Skupina Lazarus je podozrivá z presunu 175 miliónov dolárov v ETH po tom, čo Arbitrum zmrazilo 71 miliónov dolárov z exploitu KelpDAO

Kľúčové body:

• Skupina Lazarus 18. apríla odcudzila z KelpDAO 116 500 rsETH.
• Bezpečnostná rada Arbitrum 20. apríla zmrazila približne 30 766 ETH v hodnote 71 miliónov dolárov spojených s útočníkom na KelpDAO.
• Lazarus presunul 175 miliónov dolárov na nové adresy ethereum po zmrazení Arbitrum, pričom Arkham Intelligence aktívne sleduje peňaženky.

Severokórejský hackerský syndikát perie milióny ukradnutých ETH z KelpDAO prostredníctvom Thorchain a Umbra Cash

Hoci sa príbeh môže líšiť v závislosti od toho, ktorého vývojára protokolu sa opýtate, správy hovoria, že útočníci kompromitovali dva uzly RPC a nasadili malvér, aby posielali falošné transakčné údaje výlučne do decentralizovanej overovacej siete Layerzero, pričom pre ostatných pozorovateľov zachovali čestnosť údajov. Správy zverejnili KelpDAO, Layerzero a Llamarisk spolu s poskytovateľmi služieb Aave.

Útok pokračoval distribuovaným útokom typu denial-of-service proti zostávajúcim čistým uzlom, čím donútili most KelpDAO prejsť na kompromitovanú infraštruktúru. Keď mali overovaciu vrstvu pod kontrolou, sfalšovali medzi-reťazcovú správu, ktorou povolili výber približne 116 500 rsETH, čo predstavuje približne 18 % celkovej ponuky rsETH KelpDAO.

Krádež v KelpDAO je druhým veľkým útokom pripisovaným skupine Lazarus za tri týždne. 1. apríla bolo z protokolu Drift Protocol odcudzených približne 285 miliónov dolárov v rámci operácie, ktorú vyšetrovatelia takisto spojili so severokórejskou skupinou Lazarus. Tieto dva incidenty spolu predstavujú straty vo výške takmer 600 miliónov dolárov.

Severokórejskí hackeri údajne ukradli v priebehu celého roka 2025 kryptomeny v hodnote približne 2,02 miliardy USD, čo predstavuje medziročný nárast o 51 % a robí z neho rekordný rok pre krádeže spojené s KĽDR. Toto číslo, zverejnené spoločnosťou Chainalysis a juhokórejskými médiami, predstavovalo približne 60 % až 76 % všetkých globálnych krádeží kryptomien na úrovni služieb, napriek tomu, že skupina vykonala o 74 % menej jednotlivých incidentov ako v predchádzajúcich rokoch. Kumulatívny odhad dolnej hranice do konca roka 2025 dosiahol približne 6,75 miliardy dolárov.

Najväčšia jednotlivá krádež v histórii kryptomien patrí tiež skupine Lazarus. Začiatkom roka 2025 skupina ukradla približne 1,5 miliardy USD z burzy Bybit so sídlom v Dubaji tým, že kompromitovala poskytovateľa softvéru pre Safe Wallet a manipulovala s vývojárskymi prostrediami, aby presmerovala prevod z chladnej peňaženky do horúcej. FBI formálne pripísala tento útok členom severokórejskej skupiny Lazarus.

Pred Bybitom medzi významné pripisované krádeže patrili približne 620 miliónov dolárov z mostíka Ronin Network v roku 2022, 308 miliónov dolárov z DMM Bitcoin v roku 2024 a 234,9 miliónov dolárov z indickej burzy WazirX v roku 2024. Skupina spojená s KĽDR sa zameriavala aj na menšie platformy, individuálne peňaženky a softvérové dodávateľské reťazce súvisiace s kryptomenami.

Lazarus zvyčajne strávi mesiace prípravami pred vykonaním krádeže. Útočníci využívajú falošné náborové kampane, malvér hostovaný na Github a spear-phishing na získanie počiatočného prístupu. Akonáhle sa dostanú do prostredia vývojárov alebo validátorov, získavajú súkromné kľúče, kompromitujú hot peňaženky alebo manipulujú s infraštruktúrou mostíkov.

Po exfiltrácii finančných prostriedkov skupina perie aktíva prostredníctvom reťazového preskakovania, výmen na decentralizovaných burzách (DEX) a rozptýlenia medzi tisíce adries. Časť výnosov je údajne smerovaná cez služby ako Huione Pay, než je nakoniec prevedená na bitcoiny alebo iné aktíva, ktoré môžu podporovať režim KĽDR.

Ministerstvo spravodlivosti USA obžalovalo severokórejského občana Park Jin Hyoka v súvislosti s predchádzajúcimi operáciami skupiny Lazarus. Úrad pre kontrolu zahraničných aktív Ministerstva financií USA uvalil sankcie na desiatky adries a FBI vydalo verejné upozornenia s identifikátormi v reťazci, ktoré majú burzy a validátori blokovať.

Napriek týmto opatreniam sa Lazarus naďalej prispôsobuje. Techniky otravovania infraštruktúry tejto skupiny, vrátane kompromitácie uzla RPC použitej pri útoku na KelpDAO, odrážajú posun smerom k zameriavaniu sa na základnú štruktúru protokolov decentralizovaného financovania (DeFi) namiesto front-end rozhraní alebo prihlasovacích údajov jednotlivých používateľov.

Bezpečnosť krypto mostov zostáva kľúčovou zraniteľnosťou. Útoky na Ronin, Harmony Horizon a teraz aj KelpDAO zahŕňali manipuláciu s systémami overovania medzi reťazcami. Bezpečnostní výskumníci poukazujú na požiadavky viacerých podpisov, nezávislý audit uzlov RPC a monitorovanie správania v reálnom čase ako na najpriamejšie opatrenia na zmiernenie rizika.

Odhaduje sa, že Severná Kórea získava významnú časť tvrdých mien z týchto operácií v ekonomike obmedzenej medzinárodnými sankciami, pričom niektoré analýzy odhadujú výnosy z krádeží kryptomien na približne 13 % HDP. Predpokladá sa, že ukradnuté prostriedky slúžia na financovanie jadrového programu a programu balistických rakiet krajiny, ako aj na ďalšie štátne funkcie.