Lazarus-ryhmää epäillään siirtäneen 175 miljoonaa dollaria arvosta ETH:ta sen jälkeen, kun Arbitrum jäädytti 71 miljoonaa dollaria KelpDAO:n haavoittuvuuden hyödyntämisen seurauksena

Tärkeimmät kohdat:

• Lazarus-ryhmä varasti 116 500 rsETH:ta KelpDAO:lta 18. huhtikuuta.
• Arbitrum Security Council jäädytti 20. huhtikuuta noin 30 766 ETH:n arvosta (71 miljoonaa dollaria) varoja, jotka olivat yhteydessä KelpDAO:n hyökkääjään.
• Lazarus siirsi 175 miljoonaa dollaria uusille ethereum-osoitteille Arbitrumin jäädyttämisen jälkeen, ja Arkham Intelligence seurasi aktiivisesti lompakoita.

Pohjois-Korean hakkerointisyndikaatti pesee miljoonia varastettuja KelpDAO-ETH:ta Thorchainin ja Umbra Cashin kautta

Vaikka tarina voi vaihdella riippuen siitä, mitä protokollan kehittäjää kysyt, raporttien mukaan hyökkääjät murtautuivat kahteen RPC-solmuun ja asettivat haittaohjelman syöttämään vääriä transaktiotietoja yksinomaan Layerzeron hajautettuun verifiointiverkostoon pitäen syötteet rehellisinä muille tarkkailijoille. Raportit on julkaistu KelpDAO:n, Layerzeron ja Llamariskin sekä Aave-palveluntarjoajien toimesta.

Hyökkäystä seurasi hajautettu palvelunestohyökkäys jäljellä olevia puhtaita solmuja vastaan, mikä pakotti KelpDAO:n sillan siirtymään vaarantuneeseen infrastruktuuriin. Kun vahvistuskerros oli heidän hallinnassaan, he väärensivät ketjujen välisen viestin, jolla valtuutettiin noin 116 500 rsETH:n nostaminen, mikä edustaa noin 18 % KelpDAO:n rsETH-kokonaistarjonnasta.

KelpDAO-varkaus on toinen suuri hyökkäys, joka on yhdistetty Lazarukseen kolmen viikon sisällä. 1. huhtikuuta Drift Protocolilta vietiin noin 285 miljoonaa dollaria operaatiossa, jonka tutkijat myös linkittivät Pohjois-Korean Lazarukseen. Nämä kaksi tapausta yhdessä aiheuttivat lähes 600 miljoonan dollarin tappiot.

Pohjoiskorealaisten hakkereiden kerrotaan varastaneen noin 2,02 miljardia dollaria kryptovaluuttaa koko vuoden 2025 aikana, mikä on 51 %:n vuotuinen kasvu ja teki vuodesta ennätyksellisen Pohjois-Koreaan liittyvien varkauksien osalta. Tämä luku, jonka julkaisivat Chainalysis ja eteläkorealaiset tiedotusvälineet, edusti noin 60–76 % kaikista maailmanlaajuisista palvelutason kryptovarkauksista, huolimatta siitä, että ryhmä toteutti 74 % vähemmän yksittäisiä tapauksia kuin edellisinä vuosina. Kumulatiivinen alaraja-arvio vuoden 2025 loppuun mennessä oli noin 6,75 miljardia dollaria.

Kryptovaluuttojen historian suurin yksittäinen varkaus on myös Lazarus-ryhmän tekosia. Vuoden 2025 alussa ryhmä varasti noin 1,5 miljardia dollaria dubailaiselta Bybit-pörssiltä vaarantamalla Safe Walletin ohjelmistotoimittajan ja manipuloimalla kehittäjäympäristöjä ohjaamaan siirron kylmä-lämmin-lompakosta. FBI katsoi virallisesti, että hyökkäyksen takana olivat Pohjois-Korean Lazarus-ryhmän toimijat.

Ennen Bybitia merkittäviä varkauksia olivat noin 620 miljoonan dollarin varkaus Ronin Network -sillalta vuonna 2022, 308 miljoonan dollarin varkaus DMM Bitcoinilta vuonna 2024 ja 234,9 miljoonan dollarin varkaus intialaiselta pörssiltä WazirX:ltä vuonna 2024. Pohjois-Koreaan liittyvä ryhmä on kohdentanut hyökkäyksensä myös pienempiin alustoihin, yksittäisiin lompakkoihin ja kryptovaluuttoihin liittyviin ohjelmistojen toimitusketjuihin.

Lazarus käyttää tyypillisesti kuukausia valmistautumiseen ennen varkauden toteuttamista. Hyökkääjät käyttävät väärennettyjä rekrytointiviestejä, Githubissa isännöityjä haittaohjelmia ja kohdennettua kalastelua saadakseen alustavan pääsyn. Kun he ovat päässeet kehittäjä- tai validointialustoille, he keräävät yksityisiä avaimia, vaarantavat kuumat lompakot tai manipuloivat silta-infrastruktuuria.

Varojen siirtämisen jälkeen ryhmä pesee varat ketjujen välillä hyppimällä, hajautettujen pörssien (DEX) vaihdoilla ja jakamalla ne tuhansille osoitteille. Osa tuotoista ohjataan väitetysti palveluiden, kuten Huione Payn, kautta ennen kuin ne lopulta muunnetaan bitcoineiksi tai muiksi varoiksi, joilla voidaan tukea Pohjois-Korean hallintoa.

Yhdysvaltain oikeusministeriö nosti syytteen Pohjois-Korean kansalaiselle Park Jin Hyokille aiempien Lazarus-operaatioiden yhteydessä. Valtiovarainministeriön ulkomaisten varojen valvontavirasto (OFAC) on asettanut sanktioita kymmenille osoitteille, ja FBI on julkaissut julkisia varoituksia, joissa on pörssien ja validoijien estettävät ketjutunnisteet.

Näistä toimenpiteistä huolimatta Lazarus on jatkanut sopeutumistaan. Ryhmän infrastruktuurin myrkytystekniikat, mukaan lukien KelpDAO-hyökkäyksessä käytetty RPC-solmun vaarantaminen, heijastavat siirtymistä kohti hajautetun rahoituksen (DeFi) protokollien taustalla olevien järjestelmien kohdentamista sen sijaan, että kohdistettaisiin hyökkäykset käyttöliittymiin tai yksittäisten käyttäjien tunnistetietoihin.

Kryptosiltojen turvallisuus on edelleen keskeinen haavoittuvuus. Ronin-, Harmony Horizon- ja nyt KelpDAO-hyökkäykset koskivat kaikki ketjujen välisten varmennusjärjestelmien manipulointia. Turvallisuustutkijat ovat osoittaneet monen allekirjoituksen vaatimukset, riippumattoman RPC-solmun auditoinnin ja reaaliaikaisen käyttäytymisen seurannan suorimmiksi lieventämiskeinoiksi.

Arvioiden mukaan Pohjois-Korea saa merkittävän osan kovasta valuutastaan näistä operaatioista kansainvälisten pakotteiden rajoittamassa taloudessa, ja joidenkin analyysien mukaan kryptovaluutan varkauksista saatavat tulot ovat noin 13 % BKT:stä. Varastettujen varojen uskotaan tukevan maan ydin- ja ballististen ohjusten ohjelmia sekä muita valtion toimintoja.