Skupina Lazarus je podezřelá z převodu 175 milionů dolarů v ETH poté, co platforma Arbitrum zmrazila 71 milionů dolarů získaných zneužitím zranitelnosti v KelpDAO

Hlavní body:

• Skupina Lazarus odcizila 18. dubna z KelpDAO 116 500 rsETH.
• Bezpečnostní rada Arbitrum 20. dubna zmrazila přibližně 30 766 ETH v hodnotě 71 milionů dolarů spojených s útočníkem na KelpDAO.
• Skupina Lazarus po zmrazení Arbitrumem převedla 175 milionů dolarů na nové adresy v síti Ethereum, přičemž společnost Arkham Intelligence aktivně sleduje peněženky.

Severokorejský hackerský syndikát pere miliony ukradených ETH z KelpDAO prostřednictvím Thorchain a Umbra Cash

Ačkoli se příběh může lišit v závislosti na tom, kterého vývojáře protokolu se zeptáte, zprávy uvádějí, že útočníci kompromitovali dva RPC uzly a nasadili malware, aby posílali falešná transakční data výhradně do decentralizované ověřovací sítě Layerzero, zatímco pro ostatní pozorovatele zůstávaly datové toky poctivé. Zprávy vydaly společnosti KelpDAO, Layerzero a Llamarisk společně s poskytovateli služeb Aave.

Útok pokračoval distribuovaným útokem typu denial-of-service proti zbývajícím čistým uzlům, což donutilo most KelpDAO přepnout na kompromitovanou infrastrukturu. S ověřovací vrstvou pod svou kontrolou padělali zprávu mezi řetězci, která autorizovala výběr přibližně 116 500 rsETH, což představuje přibližně 18 % celkové nabídky rsETH KelpDAO.

Krádež v KelpDAO je druhým velkým útokem připisovaným skupině Lazarus během tří týdnů. 1. dubna bylo z protokolu Drift Protocol odcizeno přibližně 285 milionů dolarů v rámci operace, kterou vyšetřovatelé rovněž spojili se severokorejskou skupinou Lazarus. Tyto dva incidenty dohromady představují ztráty ve výši téměř 600 milionů dolarů.

Severokorejští hackeři údajně ukradli v roce 2025 kryptoměny v hodnotě přibližně 2,02 miliardy dolarů, což představuje meziroční nárůst o 51 % a činí z něj rekordní rok pro krádeže spojené s KLDR. Tato částka, zveřejněná společností Chainalysis a jihokorejskými médii, představovala zhruba 60 % až 76 % všech globálních krádeží kryptoměn na úrovni služeb, a to navzdory tomu, že skupina provedla o 74 % méně jednotlivých incidentů než v předchozích letech. Kumulativní odhad dolní hranice do konce roku 2025 dosáhl přibližně 6,75 miliardy dolarů.

Největší jednotlivá krádež v historii kryptoměn také patří skupině Lazarus. Na začátku roku 2025 skupina ukradla přibližně 1,5 miliardy dolarů z burzy Bybit se sídlem v Dubaji tím, že napadla poskytovatele softwaru pro Safe Wallet a manipulovala s vývojářskými prostředími, aby přesměrovala převod z cold wallet do hot wallet. FBI tento útok formálně připsala členům severokorejské skupiny Lazarus.

Před Bybitem patřily mezi významné připsané loupeže zhruba 620 milionů dolarů z mostu Ronin Network v roce 2022, 308 milionů dolarů z DMM Bitcoin v roce 2024 a 234,9 milionů dolarů z indické burzy WazirX v roce 2024. Skupina spojená s KLDR se zaměřila také na menší platformy, individuální peněženky a softwarové dodavatelské řetězce související s kryptoměnami.

Lazarus obvykle tráví měsíce přípravami před provedením krádeže. Útočníci využívají falešné náborové kampaně, malware hostovaný na Githubu a spear-phishing k získání počátečního přístupu. Jakmile se dostanou do prostředí vývojářů nebo validátorů, získávají soukromé klíče, kompromitují hot wallety nebo manipulují s infrastrukturou mostů.

Po odcizení finančních prostředků skupina praní aktiv prostřednictvím řetězcového přeskakování, swapů na decentralizovaných burzách (DEX) a rozptýlení mezi tisíce adres. Část výnosů je údajně směrována přes služby jako Huione Pay, než je nakonec převedena na bitcoiny nebo jiná aktiva, která mohou podporovat režim KLDR.

Ministerstvo spravedlnosti USA obvinilo severokorejského občana Park Jin Hyoka v souvislosti s dřívějšími operacemi skupiny Lazarus. Úřad pro kontrolu zahraničních aktiv Ministerstva financí uvalil sankce na desítky adres a FBI vydalo veřejná varování s identifikátory v řetězci, které mají burzy a validátoři blokovat.

Navzdory těmto opatřením se Lazarus nadále přizpůsobuje. Techniky otravování infrastruktury této skupiny, včetně kompromitace RPC uzlu použité při útoku na KelpDAO, odrážejí posun směrem k zaměření se na „potrubí“ pod protokoly decentralizovaného financování (DeFi) spíše než na front-endová rozhraní nebo přihlašovací údaje jednotlivých uživatelů.

Bezpečnost kryptoměnových mostů zůstává ústřední zranitelností. Útoky na Ronin, Harmony Horizon a nyní i KelpDAO zahrnovaly manipulaci s systémy ověřování mezi řetězci. Bezpečnostní výzkumníci poukazují na požadavky na více podpisů, nezávislé audity RPC uzlů a monitorování chování v reálném čase jako na nejúčinnější opatření ke zmírnění rizik.

Odhaduje se, že Severní Korea získává významný podíl tvrdé měny z těchto operací v ekonomice omezené mezinárodními sankcemi, přičemž některé analýzy odhadují výnosy z krádeží kryptoměn na přibližně 13 % HDP. Předpokládá se, že ukradené prostředky podporují jaderné a balistické raketové programy země spolu s dalšími státními funkcemi.