Grupa Lazarus podejrzana o przeniesienie 175 mln dolarów w ETH po tym, jak platforma Arbitrum zablokowała 71 mln dolarów w wyniku ataku na KelpDAO

Najważniejsze informacje:

• 18 kwietnia grupa Lazarus wykradła 116 500 rsETH z KelpDAO.
• 20 kwietnia Rada Bezpieczeństwa Arbitrum zamroziła około 30 766 ETH o wartości 71 mln dolarów powiązanych z osobą odpowiedzialną za atak na KelpDAO.
• Po zamrożeniu środków przez Arbitrum grupa Lazarus przeniosła 175 mln dolarów na nowe adresy Ethereum, a firma Arkham Intelligence aktywnie śledzi portfele.

Północnokoreańska grupa hakerska prała miliony skradzionych ETH z KelpDAO za pośrednictwem Thorchain i Umbra Cash

Chociaż historia może się różnić w zależności od tego, którego programisty protokołu zapytasz, raporty mówią, że atakujący przejęli dwa węzły RPC i wdrożyli złośliwe oprogramowanie, aby przekazywać fałszywe dane transakcyjne wyłącznie do zdecentralizowanej sieci weryfikacyjnej Layerzero, jednocześnie utrzymując rzetelność danych dla innych obserwatorów. Raporty zostały opublikowane przez KelpDAO, Layerzero i Llamarisk wraz z dostawcami usług Aave.

Atakowi towarzyszyła rozproszona atak typu denial-of-service (DDoS) na pozostałe, niezaatakowane węzły, co zmusiło most KelpDAO do przełączenia się na zainfekowaną infrastrukturę. Mając warstwę weryfikacyjną pod swoją kontrolą, hakerzy sfałszowali komunikat międzyłańcuchowy, autoryzujący wypłatę około 116 500 rsETH, co stanowi około 18% całkowitej podaży rsETH w KelpDAO.

Kradzież w KelpDAO to drugi poważny atak przypisywany Lazarusowi w ciągu trzech tygodni. 1 kwietnia z protokołu Drift Protocol skradziono około 285 mln dolarów w ramach operacji, którą śledczy również powiązali z północnokoreańską grupą Lazarus. Te dwa incydenty łącznie spowodowały straty w wysokości prawie 600 mln dolarów.

Według doniesień północnokoreańscy hakerzy ukradli w całym 2025 r. około 2,02 mld dolarów w kryptowalutach, co stanowi wzrost o 51% w ujęciu rok do roku i sprawia, że był to rekordowy rok pod względem kradzieży powiązanych z KRLD. Liczba ta, opublikowana przez Chainalysis i południowokoreańskie media, stanowiła około 60% do 76% wszystkich globalnych kradzieży kryptowalut na poziomie usług, mimo że grupa ta przeprowadziła o 74% mniej pojedynczych incydentów niż w poprzednich latach. Łączna dolna granica szacunków do końca 2025 r. wyniosła około 6,75 mld dolarów.

Największa pojedyncza kradzież w historii kryptowalut również należy do Lazarus. Na początku 2025 r. grupa ukradła około 1,5 mld dolarów z Bybit, giełdy z siedzibą w Dubaju, poprzez przejęcie kontroli nad dostawcą oprogramowania dla Safe Wallet i manipulowanie środowiskami programistycznymi w celu przekierowania transferu z portfela zimnego do gorącego. FBI oficjalnie przypisało ten atak członkom północnokoreańskiej grupy Lazarus.

Przed Bybitem do znaczących kradzieży zaliczano około 620 mln dolarów z mostu Ronin Network w 2022 r., 308 mln dolarów z DMM Bitcoin w 2024 r. oraz 234,9 mln dolarów z indyjskiej giełdy WazirX w 2024 r. Grupa powiązana z KRLD atakowała również mniejsze platformy, indywidualne portfele oraz łańcuchy dostaw oprogramowania powiązanego z kryptowalutami.

Lazarus zazwyczaj poświęca miesiące na przygotowania przed przeprowadzeniem kradzieży. Atakujący wykorzystują fałszywe oferty pracy, złośliwe oprogramowanie hostowane na Githubie oraz spear-phishing, aby uzyskać wstępny dostęp. Po wejściu do środowisk programistów lub walidatorów zbierają klucze prywatne, przejmują kontrolę nad portfelami gorącymi lub manipulują infrastrukturą mostów.

Po wykradzeniu środków grupa prała aktywa poprzez przeskakiwanie między łańcuchami, wymiany na zdecentralizowanych giełdach (DEX) oraz rozpraszanie środków na tysiące adresów. Część zysków jest rzekomo kierowana przez usługi takie jak Huione Pay, zanim ostatecznie zostanie zamieniona na bitcoiny lub inne aktywa, które mogą wspierać reżim KRLD.

Departament Sprawiedliwości Stanów Zjednoczonych postawił w stan oskarżenia obywatela Korei Północnej, Park Jin Hyoka, w związku z wcześniejszymi operacjami Lazarus. Biuro Kontroli Aktywów Zagranicznych Departamentu Skarbu nałożyło sankcje na dziesiątki adresów, a FBI wydało publiczne ostrzeżenia zawierające identyfikatory łańcucha bloków, które giełdy i walidatorzy powinni blokować.

Pomimo tych środków Lazarus nadal się dostosowuje. Techniki zatruwania infrastruktury stosowane przez grupę, w tym przejęcie węzła RPC wykorzystane w ataku na KelpDAO, odzwierciedlają przejście w kierunku ataków na infrastrukturę protokołów zdecentralizowanych finansów (DeFi), a nie na interfejsy użytkownika czy dane logowania poszczególnych użytkowników.

Bezpieczeństwo mostów kryptowalutowych pozostaje głównym słabym punktem. Naruszenia w Ronin, Harmony Horizon, a teraz KelpDAO wiązały się z manipulacją systemami weryfikacji międzyłańcuchowej. Badacze bezpieczeństwa wskazali na wymogi wielopodpisowe, niezależny audyt węzłów RPC oraz monitorowanie zachowań w czasie rzeczywistym jako najbardziej bezpośrednie środki zaradcze.

Szacuje się, że Korea Północna czerpie znaczną część twardej waluty z tych operacji w gospodarce ograniczonej sankcjami międzynarodowymi, a niektóre analizy szacują, że dochody z kradzieży kryptowalut wynoszą około 13% PKB. Uważa się, że skradzione środki finansowe wspierają krajowe programy jądrowe i balistyczne, a także inne funkcje państwowe.