گروه لازاروس مظنون به انتقال ۱۷۵ میلیون دلار اتریوم پس از مسدودسازی ۷۱ میلیون دلار توسط آربیتروم از سوءاستفاده KelpDAO

نکات کلیدی:

• گروه لازاروس در ۱۸ آوریل ۱۱۶٬۵۰۰ rsETH را از KelpDAO تخلیه کرد.
• شورای امنیت آربیتروم در ۲۰ آوریل حدود ۳۰٬۷۶۶ ETH به ارزش ۷۱ میلیون دلار را که به بهره‌بردار حملهٔ KelpDAO مرتبط بود، مسدود کرد.
• لازاروس پس از مسدودسازی آربیتروم، ۱۷۵ میلیون دلار را به آدرس‌های جدید اتریوم منتقل کرد و Arkham Intelligence به‌طور فعال در حال ردیابی کیف‌پول‌هاست.

سندیکای هکِ کرهٔ شمالی میلیون‌ها دلار ETH سرقتی KelpDAO را از طریق Thorchain و Umbra Cash پولشویی می‌کند

هرچند بسته به اینکه از کدام توسعه‌دهندهٔ پروتکل بپرسید روایت می‌تواند متفاوت باشد، گزارش‌ها می‌گویند مهاجمان دو نود RPC را به خطر انداختند و بدافزاری را مستقر کردند تا داده‌های تراکنش جعلی را به‌طور انحصاری به شبکهٔ راستی‌آزمایی غیرمتمرکز Layerzero تغذیه کنند، در حالی که برای سایر ناظران، فیدها را درست و صادق نگه می‌داشتند. گزارش‌هایی از سوی KelpDAO، Layerzero و Llamarisk در کنار ارائه‌دهندگان خدمات Aave منتشر شده است.

در ادامهٔ حمله، یک حملهٔ منع سرویس توزیع‌شده (DDoS) علیه نودهای پاکِ باقی‌مانده انجام شد که باعث شد پلِ KelpDAO به زیرساختِ به‌خطر‌افتاده سوییچ کند. با در اختیار داشتن لایهٔ راستی‌آزمایی، آن‌ها یک پیام میان‌زنجیره‌ای جعل کردند که برداشتِ حدود ۱۱۶٬۵۰۰ rsETH را مجاز می‌کرد؛ رقمی که حدود ۱۸٪ از کل عرضهٔ rsETHِ KelpDAO را نمایندگی می‌کند.

سرقت KelpDAO دومین حملهٔ بزرگ نسبت‌داده‌شده به لازاروس طی سه هفته است. در ۱ آوریل، حدود ۲۸۵ میلیون دلار از Drift Protocol برداشته شد؛ عملیاتی که بازرسان آن را نیز به لازاروسِ کرهٔ شمالی مرتبط دانستند. این دو رویداد در مجموع نزدیک به ۶۰۰ میلیون دلار زیان به بار آورده‌اند.

گزارش‌ها حاکی است هکرهای کرهٔ شمالی در سراسر سال ۲۰۲۵ در مجموع حدود ۲٫۰۲ میلیارد دلار ارز دیجیتال سرقت کرده‌اند؛ افزایشی ۵۱٪ نسبت به سال قبل که آن را به یک سال رکوردی برای سرقت‌های مرتبط با DPRK تبدیل کرد. این رقم که توسط Chainalysis و رسانه‌های کرهٔ جنوبی منتشر شد، با وجود آنکه این گروه ۷۴٪ رویدادهای منفردِ کمتری نسبت به سال‌های پیش اجرا کرد، حدود ۶۰٪ تا ۷۶٪ از کل سرقت‌های جهانیِ سطحِ سرویس را تشکیل می‌داد. برآورد حداقلیِ تجمعی تا پایان ۲۰۲۵ به حدود ۶٫۷۵ میلیارد دلار رسید.

بزرگ‌ترین سرقت منفرد در تاریخ کریپتو نیز به لازاروس تعلق دارد. در اوایل ۲۰۲۵، این گروه حدود ۱٫۵ میلیارد دلار از Bybit، یک صرافی مستقر در دبی، سرقت کرد؛ آن هم با به‌خطر انداختن یک ارائه‌دهندهٔ نرم‌افزاری برای Safe Wallet و دست‌کاری محیط‌های توسعه‌دهندگان برای منحرف کردن یک انتقال کیف‌پول سرد به گرم. اف‌بی‌آی به‌طور رسمی آن حمله را به عوامل گروه لازاروسِ کرهٔ شمالی نسبت داد.

