Il gruppo Lazarus è sospettato di aver trasferito 175 milioni di dollari in ETH dopo che Arbitrum ha congelato 71 milioni di dollari provenienti dall'exploit di KelpDAO

• Il 18 aprile il Gruppo Lazarus ha sottratto 116.500 rsETH da KelpDAO.
• Il 20 aprile, l'Arbitrum Security Council ha congelato circa 30.766 ETH per un valore di 71 milioni di dollari collegati all'autore dell'attacco a KelpDAO.
• Dopo il congelamento da parte di Arbitrum, Lazarus ha trasferito 175 milioni di dollari verso nuovi indirizzi Ethereum, mentre Arkham Intelligence sta monitorando attivamente i portafogli.

Il gruppo di hacker nordcoreano ricicla milioni di ETH rubati a KelpDAO tramite Thorchain e Umbra Cash

Sebbene la versione dei fatti possa variare a seconda dello sviluppatore del protocollo a cui ci si rivolge, i rapporti indicano che gli aggressori hanno compromesso due nodi RPC e distribuito malware per inviare dati di transazione falsi esclusivamente alla rete di verifica decentralizzata di Layerzero, mantenendo i feed veritieri per gli altri osservatori. I rapporti sono stati pubblicati da KelpDAO, Layerzero e Llamarisk insieme ai fornitori di servizi Aave.

L'attacco è stato seguito da un attacco DDoS (Distributed Denial-of-Service) contro i restanti nodi non compromessi, costringendo il bridge di KelpDAO a passare all'infrastruttura compromessa. Con il livello di verifica sotto il loro controllo, hanno falsificato un messaggio cross-chain che autorizzava il prelievo di circa 116.500 rsETH, pari a circa il 18% dell'offerta totale di rsETH di KelpDAO.

Il furto ai danni di KelpDAO è il secondo attacco di rilievo attribuito a Lazarus nel giro di tre settimane. Il 1° aprile, circa 285 milioni di dollari sono stati sottratti a Drift Protocol in un'operazione che gli investigatori hanno collegato anch'essa al gruppo nordcoreano Lazarus. I due incidenti insieme ammontano a quasi 600 milioni di dollari di perdite.

Secondo quanto riferito, gli hacker nordcoreani hanno rubato circa 2,02 miliardi di dollari in criptovaluta nel corso del 2025, un aumento del 51% su base annua che ha reso questo anno un anno record per i furti legati alla Corea del Nord. Tale cifra, pubblicata da Chainalysis e dai media sudcoreani, rappresentava circa il 60-76% di tutti i furti di criptovalute a livello di servizio a livello globale, nonostante il gruppo abbia eseguito il 74% in meno di incidenti individuali rispetto agli anni precedenti. La stima cumulativa minima fino alla fine del 2025 ha raggiunto circa 6,75 miliardi di dollari.

Anche il più grande furto singolo nella storia delle criptovalute appartiene a Lazarus. All'inizio del 2025, il gruppo ha rubato circa 1,5 miliardi di dollari da Bybit, un exchange con sede a Dubai, compromettendo un fornitore di software per Safe Wallet e manipolando gli ambienti di sviluppo per reindirizzare un trasferimento da un cold wallet a un hot wallet. L'FBI ha formalmente attribuito quell'attacco agli attori del gruppo nordcoreano Lazarus.

Prima di Bybit, tra i furti significativi attribuiti figurano circa 620 milioni di dollari dal bridge Ronin Network nel 2022, 308 milioni di dollari da DMM Bitcoin nel 2024 e 234,9 milioni di dollari dall'exchange indiano WazirX nel 2024. Il gruppo legato alla Corea del Nord ha preso di mira anche piattaforme più piccole, portafogli individuali e catene di fornitura di software legate alle criptovalute.

Lazarus impiega in genere mesi di preparazione prima di eseguire un furto. Gli aggressori utilizzano false offerte di lavoro, malware ospitato su Github e spear-phishing per ottenere l'accesso iniziale. Una volta all'interno degli ambienti degli sviluppatori o dei validatori, raccolgono le chiavi private, compromettono gli hot wallet o manipolano l'infrastruttura del bridge.

Dopo aver sottratto i fondi, il gruppo ricicla le risorse attraverso il chain-hopping, gli scambi su exchange decentralizzati (DEX) e la dispersione su migliaia di indirizzi. Alcuni proventi sarebbero convogliati attraverso servizi come Huione Pay prima di essere infine convertiti in bitcoin o altre risorse in grado di sostenere il regime della Corea del Nord.

Il Dipartimento di Giustizia degli Stati Uniti ha incriminato il cittadino nordcoreano Park Jin Hyok in relazione a precedenti operazioni di Lazarus. L'Ufficio del Controllo dei Beni Stranieri del Dipartimento del Tesoro ha sanzionato decine di indirizzi e l'FBI ha emesso avvisi pubblici con identificatori on-chain che gli exchange e i validatori devono bloccare.

Nonostante queste misure, Lazarus ha continuato ad adattarsi. Le tecniche di avvelenamento dell'infrastruttura del gruppo, compresa la compromissione del nodo RPC utilizzata nell'attacco a KelpDAO, riflettono un cambiamento verso il prendere di mira le infrastrutture sottostanti ai protocolli della finanza decentralizzata (DeFi) piuttosto che le interfacce front-end o le credenziali dei singoli utenti.

La sicurezza dei bridge crypto rimane una vulnerabilità centrale. Le violazioni di Ronin, Harmony Horizon e ora KelpDAO hanno tutte comportato la manipolazione dei sistemi di verifica cross-chain. I ricercatori di sicurezza hanno indicato i requisiti di firma multipla, l'auditing indipendente dei nodi RPC e il monitoraggio comportamentale in tempo reale come le misure di mitigazione più dirette.

Si stima che la Corea del Nord ricavi una quota significativa di valuta forte da queste operazioni in un'economia vincolata dalle sanzioni internazionali, con alcune analisi che collocano i proventi dei furti di criptovalute a circa il 13% del PIL. Si ritiene che i fondi rubati sostengano i programmi nucleari e missilistici balistici del Paese, oltre ad altre funzioni statali.