A Lazarus Groupot azzal gyanúsítják, hogy 175 millió dollár értékű ETH-t mozgatott, miután az Arbitrum 71 millió dollárt befagyasztott a KelpDAO-t érintő biztonsági rés kihasználása miatt

Főbb megállapítások:

• A Lazarus Group április 18-án 116 500 rsETH-t lopott el a KelpDAO-tól.
• Az Arbitrum Biztonsági Tanács április 20-án befagyasztott körülbelül 30 766 ETH-t, 71 millió dollár értékben, amely a KelpDAO-t kihasználó személyhez kapcsolódott.
• A Lazarus az Arbitrum befagyasztását követően 175 millió dollárt utalt át új ethereum-címekre, az Arkham Intelligence pedig aktívan nyomon követi a pénztárcákat.

Észak-koreai hackercsoport több millió dollárnyi, a KelpDAO-tól ellopott ETH-t mosott tisztára a Thorchain és az Umbra Cash segítségével

Bár a történet attól függően eltérő lehet, hogy melyik protokollfejlesztőt kérdezzük, a jelentések szerint a támadók két RPC-csomópontot kompromittáltak, és rosszindulatú szoftvert telepítettek, hogy kizárólag a Layerzero decentralizált ellenőrző hálózatának továbbítsanak hamis tranzakciós adatokat, miközben más megfigyelők számára a feedek hitelesek maradtak. A jelentéseket a KelpDAO, a Layerzero és a Llamarisk, valamint az Aave szolgáltatói tették közzé.

A támadást egy elosztott szolgáltatásmegtagadási támadás követte a fennmaradó, sértetlen csomópontok ellen, ami arra kényszerítette a KelpDAO hídját, hogy átálljon a kompromittált infrastruktúrára. Miután a hitelesítési réteg az irányításuk alá került, hamisítottak egy láncok közötti üzenetet, amely engedélyezte körülbelül 116 500 rsETH kivonását, ami a KelpDAO teljes rsETH-készletének körülbelül 18%-át teszi ki.

A KelpDAO-t érintő lopás a harmadik héten belül a Lazarusnak tulajdonított második jelentős támadás. Április 1-jén körülbelül 285 millió dollárt vittek el a Drift Protocolból egy olyan művelet során, amelyet a nyomozók szintén Észak-Korea Lazarusához kötöttek. A két incidens együttesen közel 600 millió dolláros veszteséget jelent.

Észak-koreai hackerek állítólag 2025 egészében körülbelül 2,02 milliárd dollár értékű kriptovalutát loptak el, ami 51%-os növekedést jelent az előző évhez képest, így ez a legmagasabb értékű lopás lett az Észak-Koreához kapcsolódó esetek között. Ez a szám, amelyet a Chainalysis és dél-koreai médiaorgánumok tettek közzé, a globális szolgáltatási szintű kriptolopások körülbelül 60–76%-át tette ki, annak ellenére, hogy a csoport 74%-kal kevesebb egyedi incidenst hajtott végre, mint az előző években. A 2025 végéig felhalmozódott becsült alsó határ körülbelül 6,75 milliárd dollárt ért el.

A kriptovaluta-történelem legnagyobb egyedi lopása szintén a Lazarus nevéhez fűződik. 2025 elején a csoport körülbelül 1,5 milliárd dollárt lopott el a dubai székhelyű Bybit tőzsdétől azáltal, hogy feltörte a Safe Wallet szoftver szolgáltatóját, és manipulálta a fejlesztői környezetet, hogy átirányítsa a hideg tárcából a meleg tárcába történő átutalást. Az FBI hivatalosan az észak-koreai Lazarus Group szereplőinek tulajdonította ezt a támadást.

A Bybit előtt a jelentős, nekik tulajdonított rablások között szerepelt a Ronin Network hídból 2022-ben ellopott körülbelül 620 millió dollár, a DMM Bitcoinból 2024-ben ellopott 308 millió dollár, valamint az indiai WazirX tőzsdéről 2024-ben ellopott 234,9 millió dollár. Az Észak-Koreához kapcsolódó csoport kisebb platformokat, egyéni pénztárcákat és a kriptovalutákkal kapcsolatos szoftverellátási láncokat is megcélzott.

A Lazarus általában hónapokat tölt a felkészüléssel, mielőtt végrehajtja a lopást. A támadók hamis toborzói megkereséseket, a Githubon tárolt rosszindulatú programokat és célzott adathalászatot használnak a kezdeti hozzáférés megszerzéséhez. Miután bejutottak a fejlesztői vagy validátori környezetekbe, magánkulcsokat gyűjtenek, forró pénztárcákat kompromittálnak vagy a híd infrastruktúráját manipulálják.

A pénzeszközök elszívása után a csoport láncváltással, decentralizált tőzsdei (DEX) cserékkel és több ezer címre történő szétosztással mossa tisztára az eszközöket. A bevételek egy részét állítólag olyan szolgáltatásokon keresztül irányítják, mint a Huione Pay, mielőtt végül bitcoinná vagy más, az észak-koreai rezsimet támogató eszközökké alakítanák át.

Az Egyesült Államok Igazságügyi Minisztériuma vádat emelt Park Jin Hyok észak-koreai állampolgár ellen a Lazarus korábbi műveleteivel kapcsolatban. A Pénzügyminisztérium Külföldi Vagyonkezelő Hivatala több tucat címet szankcionált, az FBI pedig nyilvános figyelmeztetéseket adott ki a tőzsdék és validátorok számára a blokkolandó on-chain azonosítókkal.

Ezen intézkedések ellenére a Lazarus továbbra is alkalmazkodik. A csoport infrastruktúra-mérgezési technikái, beleértve a KelpDAO-támadásban használt RPC-csomópont-megfertőzést, azt tükrözik, hogy a front-end felületek vagy az egyéni felhasználói hitelesítő adatok helyett inkább a decentralizált pénzügyi (DeFi) protokollok alatti háttérrendszereket célozzák meg.

A kriptóhíd biztonsága továbbra is központi sebezhetőséget jelent. A Ronin, a Harmony Horizon és most a KelpDAO támadások mindegyike a láncok közötti ellenőrző rendszerek manipulációjával járt. A biztonsági kutatók a többaláírásos követelményeket, a független RPC-csomópont-ellenőrzést és a valós idejű viselkedésfigyelést jelölték meg a legközvetlenebb kockázatcsökkentő intézkedéseknek.

Becslések szerint Észak-Korea keményvalutájának jelentős részét ezekből a műveletekből szerezte meg a nemzetközi szankciók által korlátozott gazdaságában, egyes elemzések szerint a kriptovaluta-lopásokból származó bevételek a GDP körülbelül 13%-át teszik ki. Úgy gondolják, hogy a lopott pénzeszközök az ország nukleáris és ballisztikus rakétaprogramjait, valamint egyéb állami funkciókat támogatnak.