Die Lazarus-Gruppe steht im Verdacht, 175 Millionen Dollar in ETH transferiert zu haben, nachdem Arbitrum 71 Millionen Dollar aus dem KelpDAO-Exploit eingefroren hatte

• Die Lazarus-Gruppe hat am 18. April 116.500 rsETH von KelpDAO abgezogen.
• Der Arbitrum Security Council fror am 20. April rund 30.766 ETH im Wert von 71 Millionen US-Dollar ein, die mit dem KelpDAO-Angreifer in Verbindung stehen.
• Lazarus transferierte nach der Einfrierung durch Arbitrum 175 Mio. US-Dollar an neue Ethereum-Adressen, wobei Arkham Intelligence die Wallets aktiv verfolgt.

Das nordkoreanische Hacker-Syndikat wäscht Millionen an gestohlenen KelpDAO-ETH über Thorchain und Umbra Cash

Auch wenn die Darstellung je nach befragtem Protokollentwickler variieren mag, besagen Berichte, dass die Angreifer zwei RPC-Knoten kompromittierten und Malware einsetzten, um ausschließlich an das Decentralized Verifier Network von Layerzero falsche Transaktionsdaten zu übermitteln, während die Daten für andere Beobachter korrekt blieben. Berichte wurden von KelpDAO, Layerzero und Llamarisk sowie von Aave-Dienstleistern veröffentlicht.

Auf den Angriff folgte eine verteilte Denial-of-Service-Attacke gegen die verbleibenden sauberen Knoten, wodurch die Bridge von KelpDAO gezwungen wurde, auf die kompromittierte Infrastruktur umzuschalten. Da die Verifizierungsschicht unter ihrer Kontrolle stand, fälschten sie eine kettenübergreifende Nachricht, die die Entnahme von rund 116.500 rsETH autorisierte, was etwa 18 % des gesamten rsETH-Bestands von KelpDAO entspricht.

Der Diebstahl bei KelpDAO ist der zweite große Angriff, der Lazarus innerhalb von drei Wochen zugeschrieben wird. Am 1. April wurden etwa 285 Millionen US-Dollar aus dem Drift Protocol entwendet, bei einer Operation, die Ermittler ebenfalls mit der nordkoreanischen Gruppe Lazarus in Verbindung brachten. Die beiden Vorfälle zusammen verursachen Verluste in Höhe von fast 600 Millionen US-Dollar.

Nordkoreanische Hacker sollen im gesamten Jahr 2025 Kryptowährungen im Wert von rund 2,02 Milliarden US-Dollar gestohlen haben – ein Anstieg von 51 % gegenüber dem Vorjahr, was es zu einem Rekordjahr für Diebstähle mit Verbindungen zur DVRK machte. Diese von Chainalysis und südkoreanischen Medien veröffentlichten Zahlen machten etwa 60 % bis 76 % aller weltweiten Krypto-Diebstähle auf Service-Ebene aus, obwohl die Gruppe 74 % weniger einzelne Vorfälle verzeichnete als in den Vorjahren. Die kumulierte Schätzung der Untergrenze bis Ende 2025 belief sich auf etwa 6,75 Milliarden US-Dollar.

Der größte einzelne Diebstahl in der Geschichte der Kryptowährungen geht ebenfalls auf das Konto von Lazarus. Anfang 2025 stahl die Gruppe etwa 1,5 Milliarden US-Dollar von Bybit, einer in Dubai ansässigen Börse, indem sie einen Softwareanbieter für Safe Wallet kompromittierte und Entwicklerumgebungen manipulierte, um eine Übertragung von einer Cold Wallet zu einer Hot Wallet umzuleiten. Das FBI schrieb diesen Angriff offiziell Akteuren der nordkoreanischen Lazarus-Gruppe zu.

Vor Bybit gehörten zu den bedeutenden zugeschriebenen Raubzügen etwa 620 Millionen US-Dollar von der Ronin Network Bridge im Jahr 2022, 308 Millionen US-Dollar von DMM Bitcoin im Jahr 2024 und 234,9 Millionen US-Dollar von der indischen Börse WazirX im Jahr 2024. Die mit der DVRK verbundene Gruppe hat auch kleinere Plattformen, individuelle Wallets und kryptobezogene Software-Lieferketten ins Visier genommen.

Lazarus verbringt in der Regel Monate mit Vorbereitungen, bevor ein Diebstahl ausgeführt wird. Die Angreifer nutzen gefälschte Recruiter-Kontaktaufnahmen, auf Github gehostete Malware und Spear-Phishing, um sich einen ersten Zugang zu verschaffen. Sobald sie sich in Entwickler- oder Validator-Umgebungen befinden, sammeln sie private Schlüssel, kompromittieren Hot Wallets oder manipulieren die Bridge-Infrastruktur.

Nach der Entwendung von Geldern wäscht die Gruppe die Vermögenswerte durch Chain-Hopping, Swaps über dezentrale Börsen (DEX) und die Streuung auf Tausende von Adressen. Ein Teil der Erlöse wird angeblich über Dienste wie Huione Pay geleitet, bevor er schließlich in Bitcoin oder andere Vermögenswerte umgewandelt wird, die das nordkoreanische Regime unterstützen können.

Das US-Justizministerium hat den nordkoreanischen Staatsbürger Park Jin Hyok im Zusammenhang mit früheren Lazarus-Operationen angeklagt. Das Amt für die Kontrolle ausländischer Vermögenswerte (OFAC) des Finanzministeriums hat Dutzende von Adressen mit Sanktionen belegt, und das FBI hat öffentliche Warnungen mit On-Chain-Identifikatoren herausgegeben, die von Börsen und Validatoren blockiert werden sollen.

Trotz dieser Maßnahmen hat sich Lazarus weiter angepasst. Die Infrastruktur-Poisoning-Techniken der Gruppe, einschließlich der bei dem KelpDAO-Angriff genutzten Kompromittierung des RPC-Knotens, spiegeln eine Verlagerung wider, bei der nun eher die technischen Grundlagen hinter DeFi-Protokollen (Decentralized Finance) ins Visier genommen werden als Frontend-Schnittstellen oder die Anmeldedaten einzelner Nutzer.

Die Sicherheit von Krypto-Brücken bleibt eine zentrale Schwachstelle. Die Sicherheitsverletzungen bei Ronin, Harmony Horizon und nun KelpDAO betrafen alle die Manipulation von Cross-Chain-Verifizierungssystemen. Sicherheitsforscher haben Multi-Signatur-Anforderungen, unabhängige RPC-Knoten-Audits und Echtzeit-Verhaltensüberwachung als die direktesten Abhilfemaßnahmen genannt.

Es wird geschätzt, dass Nordkorea in einer durch internationale Sanktionen eingeschränkten Wirtschaft einen erheblichen Teil seiner Hartwährung aus diesen Operationen bezieht, wobei einige Analysen die Erlöse aus Krypto-Diebstählen auf etwa 13 % des BIP beziffern. Es wird angenommen, dass die gestohlenen Gelder neben anderen staatlichen Funktionen auch die Nuklear- und ballistischen Raketenprogramme des Landes unterstützen.