شمالی کوریا نے صرف دو حملوں سے کرپٹو سے 577 ملین ڈالر چرائے، یہ طریقہ ہے۔

اپریل 2026 میں، $577 ملین مالیت کے دو ہیکس اس سال کی تمام کرپٹو چوری کا 76% تھے۔ دونوں شمالی کوریا کے لازارس گروپ کے کام تھے۔

نہ ہی کوئی زبردست معاہدہ استحصال تھا۔ حملہ آوروں نے چھ ماہ ایک تجارتی فرم کے طور پر ظاہر کرتے ہوئے، ذاتی طور پر کرپٹو کانفرنسوں میں شرکت کرنے، اور ڈرفٹ پروٹوکول میں انجینئرز کے ساتھ حقیقی تعلقات استوار کرنے میں گزارے، اس سے پہلے کہ انہیں بارہ منٹ میں 285 ملین ڈالر نکالنے کی ضرورت تھی۔

دوسرے حملے میں ایک ہی کمزور پل نوڈ سے 292 ملین ڈالر کا نقصان ہوا۔ یہ اب کرپٹو سیکیورٹی کا مسئلہ نہیں ہے۔ یہ ایک ریاستی سپانسر شدہ انٹیلی جنس آپریشن ہے، جو ایک ایسا ملک چلاتا ہے جو اپنے ہتھیاروں کے پروگرام کو فنڈ دینے کے لیے رقم کا استعمال کرتا ہے۔ اور صنعت صرف اسے تسلیم کرنا شروع کر رہی ہے۔

اپریل میں بارہ منٹ

1 اپریل 2026 کو 16:06:09 UTC پر، ایک حملہ آور نے Drift Protocol کے بڑے والٹس کو ختم کر دیا، جو سولانا پر سب سے بڑا وکندریقرت مستقل فیوچر ایکسچینج ہے، جس میں صارف کے اثاثوں میں تقریباً $285 ملین ہے۔ پہلی واپسی نے 41.72 ملین JLP ٹوکن منتقل کر دیئے۔ آخری منتقل شدہ 2,200 لپیٹے ہوئے $ETH۔ ایک لمبا ٹیکسٹ میسج لکھنے میں لگنے والے وقت کے بارے میں بارہ منٹ میں پورا خزانہ خالی کر دیا گیا۔

ٹیم کا پہلا عوامی بیان، جو X پر گھنٹوں کے اندر پوسٹ کیا گیا، نے کمیونٹی سے اس بات کی تصدیق کرنے کو کہا کہ وہ جو غیر معمولی سرگرمی دیکھ رہے ہیں وہ اپریل فول کا مذاق نہیں تھا۔ یہ نہیں تھا۔ یہ شمالی کوریا کی حکومت کے لیے کام کرنے والے کارکنوں کی چھ ماہ کی طریقہ کار کی تیاری کا اختتام تھا۔

بس میں: ڈرفٹ پروٹوکول نے اعلان کیا ہے کہ 1 اپریل کے استحصال سے متاثر ہونے والے تمام بٹوے وصولی کے ٹوکن وصول کریں گے، ہر ایک تصدیق شدہ نقصان اور متناسب ریکوری پول کے دعوے کی نمائندگی کرتا ہے pic.twitter.com/DRv4A61nBu

— crypto.news (@cryptodotnews) مئی 5، 2026

سترہ دن بعد، 18 اپریل کو، حملہ آوروں نے اس کے LayerZero برج میں سنگل تصدیق کنفیگریشن میں ہیرا پھیری کرکے KelpDAO، ایک ریسٹاکنگ پروٹوکول سے 292 ملین ڈالر نکال لیے۔ دونوں حملوں نے مشترکہ طور پر کرپٹو چوری میں اپریل کے 625 ملین ڈالر کا تقریباً 95 فیصد حصہ لیا، جس نے اپریل 2026 کو ریکارڈ شدہ تاریخ میں کرپٹو سیکیورٹی کے لیے بدترین مہینہ بنا دیا۔ اپریل تک سالانہ چوری 1 بلین ڈالر سے تجاوز کر گئی۔ TRM لیبز نے پورے 2026 میں سے 76 فیصد کو دو حملوں پر لگایا۔ دونوں ایک ہی دھمکی آمیز اداکار کے کام تھے۔

نیا: KelpDAO نے LayerZero انفراسٹرکچر کو اپریل کے $300M+ DeFi ایکسپلائٹ سورس pic.twitter.com/6pjFShk30N کا حوالہ دیتے ہوئے $rsETH کو Chainlink CCIP میں منتقل کیا

