dokumenterad historia.
Lazarus Group och deras metoder
Den hotaktören är Lazarus Group, det övergripande namnet som västerländska underrättelsetjänster använder för statligt sponsrade hackningsoperationer som drivs från General Bureau of Reconnaissance, Nordkoreas primära underrättelsebyrå. Sedan 2017 har Lazarus och dess underenheter stulit över 6 miljarder dollar i kryptovaluta.
Social ingenjörskonst och operationell säkerhet
Detta är inte en kryptovaluta-säkerhetshistoria i någon konventionell mening. De hot som DeFi-protokoll står inför idag är inte de hot de var designade för att försvara sig mot. Verkligheten 2026 är långvariga, fler-länder, fler-månaders operationer ledda av underrättelseproffs som inte behöver en kodutnyttjande eftersom de redan har nycklarna. De behövde bara övertyga någon att lämna över dem.
Konsekvenser av attackerna
Den 1 april, medan Drift-teamet genomförde ett rutinmässigt uttag från försäkringsfonden, utförde angriparna två av de försignerade transaktionerna. Tolv minuter senare var 285 miljoner dollar borta. Angriparna bytte de stulna tillgångarna till USDC genom Jupiter, Solanas största DEX-aggregator.
Den 18 april resulterade KelpDAO-hacket i en DeFi-bankrun, där mer än 8,4 miljarder dollar i insättningar lämnade Aave inom 48 timmar efter attacken.
Framtida utmaningar och lösningar
Tre saker behöver förändras för att Lazarus-problemet ska bli hanterbart:
- Operationell säkerhetskultur inom DeFi-protokoll.
- Arkitektonisk design av styrnings- och multisig-system.
- Infrastrukturens lager och hur man hanterar neutralitet kontra systemisk medverkan.
Det svåraste med Lazarus-historien är att den tvingar kryptovalutaindustrin att konfrontera en sanning som inte passar rent in i dess självuppfattning. Hotet är inte extern press. Hotet är en fientlig statligt sponsrad motståndare som har industrialiserat utnyttjandet av kryptovalutas specifika strukturella egenskaper.
Slutsats
Det kommande året av kryptovaluta-säkerhet kommer att handla om huruvida industrin stänger gapet mellan nuvarande säkerhetsåtgärder och de verkliga hoten, eller om gapet stänger industrin istället.
