Kryptovaluta-tyveri i april 2026
I april 2026 stod to hackerangreb for en samlet værdi af $577 millioner, hvilket udgjorde 76 % af al kryptovaluta-tyveri i det pågældende år. Begge angreb blev udført af Nordkoreas Lazarus Group. Ingen af dem involverede udnyttelse af smart contracts. Angriberne brugte seks måneder på at udgive sig for at være et handelsfirma, deltage i kryptokonferencer personligt og opbygge ægte relationer med ingeniører hos Drift Protocol, før de udvandt de signaturer, de havde brug for til at tømme $285 millioner på tolv minutter. Det andet angreb tømte $292 millioner fra en enkelt sårbar bro-node. Dette er ikke længere et kryptosikkerhedsproblem; det er en statssponsoreret efterretningsoperation, drevet af et land, der bruger provenuet til at finansiere sit våbenprogram. Og branchen er kun lige begyndt at indrømme det.
Angrebene på Drift Protocol
Kl. 16:06:09 UTC den 1. april 2026 tømte en angriber de store skatte hos Drift Protocol, den største decentrale perpetual futures exchange på Solana, for cirka $285 millioner i brugeraktiver. Den første udbetaling flyttede 41,72 millioner JLP tokens, mens den sidste flyttede 2.200 wrapped ETH. Hele statskassen blev tømt på tolv minutter, omtrent den tid det tager at skrive en lang tekstbesked. Teamets første offentlige udtalelse, der blev offentliggjort på X inden for få timer, bad samfundet om at bekræfte, at den usædvanlige aktivitet, de observerede, ikke var en aprilsnar. Det var det ikke. Det var kulminationen på seks måneders metodisk forberedelse af agenter, der arbejdede for den nordkoreanske regering.
NYHED: Drift Protocol annoncerer, at alle tegnebøger, der blev påvirket af udnyttelsen den 1. april, vil modtage genopretningstokens, hver repræsenterende verificerede tab og proportional krav til genopretningspuljen.
Sytten dage senere, den 18. april, tømte angribere $292 millioner fra KelpDAO, et restaking-protokol, ved at manipulere en single-verifier konfiguration i sin LayerZero-bro. De to angreb tilsammen stod for cirka 95 procent af aprils $625 millioner i kryptotyveri, hvilket gjorde april 2026 til den værste måned for kryptosikkerhed i registreret historie. Tyveri indtil nu i år indtil april krydsede $1 milliard. TRM Labs pegede på, at 76 procent af hele 2026-totalen kom fra to angreb, begge udført af den samme trusselaktør.
Lazarus Group og deres metoder
Den trusselaktør er Lazarus Group, det paraplynavn, som vestlige efterretningstjenester bruger til statssponsorerede hackingoperationer drevet af Reconnaissance General Bureau, Nordkoreas primære efterretningstjeneste. Siden 2017 har Lazarus og dets underenheder stjålet over $6 milliarder i kryptovaluta. Ifølge Chainalysis-figurer blev $2,06 milliarder af dette stjålet i 2025 alene, drevet primært af det katastrofale $1,5 milliarder Bybit-hack i februar det år, den største kryptotyveri i historien. Tempoet i 2026 sætter gruppen på sporet til komfortabelt at overskride 2025-totalen.
Social engineering og angrebsmønstre
Dette er ikke en kryptosikkerhedshistorie i nogen konventionel forstand. De trusler, DeFi-protokoller står over for i dag, er ikke de trusler, de blev designet til at forsvare sig imod. Bekymringen fra 2020 var smart contract-fejl og flash loan-udnyttelser, sårbarheder i koden. 2026-realityen er vedholdende, multi-land, multi-måned operationer drevet af efterretningsprofessionelle, der ikke har brug for en kodeudnyttelse, fordi de allerede har nøglerne. De skulle bare overbevise nogen om at overlevere dem. Det er, hvad Drift-angrebet var. At forstå det er den vigtigste sikkerhedsuddannelse, enhver kryptoejer, -bygger eller -leder kan få lige nu.
