Se sospecha que el Grupo Lazarus ha movido 175 millones de dólares en ETH después de que Arbitrum congelara 71 millones de dólares procedentes de una vulnerabilidad de KelpDAO

• El Grupo Lazarus sustrajo 116 500 rsETH de KelpDAO el 18 de abril.
• El Consejo de Seguridad de Arbitrum congeló aproximadamente 30 766 ETH, por valor de 71 millones de dólares, vinculados al autor del ataque a KelpDAO el 20 de abril.
• Lazarus transfirió 175 millones de dólares a nuevas direcciones de Ethereum tras la congelación de Arbitrum, y Arkham Intelligence está rastreando activamente las carteras.

La banda de hackers de Corea del Norte blanquea millones de ETH robados de KelpDAO a través de Thorchain y Umbra Cash

Aunque la historia puede variar dependiendo del desarrollador del protocolo al que se pregunte, los informes indican que los atacantes comprometieron dos nodos RPC e implementaron malware para enviar datos de transacciones falsos exclusivamente a la Red de Verificadores Descentralizados de Layerzero, mientras mantenían la integridad de los datos para otros observadores. KelpDAO, Layerzero y Llamarisk, junto con los proveedores de servicios de Aave, han publicado informes al respecto.

El ataque continuó con un ataque distribuido de denegación de servicio contra los nodos limpios restantes, lo que obligó al puente de KelpDAO a fallar y pasar a la infraestructura comprometida. Con la capa de verificación bajo su control, falsificaron un mensaje entre cadenas que autorizaba la retirada de aproximadamente 116 500 rsETH, lo que representa aproximadamente el 18 % del suministro total de rsETH de KelpDAO.

El robo a KelpDAO es el segundo gran ataque atribuido a Lazarus en tres semanas. El 1 de abril, se sustrajeron aproximadamente 285 millones de dólares de Drift Protocol en una operación que los investigadores también vincularon con Lazarus, de Corea del Norte. Los dos incidentes suman en conjunto casi 600 millones de dólares en pérdidas.

Según los informes, los hackers norcoreanos robaron aproximadamente 2020 millones de dólares en criptomonedas a lo largo de todo 2025, lo que supone un aumento interanual del 51 % y lo convierte en un año récord para los robos vinculados a la RPDC. Esa cifra, publicada por Chainalysis y medios de comunicación surcoreanos, representó aproximadamente entre el 60 % y el 76 % de todos los robos de criptomonedas a nivel de servicio a escala mundial, a pesar de que el grupo llevó a cabo un 74 % menos de incidentes individuales que en años anteriores. La estimación acumulada del límite inferior hasta finales de 2025 alcanzó aproximadamente los 6750 millones de dólares.

El mayor robo individual en la historia de las criptomonedas también corresponde a Lazarus. A principios de 2025, el grupo robó aproximadamente 1500 millones de dólares de Bybit, una plataforma de intercambio con sede en Dubái, al comprometer a un proveedor de software de Safe Wallet y manipular entornos de desarrollo para redirigir una transferencia de un monedero frío a uno caliente. El FBI atribuyó formalmente ese ataque a miembros del grupo norcoreano Lazarus.

Antes de Bybit, entre los robos significativos atribuidos se incluyen unos 620 millones de dólares del puente de la red Ronin en 2022, 308 millones de dólares de DMM Bitcoin en 2024 y 234,9 millones de dólares de la plataforma de intercambio india WazirX en 2024. El grupo vinculado a la RPDC también ha atacado plataformas más pequeñas, carteras individuales y cadenas de suministro de software relacionadas con las criptomonedas.

Lazarus suele dedicar meses a la preparación antes de ejecutar un robo. Los atacantes utilizan contactos falsos de reclutadores, malware alojado en Github y spear-phishing para obtener el acceso inicial. Una vez dentro de los entornos de desarrolladores o validadores, recopilan claves privadas, comprometen carteras calientes o manipulan la infraestructura de los puentes.

Tras sustraer los fondos, el grupo blanquea los activos mediante saltos de cadena, intercambios en exchanges descentralizados (DEX) y su dispersión por miles de direcciones. Al parecer, parte de las ganancias se canaliza a través de servicios como Huione Pay antes de convertirse finalmente en bitcoins u otros activos que puedan apoyar al régimen de la RPDC.

El Departamento de Justicia de EE. UU. acusó al ciudadano norcoreano Park Jin Hyok en relación con operaciones anteriores de Lazarus. La Oficina de Control de Activos Extranjeros del Departamento del Tesoro ha sancionado a docenas de direcciones, y el FBI ha emitido avisos públicos con identificadores en cadena para que los intercambios y los validadores los bloqueen.

A pesar de esas medidas, Lazarus ha seguido adaptándose. Las técnicas de envenenamiento de infraestructura del grupo, incluido el compromiso del nodo RPC utilizado en el ataque a KelpDAO, reflejan un cambio hacia atacar la infraestructura subyacente de los protocolos de finanzas descentralizadas (DeFi) en lugar de las interfaces front-end o las credenciales de usuarios individuales.

La seguridad de los puentes de cripto sigue siendo una vulnerabilidad central. Las brechas de Ronin, Harmony Horizon y ahora KelpDAO implicaron todas la manipulación de los sistemas de verificación entre cadenas. Los investigadores de seguridad han señalado los requisitos de multifirma, la auditoría independiente de los nodos RPC y la supervisión del comportamiento en tiempo real como las medidas de mitigación más directas.

Se estima que Corea del Norte obtiene una parte significativa de su divisas fuertes de estas operaciones en una economía limitada por sanciones internacionales, y algunos análisis sitúan los ingresos por robo de criptomonedas en aproximadamente el 13 % del PIB. Se cree que los fondos robados financian los programas nucleares y de misiles balísticos del país, además de otras funciones estatales.