北朝鮮の「ラザルス・グループ」は、2026年4月18日にKelpDAOから約2億9200万ドル相当のrsETHを流出させたとして、現時点で関与が疑われています。この国家支援を受けたハッカー集団は、ここ数年で暗号資産業界から数十億ドルを盗み出した犯行に関与していると言われています。 主なポイント:
ArbitrumがKelpDAOの脆弱性を突いた攻撃で7,100万ドルを凍結した後、Lazarus Groupが1億7,500万ドル相当のETHを移動させた疑い
共有
- ラザルス・グループは4月18日、KelpDAOから116,500 rsETHを流出させました。
- 4月20日、Arbitrumセキュリティ評議会は、KelpDAO攻撃者と関連する約30,766ETH(7,100万ドル相当)を凍結しました。
- ラザラスはArbitrumによる凍結後、1億7500万ドル相当を新しいイーサリアムアドレスに移し、Arkham Intelligenceがウォレットを積極的に追跡しています。
北朝鮮のハッカー集団は、ThorchainとUmbra Cashを通じてKelpDAOから盗んだ数百万ドル相当のETHを資金洗浄しました。
どのプロトコル開発者に確認するかによって状況は異なるかもしれないが、報告によると、攻撃者は2つのRPCノードを侵害し、マルウェアを展開して、他のオブザーバーへのフィードは正常に保ちつつ、Layerzeroの分散型検証者ネットワーク(Decentralized Verifier Network)にのみ偽のトランザクションデータを送信した。KelpDAO、Layerzero、Llamarisk、およびAaveのサービスプロバイダーから報告が発表されている。
その後、残りの正常ノードに対し分散型サービス拒否(DDoS)攻撃が実行され、KelpDAOのブリッジは侵害されたインフラへフェイルオーバーする事態に追い込まれました。検証レイヤーを掌握した攻撃者は、KelpDAOのrsETH総供給量の約18%に相当する約116,500 rsETHを引き出すクロスチェーンメッセージを偽造しました。
KelpDAOへの盗難事件は、3週間以内にLazarusによるものとされる2件目の大規模な攻撃である。4月1日にはDrift Protocolから約2億8500万ドルが盗まれたが、この事件についても捜査当局は北朝鮮のLazarusとの関連性を指摘している。これら2件の事件による被害総額は合わせて6億ドル近くに上る。
報道によると、北朝鮮のハッカーは2025年通年で約20億2,000万ドル相当の暗号資産を盗み出した。これは前年比51%増となり、北朝鮮関連の窃盗事件としては過去最大の被害額となった。Chainalysisおよび韓国のメディアが発表したこの数字は、同グループによる個別の事件件数が前年比74%減少したにもかかわらず、全世界のサービスレベルでの暗号資産窃盗被害総額の約60%から76%を占めた。 2025年末までの累積被害額の最低推計値は約67億5,000万ドルに達しました。
暗号資産史上最大の単一盗難事件もラザルスによるものです。2025年初頭、同グループはドバイに拠点を置く取引所Bybitから約15億ドルを盗み出しました。これは、Safe Walletのソフトウェアプロバイダーを侵害し、開発環境を操作してコールドウォレットからホットウォレットへの送金をリダイレクトさせた手口によるものです。FBIは、この攻撃を北朝鮮のラザルス・グループの犯行であると正式に断定しました。
Bybit以前の主な被害としては、2022年のRonin Networkブリッジからの約6億2000万ドル、2024年のDMM Bitcoinからの3億800万ドル、同年のインドの取引所WazirXからの2億3490万ドルが挙げられます。北朝鮮と関連するこのグループは、小規模なプラットフォーム、個人のウォレット、暗号資産関連のソフトウェアサプライチェーンも標的にしています。
ラザロは通常、窃盗を実行する前に数か月かけて準備を行います。攻撃者は偽の採用担当者を装って接触し、GitHubにホストされたマルウェアやスピアフィッシングによって初期アクセス権を獲得します。開発者やバリデーターの環境に侵入すると、秘密鍵を盗み出し、ホットウォレットを侵害し、ブリッジのインフラを操作します。
資金を流出させた後、同グループはチェーンホッピングや分散型取引所(DEX)でのスワップ、数千のアドレスへの分散を通じて資産を洗浄します。収益の一部は最終的にビットコインや北朝鮮政権を支えることができるその他の資産に変換される前に、Huione Payなどのサービスを経由しているとされています。
米国司法省は、過去のラザロ(Lazarus)の活動に関連して、北朝鮮国籍のパク・ジンヒョクを起訴しました。財務省外国資産管理局(OFAC)は数十のアドレスを制裁対象に指定しており、FBIは取引所やバリデーターがブロックすべきオンチェーン識別子を含む公開勧告を発表しています。
こうした措置にもかかわらず、ラザロは適応し続けています。KelpDAO攻撃で利用されたRPCノードの侵害など、同グループのインフラストラクチャ汚染手法は、フロントエンドのインターフェースや個々のユーザーの認証情報ではなく、分散型金融(DeFi)プロトコルの基盤となる部分を狙う方向へシフトしています。
暗号資産ブリッジのセキュリティは依然として主要な脆弱性です。Ronin、Harmony Horizon、そして今回のKelpDAOへの侵害はいずれも、クロスチェーン検証システムの操作を伴っていました。セキュリティ研究者は、マルチシグ要件、独立したRPCノードの監査、およびリアルタイムの行動監視を、最も直接的な対策として指摘しています。
Arbitrumセキュリティ評議会は、緊急のオンチェーン措置によりKelpDAOの攻撃者から30,766 ETHを凍結しました。
Arbitrumは、Ethereumへのブリッジ送金が完了する前に、Arbitrum One上でKelpDAOを攻撃したアドレスから30,766 ETHを凍結しました。 read more.
今すぐ読む
Arbitrumセキュリティ評議会は、緊急のオンチェーン措置によりKelpDAOの攻撃者から30,766 ETHを凍結しました。
Arbitrumは、Ethereumへのブリッジ送金が完了する前に、Arbitrum One上でKelpDAOを攻撃したアドレスから30,766 ETHを凍結しました。 read more.
今すぐ読むArbitrumセキュリティ評議会は、緊急のオンチェーン措置によりKelpDAOの攻撃者から30,766 ETHを凍結しました。
今すぐ読むArbitrumは、Ethereumへのブリッジ送金が完了する前に、Arbitrum One上でKelpDAOを攻撃したアドレスから30,766 ETHを凍結しました。 read more.
国際的な制裁によって経済が制約されている北朝鮮は、こうした活動から外貨の相当な割合を得ていると推定されており、一部の分析では、暗号資産窃取による収益がGDPの約13%に達するとされています。盗まれた資金は、他の国家機能とともに、同国の核および弾道ミサイル開発プログラムを支えていると考えられています。
