Lazarus Groupit kahtlustatakse 175 miljoni dollari väärtuses ETH-i ümberpaigutamises pärast seda, kui Arbitrum külmutas KelpDAO turvaaugu ärakasutamise tulemusel saadud 71 miljonit dollarit

Peamised järeldused:

• Lazarus Group varastas 18. aprillil KelpDAO-lt 116 500 rsETH-i.
• Arbitrumi julgeolekunõukogu külmutas 20. aprillil umbes 30 766 ETH väärtuses 71 miljonit dollarit, mis oli seotud KelpDAO-d ärakasutanud isikuga.
• Lazarus kandis pärast Arbitrumi külmutamist 175 miljonit dollarit uutele Ethereumi aadressidele, kusjuures Arkham Intelligence jälgib aktiivselt rahakotte.

Põhja-Korea häkkersündikaat peseb Thorchaini ja Umbra Cashi kaudu miljoneid varastatud KelpDAO ETH-sid

Kuigi lugu võib olla erinev sõltuvalt sellest, milliselt protokolliarendajalt küsida, väidavad raportid, et ründajad kompromiteerisid kaks RPC-sõlme ja paigaldasid pahavara, et edastada valetehinguandmeid ainult Layerzero detsentraliseeritud verifitseerimisvõrgustikule, hoides samal ajal teiste vaatlejate jaoks andmevood ausana. Raportid on avaldanud KelpDAO, Layerzero ja Llamarisk koos Aave teenusepakkujatega.

Rünnakule järgnes hajutatud teenusetõkestusrünnak ülejäänud puhtate sõlmede vastu, sundides KelpDAO silda üle minema ohustatud infrastruktuurile. Kuna kontrollisid verifitseerimiskihte, võltsisid nad ristketi sõnumi, mis lubas välja võtta umbes 116 500 rsETH-d, mis moodustab ligikaudu 18% KelpDAO kogu rsETH varudest.

KelpDAO vargus on teine suur rünnak, mida seostatakse Lazarusega kolme nädala jooksul. 1. aprillil võeti Drift Protocolilt ligikaudu 285 miljonit dollarit operatsioonis, mida uurijad seostasid samuti Põhja-Korea Lazarusega. Need kaks juhtumit kokku moodustavad ligi 600 miljoni dollari suuruse kahju.

Põhja-Korea häkkerid varastasid 2025. aasta jooksul väidetavalt ligikaudu 2,02 miljardit dollarit krüptovaluutas, mis on 51% suurune kasv võrreldes eelmise aastaga ja tegi sellest rekordilise aasta Põhja-Koreaga seotud varguste osas. See arv, mille avaldasid Chainalysis ja Lõuna-Korea meediakanalid, moodustas ligikaudu 60% kuni 76% kõigist ülemaailmsetest teenusetasandi krüptovargustest, hoolimata sellest, et rühmitus sooritas 74% vähem üksikuid intsidente kui eelnevatel aastatel. Kumulatiivne alumine hinnang 2025. aasta lõpuks ulatus ligikaudu 6,75 miljardi dollarini.

Krüptovaluuta ajaloo suurim üksikvargus kuulub samuti Lazarusele. 2025. aasta alguses varastas rühmitus umbes 1,5 miljardit dollarit Dubais asuvalt börsilt Bybit, ohustades Safe Walleti tarkvarapakkujat ja manipuleerides arendajakeskkondi, et suunata ümber külm-kuum rahakoti ülekande. FBI omistab selle rünnaku ametlikult Põhja-Korea Lazarus Groupi tegutsejatele.

Enne Bybitit olid märkimisväärsed omistatud röövid umbes 620 miljonit dollarit Ronin Networki sillalt 2022. aastal, 308 miljonit dollarit DMM Bitcoinilt 2024. aastal ja 234,9 miljonit dollarit India börsilt WazirX 2024. aastal. Põhja-Koreaga seotud rühmitus on sihtinud ka väiksemaid platvorme, individuaalseid rahakotte ja krüptoga seotud tarkvara tarneahelaid.

Lazarus veedab tavaliselt mitu kuud ettevalmistustega enne varguse sooritamist. Ründajad kasutavad võltsitud värbamiskampaaniaid, Githubis hostitud pahavara ja sihtphishingut, et saada esmane juurdepääs. Kui nad on jõudnud arendaja- või valideerijakeskkonda, koguvad nad privaatvõtmeid, murravad sisse kuumadesse rahakottidesse või manipuleerivad sillainfrastruktuuriga.

Pärast raha väljaviimist peseb rühmitus varasid ahelahüppamise, detsentraliseeritud börside (DEX) vahetuste ja tuhandete aadresside vahelise hajutamise kaudu. Osa saadustest suunatakse väidetavalt läbi selliste teenuste nagu Huione Pay, enne kui need lõpuks konverteeritakse bitcoini või muudeks varadeks, mis võivad toetada Põhja-Korea režiimi.

USA justiitsministeerium esitas süüdistuse Põhja-Korea kodanikule Park Jin Hyokile seoses varasemate Lazaruse operatsioonidega. Rahandusministeeriumi välisvarade kontrolli büroo on kehtestanud sanktsioonid kümnetele aadressidele ning FBI on avaldanud avalikud hoiatused, milles on esitatud vahetusplatvormide ja validaatorite blokeerimiseks vajalikud ahela identifikaatorid.

Hoolimata nendest meetmetest on Lazarus jätkanud kohanemist. Rühma infrastruktuuri mürgitamise tehnikad, sealhulgas KelpDAO rünnakus kasutatud RPC-sõlme kompromiteerimine, peegeldavad nihet, kus sihtmärgiks on pigem detsentraliseeritud rahanduse (DeFi) protokollide aluseks olevad süsteemid kui kasutajaliidesed või üksikute kasutajate autentimisandmed.

Krüptosildade turvalisus on endiselt keskne nõrk koht. Ronini, Harmony Horizon ja nüüd ka KelpDAO rikkumised hõlmasid kõik ristketi verifitseerimissüsteemide manipuleerimist. Turvauurijad on osutanud mitme allkirja nõuetele, sõltumatule RPC-sõlmede auditeerimisele ja reaalajas käitumise jälgimisele kui kõige otsesematele leevendusmeetmetele.

Hinnanguliselt saab Põhja-Korea rahvusvaheliste sanktsioonidega piiratud majanduses märkimisväärse osa kõvast valuutast just nendest operatsioonidest, kusjuures mõnede analüüside kohaselt moodustavad krüptovarguste tulud ligikaudu 13% SKPst. Arvatakse, et varastatud rahalised vahendid toetavad riigi tuuma- ja ballistiliste rakettide programme ning muid riiklikke funktsioone.