Noord-Korea stal 76% van alle cryptohackverliezen in 2026, met slechts twee aanvallen
Met twee gerichte aanvallen in april 2026 haalde Noord-Korea $577 miljoen op. Hoe één staat driekwart van alle cryptodiefstal domineert.
Twee aanvallen, vier weken april, $577 miljoen buit. Noord-Koreaanse hackers zijn inmiddels verantwoordelijk voor 76% van alle wereldwijde cryptohackverliezen in 2026, terwijl ze slechts 3% van het totale aantal geregistreerde incidenten voor hun rekening namen. Dat blijkt uit een analyse van blockchain-intelligentiebedrijf TRM Labs.
Het is niet zomaar een recordgetal. Het is het sluitstuk van een trend die al jaren zichtbaar is en nu een nieuw niveau bereikt: één staat domineert driekwart van alle cryptodiefstal wereldwijd.
Van bijzaak naar dominantie
Voor beleggers en ontwikkelaars in DeFi betekent dit iets fundamenteels: de grootste dreiging voor crypto-protocollen komt niet van opportunistische hackers, maar van een staatsprogramma met de middelen, het geduld en de technische breedte om systematisch toe te slaan.
De cijfers van TRM Labs schetsen een onmiskenbare lijn:
| Jaar | Aandeel Noord-Korea in totale cryptohackverliezen |
|---|---|
| 2020 | <10% |
| 2021 | <10% |
| 2022 | 22% |
| 2023 | 37% |
| 2024 | 39% |
| 2025 | 64% |
| 2026 (t/m april) | 76% |
In vijf jaar tijd groeide het aandeel van marginaal naar overheersend. En de aanpak wordt gerichter: minder incidenten, grotere klappen.
Twee aanvallen, twee methoden
De twee hacks in april 2026 illustreren de breedte van Noord-Koreaanse cybercapaciteiten.
Aanval 1: Drift Protocol, $285 miljoen (1 april)
Drift Protocol is een gedecentraliseerd handelsplatform op het Solana-netwerk. De aanval was geen plotselinge inbraak, maar het resultaat van maanden voorbereiding. On-chain activiteit die wijst op de voorbereidingsfase begon al op 11 maart. Daarvóór zetten Noord-Koreaanse tussenpersonen persoonlijk contact op met Drift-medewerkers, een vorm van social engineering waarbij vertrouwen wordt gewonnen vóórdat systemen worden gecompromitteerd. Dit type aanval exploiteert geen technische fout, maar een menselijke: een medewerker met toegang tot kritieke systemen wordt gemanipuleerd of misleid.
Aanval 2: Kelp DAO, $292 miljoen (18 april)
Bij Kelp DAO, een liquiditeitsprotocol dat actief is via een blockchain bridge, was de aanpak technisch van aard. Hackers maakten gebruik van een zogeheten single-point verification flaw in de bridge, een architectuurkwetsbaarheid waarbij één verificatiestap volstond om transacties goed te keuren. Bridges, de verbindingen tussen verschillende blockchains, gelden al langer als een van de meest kwetsbare onderdelen van de DeFi-infrastructuur. Als één verificatiepunt faalt of gemanipuleerd wordt, kunnen grote bedragen worden doorgesluisd zonder dat andere beveiligingslagen ingrijpen.
Samen vertegenwoordigen deze twee aanvallen een aanvalsspectrum dat loopt van sociale manipulatie tot diep technisch misbruik. Dat is kenmerkend voor een professionele statelijke actor, niet voor een individuele dreigingsgroep.
$6 miljard sinds 2017
De twee april-aanvallen zijn geen uitzondering; ze passen in een structureel patroon. TRM Labs schat dat Noord-Koreaanse hackers sinds 2017 in totaal meer dan $6 miljard aan crypto hebben gestolen. Dat geld wordt vermoedelijk ingezet ter financiering van het Noord-Koreaanse wapenprogramma, een lijn die meerdere internationale inlichtingendiensten en VN-rapporteurs eerder hebben bevestigd.
De concentratie van schade bij zo weinig aanvallen laat zien dat Pyongyang zijn cyberunits professioneler en selectiever inzet. Geen spray-and-pray, maar gerichte operaties tegen doelwitten met hoge liquiditeit.
Wat dit betekent voor DeFi-protocollen
De twee aanvalsmethoden wijzen op twee beveiligingsproblemen die de sector structureel moet adresseren.
Bij social engineering is de zwakste schakel menselijk. Toegangsbeheer, strikte verificatieprocedures voor medewerkers met beheerdersrechten, en bewustwording over externe contacten zijn eerste verdedigingslijnen. On-chain monitoring, zoals de afwijkende activiteit die al op 11 maart zichtbaar was bij Drift, kan verdachte patronen eerder signaleren.
Bij bridge-kwetsbaarheden draait het om architectuur. Single-point verification is een bekende risicofactor; het gebruik van meervoudige, onafhankelijke verificatiestappen vermindert het aanvalsoppervlak significant. DeFi-protocollen die via bridges opereren staan voor de keuze: complexere maar robuustere infrastructuur, of eenvoud ten koste van veiligheid.
De trend in de TRM Labs-data maakt duidelijk dat die keuze steeds urgenter wordt.
Wat volgt
TRM Labs volgt Noord-Koreaanse hackactiviteit continu. Het volgende kwartaaloverzicht zal uitwijzen of de trend van concentratie zich voortzet, of dat het 76%-aandeel een tijdelijke piek is. Voor DeFi-protocollen met hoge TVL (total value locked) geldt nu al: het dreigingsmodel is niet langer theoretisch.
Bronnen: TRM Labs
Dit artikel is uitsluitend bedoeld ter informatie en vormt geen financieel, beleggings- of fiscaal advies. Today in Finance is geen beleggingsonderneming en beschikt niet over een vergunning als bedoeld in de Wet op het financieel toezicht (Wft). Raadpleeg altijd een gekwalificeerd financieel adviseur voordat je financiele beslissingen neemt. Today in Finance is niet aansprakelijk voor beslissingen genomen op basis van deze informatie.
Cryptovaluta zijn niet gereguleerd en zeer volatiel. Je kunt je volledige inleg verliezen.
