Lazarus Group wordt ervan verdacht 175 miljoen dollar aan ETH te hebben verplaatst nadat Arbitrum 71 miljoen dollar had bevroren als gevolg van een kwetsbaarheid bij KelpDAO

Belangrijkste punten:

• De Lazarus Group heeft op 18 april 116.500 rsETH van KelpDAO gestolen.
• De Arbitrum Security Council heeft op 20 april ongeveer 30.766 ETH ter waarde van 71 miljoen dollar bevroren die in verband stond met de KelpDAO-hacker.
• Lazarus heeft na de bevriezing door Arbitrum 175 miljoen dollar overgeheveld naar nieuwe Ethereum-adressen, waarbij Arkham Intelligence de wallets actief volgt.

Het Noord-Koreaanse hackerssyndicaat witwast miljoenen aan gestolen KelpDAO-ETH via Thorchain en Umbra Cash

Hoewel het verhaal kan verschillen afhankelijk van welke protocolontwikkelaar je vraagt, melden rapporten dat de aanvallers twee RPC-knooppunten hebben gecompromitteerd en malware hebben ingezet om uitsluitend valse transactiegegevens naar het Decentralized Verifier Network van Layerzero te sturen, terwijl de feeds voor andere waarnemers eerlijk bleven. Er zijn rapporten uitgebracht door KelpDAO, Layerzero en Llamarisk, samen met Aave-dienstverleners.

De aanval werd gevolgd door een distributed denial-of-service-aanval op de overige, nog niet gecompromitteerde nodes, waardoor de bridge van KelpDAO gedwongen werd over te schakelen naar de gecompromitteerde infrastructuur. Met de verificatielaag onder hun controle vervalsten ze een cross-chain-bericht waarmee de opname van ongeveer 116.500 rsETH werd geautoriseerd, wat neerkomt op ongeveer 18% van de totale rsETH-voorraad van KelpDAO.

De KelpDAO-diefstal is de tweede grote aanval die binnen drie weken aan Lazarus wordt toegeschreven. Op 1 april werd ongeveer 285 miljoen dollar ontvreemd van Drift Protocol in een operatie die onderzoekers eveneens in verband brachten met het Noord-Koreaanse Lazarus. De twee incidenten samen zijn goed voor bijna 600 miljoen dollar aan verliezen.

Noord-Koreaanse hackers zouden in heel 2025 ongeveer 2,02 miljard dollar aan cryptovaluta hebben gestolen, een stijging van 51% ten opzichte van het voorgaande jaar, waardoor het een recordjaar werd voor diefstal in verband met de DVK. Dat cijfer, gepubliceerd door Chainalysis en Zuid-Koreaanse media, vertegenwoordigde ongeveer 60% tot 76% van alle wereldwijde cryptodiefstallen op serviceniveau, ondanks dat de groep 74% minder individuele incidenten uitvoerde dan in voorgaande jaren. De cumulatieve ondergrensraming tot eind 2025 bedroeg ongeveer 6,75 miljard dollar.

De grootste afzonderlijke diefstal in de geschiedenis van crypto is ook voor rekening van Lazarus. Begin 2025 stal de groep ongeveer 1,5 miljard dollar van Bybit, een in Dubai gevestigde beurs, door een softwareleverancier voor Safe Wallet te compromitteren en ontwikkelomgevingen te manipuleren om een overdracht van een cold wallet naar een hot wallet om te leiden. De FBI schreef die aanval formeel toe aan actoren van de Noord-Koreaanse Lazarus Group.

Vóór Bybit waren er nog andere grote toegewezen diefstallen, waaronder ongeveer 620 miljoen dollar van de Ronin Network-bridge in 2022, 308 miljoen dollar van DMM Bitcoin in 2024 en 234,9 miljoen dollar van de Indiase beurs WazirX in 2024. De aan Noord-Korea gelieerde groep heeft zich ook gericht op kleinere platforms, individuele wallets en aan crypto gerelateerde softwaretoeleveringsketens.

Lazarus besteedt doorgaans maanden aan de voorbereiding voordat een diefstal wordt uitgevoerd. Aanvallers gebruiken valse wervingsberichten, door Github gehoste malware en spear-phishing om eerste toegang te verkrijgen. Eenmaal binnen in de omgevingen van ontwikkelaars of validators, verzamelen ze privésleutels, compromitteren ze hot wallets of manipuleren ze de bridge-infrastructuur.

Na het wegsluizen van geld witwast de groep activa via chain-hopping, swaps op gedecentraliseerde beurzen (DEX) en verspreiding over duizenden adressen. Een deel van de opbrengsten wordt naar verluidt via diensten zoals Huione Pay geleid, voordat het uiteindelijk wordt omgezet in bitcoin of andere activa die het Noord-Koreaanse regime kunnen ondersteunen.

Het Amerikaanse ministerie van Justitie heeft de Noord-Koreaanse staatsburger Park Jin Hyok aangeklaagd in verband met eerdere operaties van Lazarus. Het Office of Foreign Assets Control van het ministerie van Financiën heeft sancties opgelegd aan tientallen adressen, en de FBI heeft openbare adviezen uitgegeven met on-chain-identificatiegegevens die exchanges en validators moeten blokkeren.

Ondanks deze maatregelen is Lazarus zich blijven aanpassen. De infrastructuurvergiftigingstechnieken van de groep, waaronder het compromitteren van RPC-knooppunten zoals bij de KelpDAO-aanval, weerspiegelen een verschuiving naar het aanvallen van de onderliggende infrastructuur van gedecentraliseerde financiële (DeFi) protocollen in plaats van front-end-interfaces of individuele gebruikersgegevens.

De beveiliging van crypto-bridges blijft een centrale kwetsbaarheid. Bij de inbreuken op Ronin, Harmony Horizon en nu KelpDAO was in alle gevallen sprake van manipulatie van cross-chain verificatiesystemen. Beveiligingsonderzoekers hebben gewezen op vereisten voor meerdere handtekeningen, onafhankelijke RPC-node-audits en realtime gedragsmonitoring als de meest directe maatregelen.

Naar schatting haalt Noord-Korea een aanzienlijk deel van zijn harde valuta uit deze operaties in een economie die wordt beperkt door internationale sancties, waarbij sommige analyses de opbrengsten van cryptodiefstal op ongeveer 13% van het bbp schatten. Aangenomen wordt dat gestolen fondsen worden gebruikt ter ondersteuning van de nucleaire en ballistische raketprogramma's van het land, naast andere staatsfuncties.