Le groupe Lazarus serait soupçonné d'avoir transféré 175 millions de dollars en ETH après qu'Arbitrum a gelé 71 millions de dollars provenant d'une faille de sécurité de KelpDAO

• Le groupe Lazarus a détourné 116 500 rsETH de KelpDAO le 18 avril.
• Le Conseil de sécurité d'Arbitrum a gelé environ 30 766 ETH, d'une valeur de 71 millions de dollars, liés à l'exploiteur de KelpDAO le 20 avril.
• Lazarus a transféré 175 millions de dollars vers de nouvelles adresses Ethereum après le gel d'Arbitrum, Arkham Intelligence traquant activement ces portefeuilles.

Un groupe de pirates nord-coréens blanchit des millions d'ETH volés à KelpDAO via Thorchain et Umbra Cash

Bien que le récit puisse varier selon le développeur de protocole interrogé, des rapports indiquent que les attaquants ont compromis deux nœuds RPC et déployé un logiciel malveillant pour transmettre de fausses données de transaction exclusivement au réseau de vérificateurs décentralisés de Layerzero, tout en conservant des flux fiables pour les autres observateurs. Des rapports ont été publiés par KelpDAO, Layerzero et Llamarisk, ainsi que par les fournisseurs de services Aave.

L'attaque s'est poursuivie par une attaque par déni de service distribué contre les nœuds sains restants, forçant le pont de KelpDAO à basculer vers l'infrastructure compromise. Ayant pris le contrôle de la couche de vérification, ils ont falsifié un message inter-chaînes autorisant le retrait d'environ 116 500 rsETH, soit environ 18 % de l'approvisionnement total en rsETH de KelpDAO.

Le vol de KelpDAO est la deuxième attaque majeure attribuée à Lazarus en l'espace de trois semaines. Le 1er avril, environ 285 millions de dollars ont été dérobés à Drift Protocol lors d'une opération que les enquêteurs ont également liée au groupe nord-coréen Lazarus. Ces deux incidents représentent à eux deux près de 600 millions de dollars de pertes.

Les pirates nord-coréens auraient volé environ 2,02 milliards de dollars en cryptomonnaies sur l'ensemble de l'année 2025, soit une augmentation de 51 % par rapport à l'année précédente, ce qui en fait une année record pour les vols liés à la RPDC. Ce chiffre, publié par Chainalysis et les médias sud-coréens, représentait environ 60 % à 76 % de l'ensemble des vols de cryptomonnaies au niveau mondial, bien que le groupe ait commis 74 % d'incidents individuels en moins par rapport aux années précédentes. L'estimation cumulative minimale jusqu'à la fin de l'année 2025 s'élevait à environ 6,75 milliards de dollars.

Le plus gros vol isolé de l'histoire des cryptomonnaies est également l'œuvre de Lazarus. Début 2025, le groupe a dérobé environ 1,5 milliard de dollars à Bybit, une bourse basée à Dubaï, en compromettant un fournisseur de logiciels pour Safe Wallet et en manipulant les environnements de développement afin de rediriger un transfert de portefeuille froid vers un portefeuille chaud. Le FBI a officiellement attribué cette attaque aux membres du groupe nord-coréen Lazarus.

Avant Bybit, parmi les vols importants attribués au groupe figuraient environ 620 millions de dollars provenant du pont Ronin Network en 2022, 308 millions de dollars provenant de DMM Bitcoin en 2024 et 234,9 millions de dollars provenant de la plateforme indienne WazirX en 2024. Le groupe lié à la RPDC a également ciblé des plateformes plus petites, des portefeuilles individuels et des chaînes d'approvisionnement de logiciels liés aux cryptomonnaies.

Lazarus passe généralement des mois à se préparer avant de commettre un vol. Les attaquants utilisent de fausses offres d'emploi, des logiciels malveillants hébergés sur Github et du spear-phishing pour obtenir un premier accès. Une fois à l'intérieur des environnements des développeurs ou des validateurs, ils récupèrent les clés privées, compromettent les portefeuilles chauds ou manipulent l'infrastructure des ponts.

Après avoir exfiltré les fonds, le groupe blanchit les actifs par le biais de « chain-hopping », d'échanges sur des bourses décentralisées (DEX) et de la dispersion sur des milliers d'adresses. Une partie des fonds serait acheminée via des services tels que Huione Pay avant d'être finalement convertie en bitcoins ou en d'autres actifs pouvant soutenir le régime nord-coréen.

Le ministère américain de la Justice a inculpé le ressortissant nord-coréen Park Jin Hyok en lien avec des opérations antérieures de Lazarus. Le Bureau du contrôle des avoirs étrangers (OFAC) du département du Trésor a sanctionné des dizaines d'adresses, et le FBI a publié des avis publics contenant des identifiants on-chain que les bourses et les validateurs doivent bloquer.

Malgré ces mesures, Lazarus a continué à s'adapter. Les techniques d'empoisonnement de l'infrastructure du groupe, notamment la compromission du nœud RPC utilisée lors de l'attaque contre KelpDAO, reflètent une évolution vers le ciblage de l'infrastructure sous-jacente des protocoles de finance décentralisée (DeFi) plutôt que des interfaces frontales ou des identifiants individuels des utilisateurs.

La sécurité des ponts cryptographiques demeure une vulnérabilité centrale. Les failles de Ronin, Harmony Horizon et désormais KelpDAO impliquaient toutes une manipulation des systèmes de vérification inter-chaînes. Les chercheurs en sécurité ont identifié les exigences de signatures multiples, l’audit indépendant des nœuds RPC et la surveillance comportementale en temps réel comme les mesures d’atténuation les plus directes.

On estime que la Corée du Nord tire une part importante de ses devises fortes de ces opérations dans une économie soumise à des sanctions internationales, certaines analyses estimant que le produit des vols de cryptomonnaies représente environ 13 % du PIB. Les fonds volés serviraient à financer les programmes nucléaires et de missiles balistiques du pays, ainsi que d'autres fonctions de l'État.