Kelompok Lazarus Diduga Memindahkan $175 Juta dalam Bentuk ETH Setelah Arbitrum Membekukan $71 Juta dari Eksploitasi KelpDAO

Poin Penting:

• Kelompok Lazarus mencuri 116.500 rsETH dari KelpDAO pada 18 April.
• Dewan Keamanan Arbitrum membekukan sekitar 30.766 ETH senilai $71 juta yang terkait dengan pelaku eksploitasi KelpDAO pada 20 April.
• Lazarus memindahkan $175 juta ke alamat ethereum baru setelah pembekuan Arbitrum, dengan Arkham Intelligence secara aktif melacak dompet-dompet tersebut.

Sindikat Peretasan Korea Utara Mencuci Jutaan ETH KelpDAO yang Dicuri Melalui Thorchain dan Umbra Cash

Meskipun ceritanya mungkin berbeda tergantung pada pengembang protokol mana yang Anda tanya, laporan menyebutkan bahwa penyerang mengkompromikan dua node RPC dan menyebarkan malware untuk mengirimkan data transaksi palsu secara eksklusif ke Jaringan Verifikator Terdesentralisasi Layerzero, sementara tetap menjaga data yang dikirimkan tetap valid bagi pengamat lain. Laporan telah dirilis oleh KelpDAO, Layerzero, dan Llamarisk bersama penyedia layanan Aave.

Serangan dilanjutkan dengan serangan distributed denial-of-service (DDoS) terhadap node-node bersih yang tersisa, memaksa jembatan KelpDAO beralih ke infrastruktur yang telah disusupi. Dengan lapisan verifikasi di bawah kendali mereka, mereka memalsukan pesan lintas rantai yang mengizinkan penarikan sekitar 116.500 rsETH, mewakili sekitar 18% dari total pasokan rsETH KelpDAO.

Pencurian KelpDAO merupakan serangan besar kedua yang dikaitkan dengan Lazarus dalam tiga minggu terakhir. Pada 1 April, sekitar $285 juta dicuri dari Drift Protocol dalam operasi yang juga dikaitkan oleh penyelidik dengan Lazarus Korea Utara. Kedua insiden tersebut secara total mengakibatkan kerugian hampir $600 juta.

Peretas Korea Utara dilaporkan mencuri sekitar $2,02 miliar dalam bentuk kripto sepanjang tahun 2025, peningkatan 51% secara tahunan yang menjadikan tahun tersebut sebagai rekor tertinggi untuk pencurian yang terkait dengan DPRK. Angka tersebut, yang dipublikasikan oleh Chainalysis dan media Korea Selatan, mewakili sekitar 60% hingga 76% dari semua pencurian kripto tingkat layanan global, meskipun kelompok tersebut melakukan 74% lebih sedikit insiden individu dibandingkan tahun-tahun sebelumnya. Perkiraan batas bawah kumulatif hingga akhir tahun 2025 mencapai sekitar $6,75 miliar.

Pencurian tunggal terbesar dalam sejarah kripto juga dilakukan oleh Lazarus. Pada awal 2025, kelompok tersebut mencuri sekitar $1,5 miliar dari Bybit, sebuah bursa berbasis di Dubai, dengan cara membobol penyedia perangkat lunak untuk Safe Wallet dan memanipulasi lingkungan pengembang untuk mengalihkan transfer dari dompet dingin ke dompet panas. FBI secara resmi mengaitkan serangan tersebut dengan aktor-aktor Kelompok Lazarus Korea Utara.

Sebelum Bybit, pencurian besar yang dikaitkan dengan kelompok ini meliputi sekitar $620 juta dari jembatan Ronin Network pada 2022, $308 juta dari DMM Bitcoin pada 2024, dan $234,9 juta dari bursa India WazirX pada 2024. Kelompok yang terkait dengan DPRK ini juga menargetkan platform kecil, dompet individu, dan rantai pasokan perangkat lunak yang terkait dengan kripto.

Lazarus biasanya menghabiskan berbulan-bulan untuk persiapan sebelum melakukan pencurian. Para penyerang menggunakan pendekatan perekrutan palsu, malware yang dihosting di GitHub, dan spear-phishing untuk mendapatkan akses awal. Setelah masuk ke lingkungan pengembang atau validator, mereka mencuri kunci pribadi, mengkompromikan dompet panas, atau memanipulasi infrastruktur jembatan.

Setelah mengekstraksi dana, kelompok ini mencuci aset melalui perpindahan rantai (chain-hopping), pertukaran di bursa terdesentralisasi (DEX), dan penyebaran ke ribuan alamat. Sebagian hasil diduga dialirkan melalui layanan seperti Huione Pay sebelum akhirnya dikonversi menjadi bitcoin atau aset lain yang dapat mendukung rezim DPRK.

Departemen Kehakiman AS telah mendakwa warga negara Korea Utara, Park Jin Hyok, terkait operasi Lazarus sebelumnya. Kantor Pengendalian Aset Asing (OFAC) Departemen Keuangan telah menjatuhkan sanksi terhadap puluhan alamat, dan FBI telah menerbitkan peringatan publik dengan identifikasi on-chain bagi bursa dan validator untuk memblokirnya.

Meskipun langkah-langkah tersebut, Lazarus terus beradaptasi. Teknik peracunan infrastruktur kelompok ini, termasuk kompromi node RPC yang digunakan dalam serangan KelpDAO, mencerminkan pergeseran ke arah menargetkan infrastruktur di balik protokol keuangan terdesentralisasi (DeFi) daripada antarmuka depan atau kredensial pengguna individu.

Keamanan jembatan kripto tetap menjadi kerentanan utama. Pelanggaran Ronin, Harmony Horizon, dan kini KelpDAO semuanya melibatkan manipulasi sistem verifikasi lintas rantai. Peneliti keamanan menyoroti persyaratan tanda tangan ganda, audit independen node RPC, dan pemantauan perilaku real-time sebagai mitigasi paling langsung.

Korea Utara diperkirakan memperoleh porsi mata uang keras yang signifikan dari operasi-operasi ini dalam ekonomi yang dibatasi oleh sanksi internasional, dengan beberapa analisis memperkirakan hasil pencurian kripto mencapai sekitar 13% dari PDB. Dana yang dicuri diyakini mendukung program nuklir dan rudal balistik negara tersebut serta fungsi-fungsi negara lainnya.