— crypto.news (@cryptodotnews) مئی 6، 2026

وہ دھمکی آمیز اداکار Lazarus گروپ ہے، جس کا نام مغربی انٹیلی جنس ایجنسیاں ریاستی سرپرستی میں ہیکنگ کی کارروائیوں کے لیے استعمال کرتی ہیں، جو شمالی کوریا کی بنیادی انٹیلی جنس ایجنسی ریکونیسنس جنرل بیورو سے باہر ہے۔ 2017 سے، Lazarus اور اس کی ذیلی اکائیوں نے $6 بلین سے زیادہ کرپٹو کرنسی چوری کی ہے۔

Chainalysis کے اعداد و شمار کے مطابق، اس میں سے 2.06 بلین ڈالر صرف 2025 میں چوری کیے گئے، بنیادی طور پر اسی سال فروری میں تباہ کن $1.5 بلین بائبٹ ہیک کی وجہ سے، تاریخ کی سب سے بڑی کرپٹو چوری تھی۔ 2026 کی رفتار گروپ کو 2025 کے کل کو آرام سے پاس کرنے کے لیے ٹریک پر رکھتی ہے۔

یہ کسی بھی روایتی معنوں میں ایک کرپٹو سیکورٹی کہانی نہیں ہے۔ DeFi پروٹوکول کو آج جن خطرات کا سامنا ہے وہ وہ خطرات نہیں ہیں جن کے خلاف دفاع کے لیے انہیں ڈیزائن کیا گیا تھا۔ 2020 کے دور کی پریشانی سمارٹ کنٹریکٹ کیڑے اور فلیش لون کے استحصال، کوڈ میں کمزوریاں تھیں۔ 2026 کی حقیقت پائیدار، کثیر ملکی، کثیر ماہی آپریشنز انٹیلی جنس پیشہ ور افراد کے ذریعہ چلائے جاتے ہیں جنہیں کوڈ کے استحصال کی ضرورت نہیں ہے کیونکہ ان کے پاس پہلے سے ہی چابیاں ہیں۔ انہیں صرف کسی کو راضی کرنا تھا کہ وہ ان کے حوالے کردے۔

ڈرفٹ اٹیک یہی تھا۔ اور یہ سمجھنا سب سے اہم حفاظتی تعلیم ہے جو کوئی بھی کرپٹو ہولڈر، بلڈر، یا ایگزیکٹو ابھی حاصل کر سکتا ہے۔

ڈرفٹ آپریشن، قدم بہ قدم

ڈرفٹ پروٹوکول کا اپنا پوسٹ مارٹم، جو اپریل کے اوائل میں شائع ہوا، سیکیورٹی کے انکشاف سے زیادہ کاؤنٹر انٹیلی جنس رپورٹ کی طرح پڑھتا ہے۔ یہ اکتوبر 2025 میں شروع ہوتا ہے۔

ایک بڑی کرپٹو کانفرنس میں، افراد کے ایک گروپ نے اپنے آپ کو ایک مقداری تجارتی فرم کے نمائندوں کے طور پر پیش کیا، Drift تعاون کنندگان سے رابطہ کیا۔ انہوں نے پیشہ ورانہ پس منظر کی تصدیق کی تھی، تکنیکی روانی کا مظاہرہ کیا تھا، اور بالکل وہی سوالات پوچھے تھے جو ایک حقیقی ادارہ جاتی تجارتی فرم مستقل پروٹوکول کے ساتھ انضمام کے بارے میں پوچھے گی۔ بڑھے ہوئے تعاون کنندگان، جو اس طرح کی درخواستوں سے معمول کے مطابق نمٹتے ہیں، ان کے ساتھ کسی دوسرے ممکنہ ادارہ جاتی پارٹنر کی طرح برتاؤ کرتے ہیں۔

ڈرفٹ نے اس کے بعد واضح کیا ہے کہ ان ذاتی ملاقاتوں میں شامل افراد شمالی کوریا کے شہری نہیں تھے۔ لازارس آپریشنز تقریباً ہمیشہ آمنے سامنے رابطے کے لیے فریق ثالث کا استعمال کرتے ہیں، اصل تکنیکی آپریٹرز شمالی کوریا یا چین کے اندر رہتے ہیں۔ بلاکچین تفتیش کار ZachXBT، جو برسوں سے DPRK کے کرپٹو آپریشنز پر نظر رکھے ہوئے ہے، نے نوٹ کیا ہے کہ یہ تہہ دار شناختی ڈھانچہ Lazarus مہموں کی وضاحتی خصوصیات میں سے ایک ہے۔

پہلی کانفرنس کے بعد گروپ باز نہیں آیا۔ چھ مہینوں کے دوران، وہی آپریٹو، یا ایک جیسی شناخت پیش کرنے والے، متعدد عالمی صنعتی پروگراموں میں نمودار ہوئے، جس سے مخصوص Drift تعاون کنندگان کے ساتھ تعلقات گہرے ہوئے۔ ٹیلی گرام گروپ قائم کیا گیا۔