Kumpulan Lazarus Disyaki Memindahkan ETH Bernilai $175J Selepas Arbitrum Membekukan $71J Daripada Eksploit KelpDAO

Intipati Utama:

• Kumpulan Lazarus mengalirkan keluar 116,500 rsETH daripada KelpDAO pada 18 April.
• Majlis Keselamatan Arbitrum membekukan kira-kira 30,766 ETH bernilai $71 juta yang dikaitkan dengan pengeksploit KelpDAO pada 20 April.
• Lazarus memindahkan $175 juta ke alamat ethereum baharu selepas pembekuan Arbitrum, dengan Arkham Intelligence menjejaki dompet secara aktif.

Sindiket Penggodaman Korea Utara Mencuci Berjuta-juta ETH KelpDAO yang Dicuri Melalui Thorchain dan Umbra Cash

Walaupun ceritanya mungkin berbeza bergantung pada pembangun protokol mana yang anda tanya, laporan mengatakan penyerang mengompromi dua nod RPC dan menyebarkan perisian hasad untuk membekalkan data transaksi palsu secara eksklusif kepada Rangkaian Pengesah Terdesentralisasi Layerzero sambil mengekalkan suapan data yang jujur untuk pemerhati lain. Laporan telah dikeluarkan oleh KelpDAO, Layerzero, dan Llamarisk bersama penyedia perkhidmatan Aave.

Serangan itu disusuli dengan serangan penafian perkhidmatan teragih (DDoS) terhadap nod bersih yang tinggal, memaksa jambatan KelpDAO melakukan failover ke infrastruktur yang telah dikompromi. Dengan lapisan pengesahan di bawah kawalan mereka, mereka memalsukan mesej rentas rantaian yang membenarkan pengeluaran kira-kira 116,500 rsETH, mewakili sekitar 18% daripada jumlah bekalan rsETH KelpDAO.

Kecurian KelpDAO ialah serangan besar kedua yang dikaitkan dengan Lazarus dalam tempoh tiga minggu. Pada 1 April, kira-kira $285 juta diambil daripada Drift Protocol dalam operasi yang turut dikaitkan penyiasat dengan Lazarus Korea Utara. Kedua-dua insiden ini bersama-sama menyumbang kepada hampir $600 juta kerugian.

Penggodam Korea Utara dilaporkan mencuri kira-kira $2.02 bilion dalam mata wang kripto merentasi sepanjang 2025, peningkatan 51% tahun ke tahun yang menjadikannya tahun rekod bagi kecurian yang dikaitkan dengan DPRK. Angka itu, yang diterbitkan oleh Chainalysis dan media Korea Selatan, mewakili kira-kira 60% hingga 76% daripada semua kecurian kripto global pada peringkat perkhidmatan, walaupun kumpulan itu melaksanakan 74% lebih sedikit insiden individu berbanding tahun-tahun sebelumnya. Anggaran kumulatif had bawah hingga akhir 2025 mencecah kira-kira $6.75 bilion.

Kecurian tunggal terbesar dalam sejarah kripto juga milik Lazarus. Pada awal 2025, kumpulan itu mencuri kira-kira $1.5 bilion daripada Bybit, sebuah bursa berasaskan Dubai, dengan mengompromi penyedia perisian untuk Safe Wallet dan memanipulasi persekitaran pembangun untuk mengalihkan pemindahan dompet sejuk-ke-panas. FBI secara rasmi mengaitkan serangan itu kepada pelaku Kumpulan Lazarus Korea Utara.

Sebelum Bybit, rompakan besar yang dikaitkan termasuk kira-kira $620 juta daripada jambatan Ronin Network pada 2022, $308 juta daripada DMM Bitcoin pada 2024, dan $234.9 juta daripada bursa India WazirX pada 2024. Kumpulan yang dikaitkan dengan DPRK itu juga menyasarkan platform yang lebih kecil, dompet individu, dan rantaian bekalan perisian yang berkaitan kripto.

Lazarus biasanya mengambil masa berbulan-bulan untuk membuat persediaan sebelum melaksanakan kecurian. Penyerang menggunakan pendekatan perekrut palsu, perisian hasad yang dihoskan di Github, dan spear-phishing untuk mendapatkan akses awal. Setelah berada dalam persekitaran pembangun atau pengesah, mereka menuai kunci peribadi, mengompromi dompet panas, atau memanipulasi infrastruktur jambatan.

Selepas mengeluarkan dana, kumpulan itu mencuci aset melalui lompat-rantaian, pertukaran bursa terdesentralisasi (DEX), dan penyebaran merentasi ribuan alamat. Sebahagian hasil didakwa dialirkan melalui perkhidmatan seperti Huione Pay sebelum akhirnya ditukar kepada bitcoin atau aset lain yang boleh menyokong rejim DPRK.

Jabatan Kehakiman A.S. mendakwa warga Korea Utara Park Jin Hyok berkaitan operasi Lazarus terdahulu. Pejabat Kawalan Aset Asing Jabatan Perbendaharaan telah mengenakan sekatan ke atas berpuluh-puluh alamat, dan FBI telah mengeluarkan amaran awam dengan pengecam onchain untuk bursa dan pengesah menyekatnya.

Walaupun langkah-langkah tersebut, Lazarus terus menyesuaikan diri. Teknik meracuni infrastruktur kumpulan itu, termasuk kompromi nod RPC yang digunakan dalam serangan KelpDAO, mencerminkan peralihan ke arah menyasarkan ‘paip’ di bawah protokol kewangan terdesentralisasi (DeFi) dan bukannya antara muka bahagian hadapan atau kelayakan pengguna individu.

Keselamatan jambatan kripto kekal sebagai kelemahan utama. Pencerobohan Ronin, Harmony Horizon, dan kini KelpDAO semuanya melibatkan manipulasi sistem pengesahan rentas rantaian. Penyelidik keselamatan telah menunjuk kepada keperluan multi-tandatangan, audit nod RPC bebas, dan pemantauan tingkah laku masa nyata sebagai mitigasi yang paling langsung.

Korea Utara dianggarkan memperoleh bahagian besar mata wang keras daripada operasi ini dalam ekonomi yang dibatasi oleh sekatan antarabangsa, dengan beberapa analisis meletakkan hasil kecurian kripto pada kira-kira 13% daripada KDNK. Dana yang dicuri dipercayai menyokong program nuklear dan peluru berpandu balistik negara itu di samping fungsi negara yang lain.