Grupo Lazarus é suspeito de movimentar US$ 175 milhões em ETH após a Arbitrum congelar US$ 71 milhões provenientes de uma falha de segurança no KelpDAO

Pontos principais:

• O Grupo Lazarus desviou 116.500 rsETH da KelpDAO em 18 de abril.
• O Conselho de Segurança da Arbitrum congelou cerca de 30.766 ETH, no valor de US$ 71 milhões, vinculados ao explorador da KelpDAO em 20 de abril.
• O Lazarus transferiu US$ 175 milhões para novos endereços de Ethereum após o congelamento da Arbitrum, com a Arkham Intelligence rastreando ativamente as carteiras.

Sindicato de hackers da Coreia do Norte lava milhões em ETH roubados da KelpDAO por meio da Thorchain e da Umbra Cash

Embora a história possa variar dependendo de qual desenvolvedor de protocolo você perguntar, relatórios indicam que os invasores comprometeram dois nós RPC e implantaram malware para enviar dados de transações falsos exclusivamente para a Rede de Verificadores Descentralizados da Layerzero, mantendo os feeds honestos para outros observadores. Relatórios foram divulgados pela KelpDAO, Layerzero e Llamarisk, juntamente com provedores de serviços da Aave.

O ataque foi seguido por um ataque distribuído de negação de serviço contra os nós limpos restantes, forçando a ponte da KelpDAO a fazer failover para a infraestrutura comprometida. Com a camada de verificação sob seu controle, eles falsificaram uma mensagem entre cadeias autorizando a retirada de aproximadamente 116.500 rsETH, representando cerca de 18% do fornecimento total de rsETH da KelpDAO.

O roubo à KelpDAO é o segundo grande ataque atribuído ao Lazarus em três semanas. Em 1º de abril, aproximadamente US$ 285 milhões foram roubados do Drift Protocol em uma operação que os investigadores também associaram ao Lazarus da Coreia do Norte. Os dois incidentes juntos somam quase US$ 600 milhões em perdas.

Hackers norte-coreanos teriam roubado aproximadamente US$ 2,02 bilhões em criptomoedas ao longo de todo o ano de 2025, um aumento de 51% em relação ao ano anterior, o que tornou esse ano um recorde para roubos ligados à RPDC. Esse valor, publicado pela Chainalysis e pela mídia sul-coreana, representou cerca de 60% a 76% de todos os roubos globais de criptomoedas em nível de serviço, apesar de o grupo ter executado 74% menos incidentes individuais do que nos anos anteriores. A estimativa acumulada mínima até o final de 2025 atingiu aproximadamente US$ 6,75 bilhões.

O maior roubo isolado da história das criptomoedas também pertence ao Lazarus. No início de 2025, o grupo roubou aproximadamente US$ 1,5 bilhão da Bybit, uma corretora sediada em Dubai, ao comprometer um provedor de software da Safe Wallet e manipular ambientes de desenvolvimento para redirecionar uma transferência de carteira fria para quente. O FBI atribuiu formalmente esse ataque a membros do Grupo Lazarus da Coreia do Norte.

Antes da Bybit, roubos significativos atribuídos incluíram cerca de US$ 620 milhões da ponte da Ronin Network em 2022, US$ 308 milhões da DMM Bitcoin em 2024 e US$ 234,9 milhões da bolsa indiana WazirX em 2024. O grupo ligado à Coreia do Norte também tem como alvo plataformas menores, carteiras individuais e cadeias de suprimentos de software relacionadas a criptomoedas.

O Lazarus normalmente passa meses se preparando antes de executar um roubo. Os invasores usam contatos falsos de recrutadores, malware hospedado no Github e spear-phishing para obter acesso inicial. Uma vez dentro dos ambientes de desenvolvedores ou validadores, eles coletam chaves privadas, comprometem carteiras quentes ou manipulam a infraestrutura da ponte.

Após extrair os fundos, o grupo lava os ativos por meio de saltos de cadeia, trocas em exchanges descentralizadas (DEX) e dispersão por milhares de endereços. Parte dos lucros seria encaminhada por serviços como o Huione Pay antes de ser convertida em bitcoin ou outros ativos que possam sustentar o regime da Coreia do Norte.

O Departamento de Justiça dos EUA indiciou o cidadão norte-coreano Park Jin Hyok em conexão com operações anteriores do Lazarus. O Escritório de Controle de Ativos Estrangeiros do Departamento do Tesouro sancionou dezenas de endereços, e o FBI emitiu alertas públicos com identificadores na cadeia de blocos para que exchanges e validadores os bloqueiem.

Apesar dessas medidas, o Lazarus continuou a se adaptar. As técnicas de contaminação de infraestrutura do grupo, incluindo o comprometimento do nó RPC usado no ataque ao KelpDAO, refletem uma mudança no foco para a estrutura subjacente aos protocolos de finanças descentralizadas (DeFi), em vez de interfaces front-end ou credenciais de usuários individuais.

A segurança das pontes de criptomoedas continua sendo uma vulnerabilidade central. As violações do Ronin, Harmony Horizon e agora do KelpDAO envolveram, em todos os casos, a manipulação de sistemas de verificação entre cadeias. Pesquisadores de segurança apontaram requisitos de assinaturas múltiplas, auditoria independente de nós RPC e monitoramento comportamental em tempo real como as medidas de mitigação mais diretas.

Estima-se que a Coreia do Norte obtenha uma parcela significativa de moeda forte dessas operações em uma economia restringida por sanções internacionais, com algumas análises estimando que os rendimentos do roubo de criptomoedas representem cerca de 13% do PIB. Acredita-se que os fundos roubados financiem os programas nucleares e de mísseis balísticos do país, além de outras funções do Estado.