TL;DR
- Nordkoreanske hackere står bak 76 % av alle krypto-tap fra svindel og angrep så langt i 2026, ifølge TRM Labs
- Siden 2017 har nordkoreanske aktører stjålet totalt seks milliarder dollar i kryptovaluta
- Drift Protocol ble tømt for 285 millioner dollar 1. april 2026 – ikke via smart contract-svakhet, men gjennom månedslang sosial manipulasjon
- Angrepet avdekker at tekniske revisjoner alene ikke er nok: menneskelige og operasjonelle sikkerhetsrutiner er en kritisk sårbarhet
Nordkorea dominerer krypto-kriminalitet i 2026
Nordkoreanske statsstøttede hackergrupper er i 2026 den suverent største trusselen mot kryptoindustrien. Ifølge sikkerhetsselskapet TRM Labs utgjør disse aktørene hele 76 prosent av alle registrerte tap knyttet til krypto-angrep og svindel hittil i år. Totalt har nordkoreanske aktører siden 2017 stjålet verdier tilsvarende seks milliarder dollar i digitale eiendeler, melder CoinDesk.
Tallene er slående, og de kom frem i forbindelse med en dyptgående gjennomgang av angrepet mot den desentraliserte børsen Drift Protocol – et angrep som i april 2026 kostet brukerne over 285 millioner dollar.
Drift-angrepet: Et «langt spill» over flere måneder
Drift Protocol er en desentralisert perpetuals-børs bygget på Solana-blokkjeden. Protokollen hadde i forkant av angrepet bestått flere uavhengige sikkerhetsrevisjoner. Trail of Bits gjennomførte en grundig gjennomgang i slutten av 2022 uten å avdekke alvorlige smarthente-svakheter, og i februar 2026 mottok protokollen en godkjentstatus fra ClawSecure med en score på 85 av 100.
Likevel ble Drift tømt for anslagsvis 285 millioner dollar 1. april 2026.
Årsaken var ikke en klassisk teknisk sårbarhet i koden – den var menneskelig. Ifølge TRM Labs' etterforskning brukte angriperne måneder på å bygge tillit til enkeltpersoner i Drift-teamet, trolig gjennom direkte kontakt. Deretter utnyttet de Solanas såkalte «durable nonce»-mekanisme for å manipulere multisig-godkjenninger, og skaffet seg til slutt administrativ kontroll over protokollen.
Angriperne brukte ikke en kode-sårbarhet – de utnyttet mennesker. Måneder med tillitsbygging var selve angrepsvåpenet.
Sosial manipulasjon som angrepsvektor
Angrepet mot Drift representerer en bekymringsfull utvikling: trusselen har beveget seg fra rent tekniske exploits til sofistikerte sosiale ingeniørangrep. Tidligere krevde denne typen angrep at hackerne fant hull i smart contract-koden. Nå er det menneskene bak protokollene som er inngangsporten.
I Drift-caset skal angriperne fysisk eller digitalt ha bygget relasjoner til nøkkelpersoner over lengre tid, i det TRM Labs beskriver som et koordinert operasjonssikkerhetsangrep. Verken Trail of Bits-revisjonen fra 2022 eller ClawSecure-godkjenningen fra februar 2026 var designet for å fange opp slike angrepsvektorer – begge fokuserer primært på kodesårbarhet.
Hva skjer med Drift nå?
Etter angrepet kunngjorde Drift Protocol at de planlegger en relansering etter nye revisjoner gjennomført av sikkerhetsfirmaene OtterSec og Asymmetric. Det er foreløpig uklart om disse revisjonene også vil adressere operasjonell sikkerhet og nøkkelhåndtering, eller om de primært vil fokusere på smart contract-kode.
Industrien må tenke bredere om sikkerhet
Drift-angrepet er et varselsignal for hele bransjen. Når nordkoreanske aktører ifølge TRM Labs beveger seg raskere og er mer sofistikerte enn noen gang, holder det ikke å gjennomføre koderevisjoner og kalle det sikkerhet. Nøkkelhåndtering, governance-arkitektur og rutiner for å identifisere sosial manipulasjon må inn i sikkerhetsarbeidet.
For en industri som i stadig større grad tilbyr finansielle tjenester til et bredt publikum, er konsekvensene av å ignorere dette alvorlige – ikke bare for enkeltprotokoller, men for tilliten til desentralisert finans som helhet.
