Grupul Lazarus este suspectat că ar fi transferat 175 de milioane de dolari în ETH după ce Arbitrum a blocat 71 de milioane de dolari în urma unei vulnerabilități din KelpDAO

Puncte cheie:

• Grupul Lazarus a sustras 116.500 rsETH de la KelpDAO pe 18 aprilie.
• Consiliul de Securitate Arbitrum a înghețat aproximativ 30.766 ETH în valoare de 71 de milioane de dolari, legați de exploatatorul KelpDAO, pe 20 aprilie.
• Lazarus a transferat 175 de milioane de dolari către noi adrese Ethereum după înghețarea fondurilor de către Arbitrum, Arkham Intelligence urmărind activ portofelele.

Sindicalul de hacking din Coreea de Nord spală milioane de ETH furați de la KelpDAO prin Thorchain și Umbra Cash

Deși povestea poate diferi în funcție de dezvoltatorul de protocol pe care îl întrebi, rapoartele spun că atacatorii au compromis două noduri RPC și au implementat malware pentru a transmite date false despre tranzacții exclusiv către Rețeaua de Verificare Descentralizată a Layerzero, menținând în același timp fluxurile de date corecte pentru alți observatori. Rapoartele au fost publicate de KelpDAO, Layerzero și Llamarisk, alături de furnizorii de servicii Aave.

Atacul a fost urmat de un atac distribuit de tip denial-of-service împotriva nodurilor rămase neafectate, forțând podul KelpDAO să treacă la infrastructura compromisă. Având stratul de verificare sub controlul lor, aceștia au falsificat un mesaj cross-chain care autoriza retragerea a aproximativ 116.500 rsETH, reprezentând aproximativ 18% din oferta totală de rsETH a KelpDAO.

Furtul de la KelpDAO este al doilea atac major atribuit grupului Lazarus în decurs de trei săptămâni. Pe 1 aprilie, aproximativ 285 de milioane de dolari au fost sustrase de la Drift Protocol într-o operațiune pe care anchetatorii au asociat-o, de asemenea, grupului nord-coreean Lazarus. Cele două incidente reprezintă împreună pierderi de aproape 600 de milioane de dolari.

Se pare că hackerii nord-coreeni au furat aproximativ 2,02 miliarde de dolari în criptomonede pe tot parcursul anului 2025, o creștere de 51% față de anul precedent, ceea ce a făcut ca acesta să fie un an record pentru furturile legate de RPDC. Această cifră, publicată de Chainalysis și de mass-media sud-coreeană, a reprezentat aproximativ 60% până la 76% din totalul furturilor de criptomonede la nivel de serviciu la nivel global, în ciuda faptului că grupul a executat cu 74% mai puține incidente individuale decât în anii anteriori. Estimarea cumulativă minimă până la sfârșitul anului 2025 a ajuns la aproximativ 6,75 miliarde de dolari.

Cel mai mare furt singular din istoria criptomonedelor aparține, de asemenea, grupului Lazarus. La începutul anului 2025, grupul a furat aproximativ 1,5 miliarde de dolari de la Bybit, o bursă cu sediul în Dubai, compromițând un furnizor de software pentru Safe Wallet și manipulând mediile de dezvoltare pentru a redirecționa un transfer de la un portofel rece la unul cald. FBI a atribuit oficial acel atac actorilor nord-coreeni din grupul Lazarus.

Înainte de Bybit, printre jafurile semnificative atribuite se numără aproximativ 620 de milioane de dolari de la podul Ronin Network în 2022, 308 milioane de dolari de la DMM Bitcoin în 2024 și 234,9 milioane de dolari de la bursa indiană WazirX în 2024. Grupul legat de RPDC a vizat, de asemenea, platforme mai mici, portofele individuale și lanțuri de aprovizionare cu software legate de criptomonede.

Lazarus petrece de obicei luni întregi în pregătiri înainte de a executa un furt. Atacatorii folosesc contactarea falsă a recrutorilor, malware găzduit pe Github și spear-phishing pentru a obține accesul inițial. Odată ajunși în mediile dezvoltatorilor sau validatorilor, aceștia colectează cheile private, compromit portofelele active sau manipulează infrastructura podurilor.

După sustragerea fondurilor, grupul spală activele prin schimburi între lanțuri, schimburi pe burse descentralizate (DEX) și dispersarea acestora pe mii de adrese. Se presupune că o parte din venituri este direcționată prin servicii precum Huione Pay înainte de a fi convertită în bitcoin sau alte active care pot susține regimul RPDC.

Departamentul de Justiție al SUA l-a pus sub acuzare pe cetățeanul nord-coreean Park Jin Hyok în legătură cu operațiunile anterioare ale grupului Lazarus. Biroul de Control al Activelor Străine al Departamentului Trezoreriei a sancționat zeci de adrese, iar FBI a emis avertismente publice cu identificatori on-chain pe care platformele de schimb și validatorii trebuie să le blocheze.

În ciuda acestor măsuri, Lazarus a continuat să se adapteze. Tehnicile de otrăvire a infrastructurii grupului, inclusiv compromiterea nodului RPC utilizată în atacul KelpDAO, reflectă o schimbare către țintirea infrastructurii din spatele protocoalelor de finanțare descentralizată (DeFi), mai degrabă decât a interfețelor front-end sau a datelor de autentificare ale utilizatorilor individuali.

Securitatea podurilor criptografice rămâne o vulnerabilitate centrală. Breșele de securitate de la Ronin, Harmony Horizon și, acum, KelpDAO au implicat toate manipularea sistemelor de verificare între lanțuri. Cercetătorii în domeniul securității au indicat cerințele de semnături multiple, auditarea independentă a nodurilor RPC și monitorizarea comportamentală în timp real ca fiind cele mai directe măsuri de atenuare.

Se estimează că Coreea de Nord obține o parte semnificativă din valută forte din aceste operațiuni într-o economie constrânsă de sancțiuni internaționale, unele analize estimând veniturile din furtul de criptomonede la aproximativ 13% din PIB. Se crede că fondurile furate susțin programele nucleare și de rachete balistice ale țării, alături de alte funcții ale statului.