مجموعة «لازاروس» مشتبه بها في تحويل 175 مليون دولار من عملة «إيثريوم» بعد أن جمدت «أربتروم» 71 مليون دولار نتيجة استغلال ثغرة أمنية في «كيلب داو»

النقاط الرئيسية:

• سحبت مجموعة لازاروس 116,500 rsETH من KelpDAO في 18 أبريل.
• جمد مجلس أمن Arbitrum ما يقرب من 30,766 ETH بقيمة 71 مليون دولار مرتبطة بمستغل KelpDAO في 20 أبريل.
• نقلت مجموعة لازاروس 175 مليون دولار إلى عناوين إيثريوم جديدة بعد تجميد أربترم، مع قيام أركهام إنتليجنس بتتبع المحافظ بنشاط.

عصابة القرصنة الكورية الشمالية تغسل ملايين من عملات ETH المسروقة من KelpDAO عبر Thorchain و Umbra Cash

في حين أن القصة قد تختلف اعتمادًا على مطور البروتوكول الذي تسأله، تشير التقارير إلى أن المهاجمين اخترقوا عقدتي RPC ونشروا برامج ضارة لتغذية شبكة Layerzero's Decentralized Verifier Network ببيانات معاملات مزيفة حصريًا مع الحفاظ على مصداقية البيانات المقدمة للمراقبين الآخرين. تم إصدار تقارير من قبل KelpDAO و Layerzero و Llamarisk جنبًا إلى جنب مع مزودي خدمة Aave.

تبع الهجوم هجوم حجب الخدمة الموزع ضد العقد النظيفة المتبقية، مما أجبر جسر KelpDAO على التحويل إلى البنية التحتية المخترقة. مع سيطرتهم على طبقة التحقق، قاموا بتزوير رسالة عبر السلاسل تسمح بسحب ما يقرب من 116,500 rsETH، وهو ما يمثل حوالي 18٪ من إجمالي إمدادات rsETH الخاصة بـ KelpDAO.

تعد سرقة KelpDAO الهجوم الكبير الثاني الذي يُنسب إلى Lazarus في غضون ثلاثة أسابيع. في 1 أبريل، تم سرقة ما يقرب من 285 مليون دولار من Drift Protocol في عملية ربطها المحققون أيضًا بـ Lazarus الكورية الشمالية. وتبلغ الخسائر الناجمة عن الحادثتين معًا ما يقرب من 600 مليون دولار.

أفادت التقارير أن قراصنة كوريين شماليين سرقوا ما يقرب من 2.02 مليار دولار من العملات المشفرة طوال عام 2025، بزيادة سنوية بنسبة 51٪، مما جعله عامًا قياسيًا للسرقات المرتبطة بكوريا الشمالية. يمثل هذا الرقم، الذي نشرته Chainalysis ووسائل الإعلام الكورية الجنوبية، ما يقرب من 60٪ إلى 76٪ من إجمالي سرقات العملات المشفرة على مستوى الخدمات العالمية، على الرغم من أن المجموعة نفذت حوادث فردية أقل بنسبة 74٪ مقارنة بالسنوات السابقة. بلغ التقدير التراكمي الأدنى حتى نهاية عام 2025 حوالي 6.75 مليار دولار.

كما أن أكبر عملية سرقة فردية في تاريخ العملات المشفرة تعود إلى مجموعة لازاروس. في أوائل عام 2025، سرق التنظيم ما يقرب من 1.5 مليار دولار من Bybit، وهي بورصة مقرها دبي، من خلال اختراق مزود برمجيات لـ Safe Wallet والتلاعب ببيئات المطورين لإعادة توجيه تحويل من محفظة باردة إلى محفظة ساخنة. وقد نسب مكتب التحقيقات الفيدرالي (FBI) رسميًا ذلك الهجوم إلى عناصر من مجموعة لازاروس الكورية الشمالية.

قبل Bybit، شملت السرقات الكبيرة المنسوبة إلى المجموعة حوالي 620 مليون دولار من جسر Ronin Network في عام 2022، و308 ملايين دولار من DMM Bitcoin في عام 2024، و234.9 مليون دولار من منصة التداول الهندية WazirX في عام 2024. كما استهدفت المجموعة المرتبطة بكوريا الشمالية منصات أصغر ومحافظ فردية وسلاسل توريد برمجيات مرتبطة بالعملات المشفرة.

عادةً ما تقضي مجموعة Lazarus شهورًا في التحضير قبل تنفيذ عملية السرقة. يستخدم المهاجمون اتصالات توظيف مزيفة، وبرامج ضارة مستضافة على Github، والتصيد الموجه للحصول على الوصول الأولي. وبمجرد دخولهم إلى بيئات المطورين أو المصادقين، يقومون بجمع المفاتيح الخاصة، أو اختراق المحافظ الساخنة، أو التلاعب بالبنية التحتية للجسور.

وبعد استخراج الأموال، تقوم المجموعة بغسل الأصول من خلال التنقل بين السلاسل، وعمليات التبادل في البورصات اللامركزية (DEX)، والتوزيع عبر آلاف العناوين. ويُزعم أن بعض العائدات يتم توجيهها عبر خدمات مثل Huione Pay قبل تحويلها في النهاية إلى بيتكوين أو أصول أخرى يمكن أن تدعم نظام كوريا الشمالية.

وجهت وزارة العدل الأمريكية اتهامات إلى المواطن الكوري الشمالي بارك جين هيوك فيما يتعلق بعمليات لازاروس السابقة. وفرض مكتب مراقبة الأصول الأجنبية التابع لوزارة الخزانة عقوبات على عشرات العناوين، وأصدر مكتب التحقيقات الفيدرالي (FBI) تحذيرات عامة تتضمن معرفات على السلسلة لتقوم البورصات والمصدقون بحظرها.

على الرغم من هذه الإجراءات، استمرت مجموعة لازاروس في التكيف. تعكس تقنيات تسميم البنية التحتية للمجموعة، بما في ذلك اختراق عقدة RPC المستخدمة في هجوم KelpDAO، تحولًا نحو استهداف البنية الأساسية لبروتوكولات التمويل اللامركزي (DeFi) بدلاً من واجهات المستخدم الأمامية أو بيانات اعتماد المستخدم الفردية.

لا يزال أمن جسور العملات المشفرة يمثل نقطة ضعف مركزية. تضمنت اختراقات Ronin و Harmony Horizon والآن KelpDAO التلاعب بأنظمة التحقق عبر السلاسل. أشار باحثو الأمن إلى متطلبات التوقيعات المتعددة، والتدقيق المستقل لعقدة RPC، ومراقبة السلوك في الوقت الفعلي باعتبارها أكثر التدابير التخفيفية مباشرة.

تشير التقديرات إلى أن كوريا الشمالية تحصل على حصة كبيرة من العملات الصعبة من هذه العمليات في اقتصاد مقيد بالعقوبات الدولية، حيث تقدر بعض التحليلات عائدات سرقة العملات المشفرة بنحو 13٪ من الناتج المحلي الإجمالي. ويُعتقد أن الأموال المسروقة تدعم برامج الصواريخ النووية والصاروخية للبلاد إلى جانب وظائف الدولة الأخرى.