TRM: Noord-Korea goed voor 76% van cryptohack-verliezen in 2026 tot nu toe

Noord-Koreaanse hackers waren volgens blockchain-forensisch bedrijf TRM Labs verantwoordelijk voor ongeveer 577 miljoen dollar aan gestolen crypto in 2026 tot en met april. Daarmee zou het regime goed zijn voor 76% van alle door TRM getraceerde hackverliezen in die periode. De opvallendste conclusie zit echter niet alleen in dat percentage, maar in de opbouw ervan: vrijwel het hele schadebeeld van dit jaar draait tot nu toe om twee grote aanvallen in april.

TRM schrijft dat het gaat om de hack bij Drift Protocol op 1 april en de exploit rond KelpDAO op 18 april. Samen waren die volgens het bedrijf goed voor ongeveer 577 miljoen dollar, terwijl ze slechts 3% van het aantal incidenten vertegenwoordigden.

Dat is precies waarom dit rapport zwaarder weegt dan een standaard lijstje met hacks.

Het laat zien dat de dreiging in crypto verder opschuift van veel losse incidenten naar een kleiner aantal aanvallen die beter zijn voorbereid, grotere schade veroorzaken en zich richten op infrastructuur waar veel waarde doorheen stroomt.

De eerste grote aanval trof Drift Protocol.

TRM schat de buit daar op 285 miljoen dollar. Elliptic kwam uit op een vergelijkbare schade van 286 miljoen dollar en zei meerdere indicatoren te zien die wijzen op een link met Noord-Korea. Chainalysis sprak eveneens over een aanval van 285 miljoen dollar, waarschijnlijk gelinkt aan Noord-Koreaanse actoren, al bleef formele publieke attributie in die analyse nog uit.

Volgens Chainalysis en Elliptic zat de kracht van de Drift-aanval niet in een klassieke codebug, maar in maandenlange voorbereiding.

De aanvallers zouden relaties hebben opgebouwd met medewerkers van Drift, vervolgens misbruik hebben gemaakt van vooraf ondertekende transacties en uiteindelijk administratieve controle hebben verkregen. Daarna werd een waardeloze nep-token als onderpand geaccepteerd om echte assets uit de protocolkluizen weg te trekken.

De tweede grote zaak is die rond KelpDAO.

Chainalysis schrijft dat op 18 april ongeveer 116.500 rsETH werd buitgemaakt, goed voor ongeveer 292 miljoen dollar. Volgens die analyse ging het nadrukkelijk niet om een smart contract-hack, maar om een aanval op off-chain infrastructuur.

Juist daar wordt dit verhaal belangrijker dan een gewoon hackoverzicht.

In beide grote april-zaken lag de zwakte niet primair in het contract zelf, maar in de lagen eromheen. Bij Drift draaide het om signer-compromis, sociale manipulatie en bevoorrechte toegang. Bij KelpDAO draaide het om off-chain verificatie en bridge-architectuur.

LayerZero maakte dat bij KelpDAO ook opvallend concreet.

Volgens het bedrijf draaide de getroffen rsETH-configuratie op een 1-of-1 DVN-opzet, met LayerZero Labs als enige verifier. Daardoor was er geen tweede, onafhankelijke controlelaag die een vervalst bericht had kunnen tegenhouden. LayerZero noemt dat expliciet een single point of failure.

Chainalysis vult dat technisch verder in.

Volgens hun analyse werden interne RPC-nodes gecompromitteerd en externe nodes met DDoS aangevallen, zodat valse data naar die verificatielaag kon worden gevoerd. Het gevolg was dat op Ethereum geldige transacties zichtbaar waren, terwijl er op de bronketen geen echte burn of lock tegenover stond.

Dat maakt de les voor de sector pijnlijk helder.

Veel gebruikers en investeerders focussen nog steeds zwaar op audits van smart contracts. Maar deze zaken laten zien dat aanvallers steeds vaker zoeken naar operationele toegangspunten buiten de zichtbare code.

De nasleep van de KelpDAO-aanval laat zien hoe groot die impact kan worden.

Chainalysis meldt dat de Arbitrum Security Council later 30.766 ETH van de aanvaller bevroor. Tegelijk waarschuwt het bedrijf dat ongedekte rsETH in omloop downstream risico’s creëert voor protocollen die zulke assets als onderpand accepteren: pegs kunnen breken, liquiditeit kan versplinteren en besmettingsrisico kan doorsijpelen naar andere DeFi-omgevingen.

Dat maakt het incident groter dan een securityverhaal.

Het werd ook een stresstest voor hoe DeFi omgaat met besmette collateral, noodpauzes en governance-ingrepen zodra een brug of verificatielaag faalt. Die conclusie volgt direct uit Chainalysis’ beschrijving van de invariant-breuk en de downstream collateral-risico’s.

TRM’s rapport past die twee zaken in een breder patroon.

Volgens het bedrijf is Noord-Korea’s aandeel in cryptodiefstal opgelopen van minder dan 10% in 2020 en 2021 naar 22% in 2022, 37% in 2023, 39% in 2024, 64% in 2025 en nu 76% door april 2026. TRM zegt daarbij expliciet dat de aanvalsfrequentie niet per se stijgt, maar dat de selectie preciezer wordt: minder hacks, grotere doelwitten, meer waarde.

Dat is een relevante verschuiving.

De dreiging zit dan niet meer vooral in volume, maar in aanvallen die maanden voorbereiding kunnen vergen en kritieke onderdelen van crypto-infrastructuur tegelijk raken. TRM speculeert zelfs dat Noord-Koreaanse operaties steeds mogelijkerwijs AI-tools inzetten voor verkenning en social engineering, al presenteert het dat punt nog als analyse en niet als hard vastgesteld feit.

Voor Nederlandse en Belgische lezers is dit meer dan een geopolitiek verhaal op afstand.

De praktische les is dat risico in crypto steeds vaker zit in bridges, multisigs, signers, verifier-netwerken en middleware. Dat raakt niet alleen protocollen, maar ook retailgebruikers die via restaking, bridged assets of yield-strategieën extra rendement zoeken zonder altijd zicht te hebben op de technische afhankelijkheden daaronder. Die duiding volgt rechtstreeks uit de analyses van Drift en KelpDAO, waarin juist die off-chain en governance-lagen faalden.

En dat komt op een gevoelig moment.

Juist nu de sector meer inzet op tokenisatie, institutionele adoptie en grotere on-chain kapitaalstromen, wordt de vraag urgenter waar de echte single points of failure zitten. Niet alleen: is de code veilig? Maar vooral: hoeveel schakels buiten de chain kunnen alsnog worden misbruikt? Die slotsom is een redactionele gevolgtrekking op basis van de geanalyseerde aanvalspatronen.

Wel is nuance belangrijk.

De claim dat Noord-Korea goed was voor 76% van alle cryptohack-verliezen in 2026 tot nu toe komt uit de dataset van TRM Labs zelf. Dat maakt het een sterk signaal, maar nog geen universeel vastgestelde sectorconclusie. Ook de attributie aan Noord-Koreaanse actoren wordt stevig ondersteund door analyses van TRM, Elliptic en Chainalysis, maar de formulering blijft in deze bronnen die van private security- en forensische partijen.

Dat verandert alleen weinig aan de hoofdlijn.

Als twee grote incidenten in één maand bijna het hele schadebeeld van het jaar bepalen, dan schuift het dreigingsbeeld in crypto verder richting goed georganiseerde, staatsgelinkte aanvallen op kritieke infrastructuur. En precies dat is de echte waarschuwing achter TRM’s rapport.