קבוצת לזרוס נחשדת בהעברת 175 מיליון דולר ב-ETH לאחר ש-Arbitrum הקפיאה 71 מיליון דולר שנבעו מניצול ב-KelpDAO

עיקרי הדברים:

• קבוצת לזרוס רוקנה 116,500 rsETH מ-KelpDAO ב-18 באפריל.
• מועצת האבטחה של Arbitrum הקפיאה כ-30,766 ETH בשווי 71 מיליון דולר המקושרים למנצל הפרצה ב-KelpDAO ב-20 באפריל.
• לאחר ההקפאה של Arbitrum, לזרוס העבירה 175 מיליון דולר לכתובות את’ריום חדשות, כאשר Arkham Intelligence עוקבת באופן פעיל אחר הארנקים.

סינדיקט הפריצה של צפון קוריאה מלבין מיליונים ב-ETH גנוב מ-KelpDAO דרך Thorchain ו-Umbra Cash

בעוד שהסיפור עשוי להיות שונה בהתאם לאיזה מפתח פרוטוקול תשאלו, דיווחים אומרים שהתוקפים פגעו בשני צמתי RPC ופרסו נוזקה כדי להזין נתוני עסקאות כוזבים באופן בלעדי לרשת המאמתים המבוזרת של Layerzero, תוך שמירה על הזנות אמינות עבור משקיפים אחרים. דוחות פורסמו על ידי KelpDAO, Layerzero, ו-Llamarisk לצד ספקי שירות של Aave.

המתקפה נמשכה עם מתקפת מניעת שירות מבוזרת נגד הצמתים הנקיים שנותרו, מה שאילץ את הגשר של KelpDAO לבצע מעבר תפעולי לתשתית שנפגעה. כאשר שכבת האימות הייתה תחת שליטתם, הם זייפו הודעה חוצת-שרשראות שאישרה משיכה של כ-116,500 rsETH, המייצגים כ-18% מהיצע ה-rsETH הכולל של KelpDAO.

גניבת KelpDAO היא המתקפה הגדולה השנייה שמיוחסת ללזרוס בתוך שלושה שבועות. ב-1 באפריל נלקחו כ-285 מיליון דולר מ-Drift Protocol במבצע שחוקרים קשרו גם הוא ללזרוס מצפון קוריאה. שני האירועים יחד מהווים כמעט 600 מיליון דולר בהפסדים.

האקרים מצפון קוריאה דיווחו כי גנבו כ-2.02 מיליארד דולר במטבעות קריפטוגרפיים לאורך כל 2025, עלייה של 51% משנה לשנה שהפכה אותה לשנת שיא עבור גניבות המקושרות ל-DPRK. הנתון, שפורסם על ידי Chainalysis וכלי תקשורת דרום קוריאניים, ייצג כ-60% עד 76% מכלל גניבות הקריפטו ברמת השירות בעולם, למרות שהקבוצה ביצעה 74% פחות אירועים בודדים מאשר בשנים קודמות. ההערכה המצטברת של הגבול התחתון עד סוף 2025 הגיעה לכ-6.75 מיליארד דולר.

הגניבה הבודדת הגדולה ביותר בהיסטוריה של הקריפטו שייכת גם היא ללזרוס. בתחילת 2025, הקבוצה גנבה כ-1.5 מיליארד דולר מ-Bybit, בורסה מבוססת דובאי, באמצעות פגיעה בספק תוכנה עבור Safe Wallet ומניפולציה של סביבות מפתחים כדי להסיט העברת ארנק מקור-ליעד (cold-to-hot). ה-FBI ייחס רשמית את המתקפה לשחקנים מקבוצת לזרוס מצפון קוריאה.

לפני Bybit, שודים משמעותיים שיוחסו לקבוצה כללו כ-620 מיליון דולר מגשר Ronin Network בשנת 2022, 308 מיליון דולר מ-DMM Bitcoin בשנת 2024, ו-234.9 מיליון דולר מהבורסה ההודית WazirX בשנת 2024. הקבוצה המקושרת ל-DPRK כיוונה גם לפלטפורמות קטנות יותר, לארנקים פרטיים ולשרשראות אספקה של תוכנה הצמודה לקריפטו.

לזרוס בדרך כלל משקיעה חודשים של היערכות לפני ביצוע גניבה. התוקפים משתמשים בפניות גיוס מזויפות, נוזקה המאוחסנת ב-Github, ובדיוג ממוקד (spear-phishing) כדי להשיג גישה ראשונית. לאחר שנכנסו לסביבות של מפתחים או מאמתים, הם אוספים מפתחות פרטיים, פוגעים בארנקים חמים, או מבצעים מניפולציה על תשתית גשרים.

לאחר הוצאת הכספים, הקבוצה מלבינה נכסים באמצעות קפיצות בין רשתות, החלפות בבורסות מבוזרות (DEX), ופיזור על פני אלפי כתובות. חלק מההכנסות לכאורה מנותבות דרך שירותים כגון Huione Pay לפני שהן מומרות בסופו של דבר ל-ביטקוין או לנכסים אחרים שיכולים לתמוך במשטר ה-DPRK.

משרד המשפטים האמריקאי הגיש כתב אישום נגד האזרח הצפון קוריאני Park Jin Hyok בקשר למבצעי לזרוס מוקדמים. משרד הפיקוח על נכסים זרים של מחלקת האוצר הטיל סנקציות על עשרות כתובות, וה-FBI פרסם אזהרות פומביות עם מזהים על-שרשרת עבור בורסות ומאמתים כדי לחסום.

למרות הצעדים הללו, לזרוס המשיכה להסתגל. טכניקות הרעלת התשתיות של הקבוצה, כולל פגיעת צומת ה-RPC שנעשה בה שימוש במתקפת KelpDAO, משקפות מעבר לכיוון תקיפת הצנרת שמתחת לפרוטוקולי פיננסים מבוזרים (DeFi) במקום ממשקי קצה או אישורי משתמשים בודדים.

אבטחת גשרי קריפטו נותרת חולשה מרכזית. הפריצות ל-Ronin, Harmony Horizon, וכעת KelpDAO כללו כולן מניפולציה של מערכות אימות חוצות-שרשראות. חוקרי אבטחה הצביעו על דרישות רב-חתימה, ביקורת עצמאית לצמתי RPC, וניטור התנהגות בזמן אמת כמנגנוני ההפחתה הישירים ביותר.

מוערך כי צפון קוריאה מפיקה נתח משמעותי של מטבע קשה ממבצעים אלה בכלכלה המוגבלת על ידי סנקציות בינלאומיות, כאשר חלק מהניתוחים מציבים את הכנסות גניבת הקריפטו בכ-13% מהתמ”ג. על פי ההערכה, כספים גנובים תומכים בתוכניות הגרעין והטילים הבליסטיים של המדינה לצד תפקודים מדינתיים אחרים.