پیش از Bybit، سرقت‌های بزرگ دیگری که به این گروه نسبت داده شده‌اند شامل حدود ۶۲۰ میلیون دلار از پل Ronin Network در ۲۰۲۲، ۳۰۸ میلیون دلار از DMM Bitcoin در ۲۰۲۴ و ۲۳۴٫۹ میلیون دلار از صرافی هندی WazirX در ۲۰۲۴ است. این گروه مرتبط با DPRK همچنین پلتفرم‌های کوچک‌تر، کیف‌پول‌های فردی و زنجیره‌های تأمین نرم‌افزارِ مرتبط با کریپتو را هدف قرار داده است.

لازاروس معمولاً ماه‌ها برای اجرای یک سرقت آماده‌سازی می‌کند. مهاجمان از ارتباط‌گیریِ جعلی به‌عنوان استخدام‌کننده، بدافزارهای میزبانی‌شده در Github و نیزه‌فیشینگ برای دستیابی اولیه استفاده می‌کنند. پس از ورود به محیط‌های توسعه‌دهندگان یا اعتبارسنج‌ها، آن‌ها کلیدهای خصوصی را استخراج می‌کنند، کیف‌پول‌های گرم را به خطر می‌اندازند یا زیرساخت پل را دست‌کاری می‌کنند.

پس از خارج‌سازی وجوه، گروه دارایی‌ها را از طریق پرش بین زنجیره‌ها، مبادله در صرافی‌های غیرمتمرکز (DEX) و پراکندگی در هزاران آدرس پولشویی می‌کند. گفته می‌شود بخشی از عواید از طریق سرویس‌هایی مانند Huione Pay مسیردهی می‌شود و در نهایت به بیت‌کوین یا سایر دارایی‌هایی تبدیل می‌شود که می‌توانند از رژیم DPRK پشتیبانی کنند.

وزارت دادگستری ایالات متحده کیفرخواستی علیه تبعهٔ کرهٔ شمالی «پارک جین هیوک» در ارتباط با عملیات‌های پیشین لازاروس صادر کرد. دفتر کنترل دارایی‌های خارجی وزارت خزانه‌داری (OFAC) ده‌ها آدرس را تحریم کرده و اف‌بی‌آی نیز با شناسه‌های آن‌چین، هشدارهای عمومی برای صرافی‌ها و اعتبارسنج‌ها جهت مسدودسازی منتشر کرده است.

با وجود این اقدامات، لازاروس همچنان به سازگار شدن ادامه داده است. تکنیک‌های مسموم‌سازی زیرساختِ این گروه، از جمله همان به‌خطر انداختن نود RPC که در حملهٔ KelpDAO به‌کار رفت، نشان‌دهندهٔ تغییر رویکرد به سمت هدف گرفتن لوله‌کشیِ زیرینِ پروتکل‌های امور مالی غیرمتمرکز (DeFi) به‌جای رابط‌های کاربریِ فرانت‌اند یا اعتبارنامه‌های کاربران فردی است.

امنیت پل‌های کریپتو همچنان یک آسیب‌پذیری محوری است. رخنه‌های Ronin، Harmony Horizon و اکنون KelpDAO همگی شامل دست‌کاری سامانه‌های راستی‌آزمایی میان‌زنجیره‌ای بوده‌اند. پژوهشگران امنیتی به الزام‌های چندامضایی، ممیزی مستقل نودهای RPC و پایش رفتاری بلادرنگ به‌عنوان مستقیم‌ترین راهکارهای کاهش ریسک اشاره کرده‌اند.

برآورد می‌شود کرهٔ شمالی در اقتصادی که به‌واسطهٔ تحریم‌های بین‌المللی محدود شده، سهم قابل توجهی از ارز سخت را از این عملیات‌ها به دست می‌آورد؛ به‌طوری که برخی تحلیل‌ها عواید سرقت‌های کریپتویی را حدود ۱۳٪ تولید ناخالص داخلی (GDP) قرار داده‌اند. باور بر این است که وجوه سرقتی در کنار سایر کارکردهای دولتی، از برنامه‌های هسته‌ای و موشک‌های بالستیک این کشور پشتیبانی می‌کند.