Drift Protocols egen post-mortem, offentliggjort i begyndelsen af april, læser mere som en kontraefterretningsrapport end en sikkerhedsafsløring. Den begynder i oktober 2025. Ved en stor kryptokonference henvendte en gruppe individer, der præsenterede sig som repræsentanter for et kvantitativt handelsfirma, sig til Drift-bidragydere. De havde verificerede professionelle baggrunde, demonstrerede teknisk flydende og stillede præcis de slags spørgsmål, et rigtigt institutionelt handelsfirma ville stille om integration med et perpetuals-protokol. Drift-bidragydere, der rutinemæssigt håndterer sådanne anmodninger, behandlede dem som enhver anden potentiel institutionel partner.
Konsekvenserne af angrebene
Den 1. april, mens Drift-teamet udførte en rutinemæssig udbetaling fra forsikringsfonden, udførte angriberne to af de forudsignerede transaktioner fire blokslots fra hinanden. Transaktionerne beslaglagde adminkontrol, introducerede et syntetisk aktiv kaldet CarbonVote Token (CVT) på spotmarkedet, manipulerede dets pris gennem wash trading på to decentrale børser for at give det falske indtryk af legitim værdi, og hævede protokollens USDC-udbetalingsgrænse til 500 trillioner. CVT blev derefter indbetalt som sikkerhed mod hele statskassen. Tolv minutter senere var $285 millioner væk.
Fristelsen, når man læser Drift post-mortem, er at behandle det som en ekstraordinær engangshændelse. En seks måneders operation. Flere kompromitterede enheder. Forudsignerede transaktioner. Wash-traded falsk sikkerhed. Det læser som et Hollywood-manuskript. Men træd tilbage, og de arkitektoniske fingeraftryk fra hvert større Lazarus DeFi-angreb i de sidste tre år er identiske. En kompromitteret menneskelig signer. En svækket multisig-konfiguration. En forsinket eller fraværende timelock. En ondsindet payload forklædt som en rutineoperation.
Fremtiden for kryptovaluta-sikkerhed
Det sværeste spørgsmål er, hvad der faktisk skulle ændre sig for at gøre Lazarus-problemet håndterbart. Tre ting, i rækkefølge efter hvor vanskelige de er at implementere. Den første er operationel sikkerhedskultur inden for DeFi-protokoller. Angrebsoverfladen, som Lazarus udnytter, er ikke teknisk. Den er menneskelig. Det betyder, at forsvarene også skal være menneskelige: træning af bidragydere til at genkende social engineering, hårdføre ansættelses- og onboardingprocesser mod falsk identitetsinfiltration, kræve verifikation gennem flere kanaler, før der underskrives væsentlige transaktioner, og behandle “det virker for godt til at være sandt” som det sikkerhedssignal, det faktisk er.
Den anden er den arkitektoniske design af governance- og multisig-systemer. Mange af de angreb, Lazarus har haft succes med, afhænger af et specifikt sårbarhedsmønster: en multisig med relativt få signerer, en timelock, der enten er kort eller fraværende, og ingen automatiserede kontroller, der ville flagge usædvanlige transaktioner, før de udføres.
Den tredje er infrastrukturlaget. THORChains nægtelse af at screene transaktioner er et arkitektonisk valg, og et med et reelt principielt forsvar bag det. Men det valg er, pr. 2026, blevet en bærende søjle i hvidvaskningspipeline, der bruges af verdens mest produktive statssponsorerede kryptotyv.
Afsluttende bemærkninger
Det sværeste ved Lazarus-historien er, at den tvinger kryptovalutaindustrien til at konfrontere en sandhed, der ikke passer rent ind i dens selvopfattelse. I størstedelen af sin historie har kryptovaluta præsenteret sig selv som en kamp mellem innovatører og forældede regulatører, mellem tilladelsesfrie systemer og gatekeepers, mellem kode og menneskelig skøn. Lazarus-realityen er anderledes. Truslen er ikke ekstern pres. Truslen er en fjendtlig statssponsoreret modstander, der har industrialiseret udnyttelsen af kryptovalutas specifikke strukturelle træk.
Denne artikel er til informationsformål og udgør ikke sikkerheds- eller investeringsrådgivning. Sikkerhedshændelser, tilskrivning og genopretningsindsatser udvikler sig hurtigt; de tal og operationelle detaljer, der er beskrevet, afspejler rapportering tilgængelig pr. midten af maj 2026. Gør altid din egen forskning og konsulter kvalificerede sikkerhedsprofessionelle.
