Lazarus-gruppen mistenkes for å ha flyttet 175 millioner dollar i ETH etter at Arbitrum frøs 71 millioner dollar fra KelpDAO-utnyttelsen

Viktige punkter:

• Lazarus Group tappet 116 500 rsETH fra KelpDAO 18. april.
• Arbitrum Security Council frøs omtrent 30 766 ETH verdt 71 millioner dollar knyttet til KelpDAO-utnytteren 20. april.
• Lazarus flyttet 175 millioner dollar til nye ethereum-adresser etter Arbitrum-frysingen, mens Arkham Intelligence aktivt sporer lommebøker.

Nord-Koreas hackerkartell hvitvasker millioner i stjålne KelpDAO-ETH gjennom Thorchain og Umbra Cash

Selv om historien kan variere avhengig av hvilken protokollutvikler du spør, sier rapporter at angriperne kompromitterte to RPC-noder og distribuerte skadevare for å mate falske transaksjonsdata utelukkende til Layerzeros Decentralized Verifier Network, samtidig som de holdt datastrømmene korrekte for andre observatører. Rapporter er publisert av KelpDAO, Layerzero og Llamarisk sammen med Aave-tjenesteleverandører.

Angrepet ble fulgt opp med et distribuert tjenestenektangrep mot de gjenværende rene nodene, noe som tvang KelpDAO-broen til å failovere til den kompromitterte infrastrukturen. Med verifikasjonslaget under sin kontroll forfalsket de en cross-chain-melding som autoriserte uttak av omtrent 116 500 rsETH, som representerer cirka 18 % av KelpDAOs totale rsETH-tilførsel.

KelpDAO-tyveriet er det andre store angrepet som tilskrives Lazarus i løpet av tre uker. 1. april ble omtrent 285 millioner dollar tatt fra Drift Protocol i en operasjon etterforskere også knyttet til Nord-Koreas Lazarus. De to hendelsene til sammen utgjør nesten 600 millioner dollar i tap.

Nord-koreanske hackere skal etter rapportene ha stjålet omtrent 2,02 milliarder dollar i kryptovaluta på tvers av hele 2025, en økning på 51 % fra året før som gjorde det til et rekordår for DPRK-knyttet tyveri. Tallet, publisert av Chainalysis og sørkoreanske mediehus, utgjorde omtrent 60 % til 76 % av alle globale kryptotyverier på tjenestenivå, til tross for at gruppen gjennomførte 74 % færre enkeltstående hendelser enn i tidligere år. Den kumulative laveste anslaget gjennom slutten av 2025 nådde omtrent 6,75 milliarder dollar.

Det største enkeltstående tyveriet i kryptohistorien tilhører også Lazarus. Tidlig i 2025 stjal gruppen omtrent 1,5 milliarder dollar fra Bybit, en Dubai-basert børs, ved å kompromittere en programvareleverandør for Safe Wallet og manipulere utviklermiljøer for å omdirigere en overføring fra cold wallet til hot wallet. FBI tilskrev formelt det angrepet til aktører i Nord-Koreas Lazarus Group.

Før Bybit inkluderte betydelige tilskrevne ran omtrent 620 millioner dollar fra Ronin Network-broen i 2022, 308 millioner dollar fra DMM Bitcoin i 2024 og 234,9 millioner dollar fra den indiske børsen WazirX i 2024. Den DPRK-knyttede gruppen har også gått etter mindre plattformer, individuelle lommebøker og forsyningskjeder for krypto-relatert programvare.

Lazarus bruker vanligvis måneder på forberedelser før de gjennomfører et tyveri. Angripere bruker falsk rekruttererkontakt, skadevare hostet på Github og spear-phishing for å oppnå initial tilgang. Når de først er inne i utvikler- eller validatormiljøer, høster de private nøkler, kompromitterer hot wallets eller manipulerer broinfrastruktur.

Etter å ha eksfiltrert midler hvitvasker gruppen eiendeler gjennom chain-hopping, bytter på desentraliserte børser (DEX) og spredning på tvers av tusenvis av adresser. Noe av utbyttet skal angivelig rutes gjennom tjenester som Huione Pay før det til slutt konverteres til bitcoin eller andre eiendeler som kan støtte DPRK-regimet.

Det amerikanske justisdepartementet tiltalte den nord-koreanske statsborgeren Park Jin Hyok i forbindelse med tidligere Lazarus-operasjoner. Finansdepartementets Office of Foreign Assets Control har sanksjonert dusinvis av adresser, og FBI har utstedt offentlige advarsler med onchain-identifikatorer som børser og validatorer kan blokkere.

Til tross for disse tiltakene har Lazarus fortsatt å tilpasse seg. Gruppens teknikker for å forgifte infrastruktur, inkludert kompromitteringen av RPC-noder som ble brukt i KelpDAO-angrepet, gjenspeiler et skifte mot å angripe rørleggerarbeidet under desentralisert finans (DeFi)-protokoller snarere enn front-end-grensesnitt eller individuelle brukerlegitimasjoner.

Sikkerheten i kryptobroer forblir en sentral sårbarhet. Bruddene i Ronin, Harmony Horizon og nå KelpDAO involverte alle manipulering av verifikasjonssystemer på tvers av kjeder. Sikkerhetsforskere har pekt på krav om multisignatur, uavhengig revisjon av RPC-noder og sanntids atferdsovervåking som de mest direkte tiltakene.

Nord-Korea anslås å hente en betydelig andel hard valuta fra disse operasjonene i en økonomi som er begrenset av internasjonale sanksjoner, der noen analyser anslår inntekter fra kryptotyverier til omtrent 13 % av BNP. Stjålne midler antas å støtte landets kjernefysiske og ballistiske missilprogrammer, i tillegg til andre statlige funksjoner.