Lazarus-gruppen mistænkes for at have flyttet 175 mio. dollar i ETH, efter at Arbitrum har indefrosset 71 mio. dollar fra et sikkerhedshul i KelpDAO

Hovedpunkter:

• Lazarus Group stjal 116.500 rsETH fra KelpDAO den 18. april.
• Arbitrum Security Council frøs den 20. april ca. 30.766 ETH til en værdi af 71 millioner dollars, der var knyttet til KelpDAO-udnytteren.
• Lazarus flyttede 175 mio. $ til nye Ethereum-adresser efter Arbitrums indefrysning, og Arkham Intelligence sporer aktivt tegnebøgerne.

Nordkoreas hackingsyndikat hvidvasker millioner i stjålet KelpDAO ETH gennem Thorchain og Umbra Cash

Selvom historien kan variere afhængigt af, hvilken protokoludvikler man spørger, siger rapporter, at angriberne kompromitterede to RPC-noder og implementerede malware for udelukkende at sende falske transaktionsdata til Layerzeros Decentralized Verifier Network, mens feeds til andre observatører forblev ærlige. Der er udsendt rapporter fra KelpDAO, Layerzero og Llamarisk sammen med Aave-tjenesteudbydere.

Angrebet blev efterfulgt af et distribueret denial-of-service-angreb mod de resterende rene noder, hvilket tvang KelpDAO's bro til at skifte over til den kompromitterede infrastruktur. Med verifikationslaget under deres kontrol forfalskede de en krydskæde-besked, der godkendte udtrækningen af ca. 116.500 rsETH, hvilket svarer til ca. 18 % af KelpDAO's samlede rsETH-forsyning.

Tyveriet fra KelpDAO er det andet store angreb, der tilskrives Lazarus inden for tre uger. Den 1. april blev der stjålet ca. 285 millioner dollars fra Drift Protocol i en operation, som efterforskerne også knyttede til Nordkoreas Lazarus. De to hændelser udgør tilsammen tab på næsten 600 millioner dollars.

Nordkoreanske hackere stjal angiveligt omkring 2,02 milliarder dollars i kryptovaluta i løbet af hele 2025, en stigning på 51 % i forhold til året før, hvilket gjorde det til et rekordår for tyverier med tilknytning til Nordkorea. Dette tal, der blev offentliggjort af Chainalysis og sydkoreanske medier, udgjorde omkring 60 % til 76 % af alle globale kryptotyverier på serviceniveau, på trods af at gruppen udførte 74 % færre individuelle hændelser end i tidligere år. Det kumulative skøn for den nedre grænse ved udgangen af 2025 nåede op på ca. 6,75 milliarder dollars.

Det største enkeltstående tyveri i kryptovalutahistorien tilhører også Lazarus. I begyndelsen af 2025 stjal gruppen ca. 1,5 mia. dollar fra Bybit, en børs med base i Dubai, ved at kompromittere en softwareudbyder til Safe Wallet og manipulere udviklermiljøer for at omdirigere en overførsel fra en cold wallet til en hot wallet. FBI tilskrev formelt dette angreb til aktører fra den nordkoreanske Lazarus-gruppe.

Før Bybit omfattede betydelige tilskrevne tyverier ca. 620 millioner dollar fra Ronin Network-broen i 2022, 308 millioner dollar fra DMM Bitcoin i 2024 og 234,9 millioner dollar fra den indiske børs WazirX i 2024. Den nordkoreanske gruppe har også rettet sig mod mindre platforme, individuelle tegnebøger og kryptorelaterede softwareleverandørkæder.

Lazarus bruger typisk måneder på forberedelse, før de udfører et tyveri. Angriberne bruger falske rekrutteringshenvendelser, malware hostet på Github og spear-phishing for at få indledende adgang. Når de først er inde i udvikler- eller validatormiljøer, høster de private nøgler, kompromitterer hot wallets eller manipulerer broinfrastrukturen.

Efter at have overført midlerne hvidvasker gruppen aktiverne gennem chain-hopping, swaps på decentraliserede børser (DEX) og spredning over tusindvis af adresser. En del af udbyttet sendes angiveligt gennem tjenester som Huione Pay, før det i sidste ende konverteres til bitcoin eller andre aktiver, der kan støtte det nordkoreanske regime.

Det amerikanske justitsministerium rejste tiltale mod den nordkoreanske statsborger Park Jin Hyok i forbindelse med tidligere Lazarus-operationer. Finansministeriets Office of Foreign Assets Control har sanktioneret snesevis af adresser, og FBI har udsendt offentlige advarsler med on-chain-identifikatorer, som børser og validatorer skal blokere.

På trods af disse foranstaltninger har Lazarus fortsat med at tilpasse sig. Gruppens infrastrukturforgiftningsteknikker, herunder kompromitteringen af RPC-noden, der blev brugt i KelpDAO-angrebet, afspejler en skift mod at målrette sig mod rørsystemet under decentraliserede finansprotokoller (DeFi) frem for front-end-grænseflader eller individuelle brugeroplysninger.

Sikkerheden omkring kryptobroer er fortsat en central sårbarhed. Bruddene på Ronin, Harmony Horizon og nu KelpDAO involverede alle manipulation af tværkæde-verifikationssystemer. Sikkerhedsforskere har peget på krav om flere signaturer, uafhængig revision af RPC-noder og overvågning af adfærd i realtid som de mest direkte afbødende foranstaltninger.

Det anslås, at Nordkorea henter en betydelig del af sin hårde valuta fra disse operationer i en økonomi, der er begrænset af internationale sanktioner, og nogle analyser anslår, at udbyttet fra kryptotyverier udgør ca. 13 % af BNP. De stjålne midler menes at støtte landets atom- og ballistiske missilprogrammer samt andre statslige funktioner.