Группа Lazarus подозревается в перемещении 175 млн долларов в ETH после того, как Arbitrum заморозил 71 млн долларов, полученных в результате взлома KelpDAO

Основные выводы:

• 18 апреля группа Lazarus похитила 116 500 rsETH из KelpDAO.
• 20 апреля Совет безопасности Arbitrum заморозил примерно 30 766 ETH на сумму 71 млн долларов, связанных с злоумышленником KelpDAO.
• После заморозки средств Arbitrum Lazarus перевел 175 млн долларов на новые адреса Ethereum, при этом Arkham Intelligence активно отслеживает кошельки.

Северокорейский хакерский синдикат отмывает миллионы украденных ETH из KelpDAO через Thorchain и Umbra Cash

Хотя версии событий могут различаться в зависимости от того, к какому разработчику протокола вы обратитесь, согласно отчетам, злоумышленники взломали два RPC-узла и развернули вредоносное ПО, чтобы передавать ложные данные о транзакциях исключительно в децентрализованную сеть верификаторов Layerzero, сохраняя при этом достоверность данных для других наблюдателей. Отчеты были опубликованы KelpDAO, Layerzero и Llamarisk совместно с поставщиками услуг Aave.

Затем последовала распределенная атака типа «отказ в обслуживании» (DDoS) на оставшиеся «чистые» узлы, что вынудило мост KelpDAO переключиться на взломанную инфраструктуру. Получив контроль над верификационным уровнем, злоумышленники подделали межсетевое сообщение, разрешающее вывод примерно 116 500 rsETH, что составляет около 18% от общего запаса rsETH KelpDAO.

Кража из KelpDAO — вторая крупная атака, приписываемая Lazarus за три недели. 1 апреля из Drift Protocol было похищено примерно 285 млн долларов в ходе операции, которую следователи также связали с северокорейской группой Lazarus. На долю этих двух инцидентов приходится почти 600 млн долларов убытков.

Сообщается, что северокорейские хакеры похитили около 2,02 млрд долларов в криптовалюте за весь 2025 год, что на 51% больше, чем в предыдущем году, и сделало его рекордным годом для краж, связанных с КНДР. Эта цифра, опубликованная Chainalysis и южнокорейскими СМИ, составила примерно от 60% до 76% всех глобальных краж криптовалюты на уровне сервисов, несмотря на то, что группа совершила на 74% меньше отдельных инцидентов, чем в предыдущие годы. Совокупная минимальная оценка по итогам 2025 года достигла примерно 6,75 млрд долларов.

Самая крупная единичная кража в истории криптовалют также принадлежит Lazarus. В начале 2025 года группа похитила примерно 1,5 млрд долларов у Bybit, биржи из Дубая, взломав поставщика программного обеспечения для Safe Wallet и манипулируя средами разработчиков, чтобы перенаправить перевод из холодного кошелька в горячий. ФБР официально приписало эту атаку участникам северокорейской группы Lazarus.

До Bybit к числу значительных краж, приписываемых этой группе, относились кража примерно 620 млн долларов с моста Ronin Network в 2022 году, 308 млн долларов с DMM Bitcoin в 2024 году и 234,9 млн долларов с индийской биржи WazirX в 2024 году. Группа, связанная с КНДР, также нацеливалась на более мелкие платформы, индивидуальные кошельки и цепочки поставок программного обеспечения, связанного с криптовалютами.

Lazarus обычно тратит месяцы на подготовку перед осуществлением кражи. Злоумышленники используют поддельные объявления о найме, вредоносное ПО, размещенное на Github, и целевой фишинг для получения первоначального доступа. Попав в среду разработчиков или валидаторов, они собирают приватные ключи, взламывают горячие кошельки или манипулируют инфраструктурой мостов.

После вывода средств группа отмывает активы с помощью перехода по цепочке, обмена на децентрализованных биржах (DEX) и распределения по тысячам адресов. Часть доходов, как утверждается, проходит через такие сервисы, как Huione Pay, прежде чем в конечном итоге быть конвертированной в биткоины или другие активы, которые могут поддержать режим КНДР.

Министерство юстиции США предъявило обвинение гражданину Северной Кореи Пак Чжин Хёку в связи с более ранними операциями Lazarus. Управление по контролю за иностранными активами Министерства финансов ввело санкции в отношении десятков адресов, а ФБР опубликовало открытые предупреждения с идентификаторами в цепочке, которые биржи и валидаторы должны блокировать.

Несмотря на эти меры, Lazarus продолжает адаптироваться. Техники «отравления» инфраструктуры, используемые группой, включая взлом RPC-узла, примененный в атаке на KelpDAO, отражают сдвиг в сторону атак на «трубопровод» под протоколами децентрализованных финансов (DeFi), а не на интерфейсы или учетные данные отдельных пользователей.

Безопасность криптомостов остается основной уязвимостью. Взломы Ronin, Harmony Horizon и теперь KelpDAO были связаны с манипуляциями системами межсетевой верификации. Исследователи в области безопасности указывают на требования многократной подписи, независимый аудит RPC-узлов и мониторинг поведения в реальном времени как на наиболее прямые меры по снижению рисков.

По оценкам, Северная Корея получает значительную долю твердой валюты от этих операций в экономике, ограниченной международными санкциями, причем некоторые анализы оценивают доходы от краж криптовалюты примерно в 13% ВВП. Считается, что похищенные средства идут на поддержку ядерной программы и программы по созданию баллистических ракет страны, а также на другие государственные нужды.