Noord-Korea steelt meer dan $500 miljoen aan crypto in april — dreiging van $6,75 miljard blijft actueel

Cyberaanvallen van Noord-Korea escaleren naar recordbedragen

In minder dan drie weken hebben cyberoperaties gelinkt aan Noord-Korea meer dan $500 miljoen gestolen uit cryptocurrency DeFi-platforms. Dit brengt de totale gestolen som in 2026 op ruim $700 miljoen, een dramatische stijging ten opzichte van eerdere jaren. De aanvallen op Drift Protocol en KelpDAO tonen een nieuwe tactiek: het misbruiken van zwakke plekken in de supply chain in plaats van directe aanvallen op kerninfrastructuur.

Grootste crypto-hack van 2026

Op 18 april werd KelpDAO, een cross-chain infrastructuurprovider, getroffen door een exploit waarbij ongeveer $290 miljoen werd gestolen. Dit is de grootste crypto-hack van dit jaar. Onderzoekers van LayerZero bevestigen dat de aanval werd uitgevoerd door TraderTraitor, een gespecialiseerde cel binnen de beruchte Lazarus Group van Noord-Korea.

Enkele weken eerder, op 1 april, werd Drift Protocol, een gedecentraliseerde futures-exchange op Solana, leeggehaald voor $286 miljoen. Het blockchain-intelligencebedrijf Elliptic koppelde de aanval direct aan eerdere DPRK-aanvallen, gebaseerd op launderingsmethoden en netwerksignaturen. Dit was de 18e dergelijke aanval die Elliptic dit jaar registreerde.

Nieuwe tactieken: supply-chain aanvallen

In plaats van kern-smartcontracten aan te vallen, richten de hackers zich nu op de perifere infrastructuur, zoals Remote Procedure Call (RPC)-systemen. Bij de KelpDAO-aanval werden de downstream-RPC’s van het LayerZero Labs Decentralized Verifier Network (DVN) gecompromitteerd. Door deze kritieke datapaden te manipuleren, konden de aanvallers het protocol beïnvloeden zonder de kerncryptografie te doorbreken.

LayerZero heeft de getroffen nodes gedeactiveerd en de DVN-operaties hersteld, maar de financiële schade was al een feit. Dit toont een zorgwekkende evolutie in cyberoorlogvoering: hackers richten zich op de zwakste schakel, vaak een derde partij in plaats van het protocol zelf.

«We zien een toenemende verfijning in de aanpak van Noord-Korea-gerelateerde aanvallers,» aldus een woordvoerder van Cyvers, een blockchainbeveiligingsbedrijf. «Ze investeren meer in voorbereiding en uitvoering, en vinden systematisch de zwakste punten in de keten.»

Menselijke infiltratie en softwarecompromissen

Naast technische exploits richten de cybercriminelen zich ook op menselijke infiltratie. Recentelijk werd de populaire Axios npm-software gecompromitteerd via een supply-chain-aanval. Onderzoekers van Google koppelden deze aanval aan een Noord-Koreaans dreigingsactornetwerk, UNC1069, dat software al voor de integratie in blockchain-systemen saboteert.

Deze methode benadrukt het systematische karakter van de aanvallen: hackers vergiftigen de bron voordat de software überhaupt in gebruik wordt genomen. Dit soort strategieën wordt ook in traditionele cyberespionage toegepast, wat de toenemende complexiteit van deze dreigingen onderstreept.

Wat betekent dit voor de toekomst?

De recente aanvallen tonen aan dat Noord-Korea zijn cyberoorlogsvoering heeft geprofessionaliseerd. De focus ligt niet langer alleen op directe hacks, maar op langdurige infiltratie en het misbruiken van zwakke plekken in de supply chain. Dit maakt de dreiging moeilijker te detecteren en te stoppen.

Experts waarschuwen dat de totale gestolen som in 2026 mogelijk op $6,75 miljard uitkomt als deze trend zich voortzet. Voor DeFi-platforms en cryptobedrijven is het essentieel om niet alleen de kerninfrastructuur te beveiligen, maar ook de perifere systemen en supply chains.

De vraag blijft: hoe lang kunnen organisaties deze cat-and-mouse game volhouden voordat de volgende grote aanval toeslaat?