Skupina Lazarus je osumljena, da je prenesla 175 milijonov dolarjev v ETH, potem ko je Arbitrum zamrznil 71 milijonov dolarjev zaradi izkoriščanja ranljivosti v KelpDAO

Ključne ugotovitve:

• Skupina Lazarus je 18. aprila iz KelpDAO izčrpala 116.500 rsETH.
• Varnostni svet Arbitrum je 20. aprila zamrznil približno 30.766 ETH v vrednosti 71 milijonov dolarjev, povezanih z izkoriščevalcem KelpDAO.
• Lazarus je po zamrznitvi s strani Arbitruma prenesel 175 milijonov dolarjev na nove naslove ethereuma, Arkham Intelligence pa aktivno sledi denarnicam.

Severnokorejski hekerski sindikat pere milijone ukradenih ETH iz KelpDAO prek Thorchain in Umbra Cash

Čeprav se zgodba lahko razlikuje glede na to, katerega razvijalca protokola vprašate, poročila navajajo, da so napadalci ogrozili dva RPC vozlišča in razporedili zlonamerno programsko opremo, da bi lažne podatke o transakcijah posredovali izključno v Layerzerojevo Decentralized Verifier Network, medtem ko so za druge opazovalce ohranili verodostojne podatke. Poročila so objavili KelpDAO, Layerzero in Llamarisk skupaj s ponudniki storitev Aave.

Napadu je sledil distribuiran napad z zavrnitvijo storitve (DDoS) na preostale neoporečne vozle, kar je prisililo most KelpDAO, da je preklopil na ogroženo infrastrukturo. Ko so imeli pod nadzorom verifikacijski sloj, so ponaredili medverigovno sporočilo, ki je odobrilo dvig približno 116.500 rsETH, kar predstavlja približno 18 % celotne ponudbe rsETH KelpDAO.

Kraja KelpDAO je drugi večji napad, pripisan Lazarusu v treh tednih. 1. aprila je bilo iz Drift Protocol ukradenih približno 285 milijonov dolarjev v operaciji, ki so jo preiskovalci prav tako povezali s severnokorejskim Lazarusom. Ti dve incidenti skupaj predstavljata skoraj 600 milijonov dolarjev izgub.

Severokorejski hekerji so po poročanju v letu 2025 ukradli približno 2,02 milijarde dolarjev v kriptovalutah, kar je 51-odstotno povečanje v primerjavi z letom prej in je pomenilo rekordno leto za kraje, povezane s Severno Korejo. Ta številka, ki so jo objavili Chainalysis in južnokorejski mediji, je predstavljala približno 60 % do 76 % vseh globalnih kriptokraj na ravni storitev, kljub temu da je skupina izvedla 74 % manj posameznih incidentov kot v prejšnjih letih. Skupna spodnja meja ocene do konca leta 2025 je dosegla približno 6,75 milijarde dolarjev.

Največja posamezna kraja v zgodovini kriptovalut prav tako pripada skupini Lazarus. V začetku leta 2025 je skupina ukradla približno 1,5 milijarde dolarjev iz borze Bybit s sedežem v Dubaju, in sicer z vdorom v ponudnika programske opreme za Safe Wallet in manipulacijo razvojnih okolij, da bi preusmerila prenos iz hladnega v vroči denarnik. FBI je ta napad uradno pripisal akterjem severnokorejske skupine Lazarus.

Pred Bybitom so med pomembnejše pripisane kraje spadali približno 620 milijonov dolarjev iz mostu Ronin Network leta 2022, 308 milijonov dolarjev iz DMM Bitcoin leta 2024 in 234,9 milijona dolarjev iz indijske borze WazirX leta 2024. Skupina, povezana s Severno Korejo, je napadala tudi manjše platforme, posamezne denarnice in dobavne verige programske opreme, povezane s kriptovalutami.

Lazarus običajno porabi mesece za priprave, preden izvede krajo. Napadalci uporabljajo lažne ponudbe za zaposlitev, zlonamerno programsko opremo, gostovano na Githubu, in spear-phishing, da pridobijo začetni dostop. Ko so enkrat znotraj razvojnih ali validatorskih okolij, pridobijo zasebne ključe, ogrozijo vroče denarnice ali manipulirajo z infrastrukturo mostov.

Po izčrpanju sredstev skupina pere sredstva prek preskakovanja verig, zamenjav na decentraliziranih borzah (DEX) in razpršitve po tisočih naslovih. Del iztržka naj bi bil preusmerjen prek storitev, kot je Huione Pay, preden se na koncu pretvori v bitcoin ali druga sredstva, ki lahko podpirajo režim Severne Koreje.

Ameriško ministrstvo za pravosodje je v zvezi s prejšnjimi operacijami skupine Lazarus obtožilo severnokorejskega državljana Park Jin Hyoka. Urad za nadzor nad tujimi sredstvi Ministrstva za finance je sankcioniral več deset naslovov, FBI pa je izdal javna obvestila z identifikatorji v verigi, ki jih morajo borze in validatorji blokirati.

Kljub tem ukrepom se je Lazarus še naprej prilagajal. Tehnike onesnaževanja infrastrukture skupine, vključno z ogrožanjem vozlišča RPC, uporabljenim v napadu na KelpDAO, odražajo premik k ciljanju na infrastrukturo pod protokoli decentraliziranih financ (DeFi) namesto na vmesnike ali posamezne uporabniške poverilnice.

Varnost kriptomostov ostaja osrednja ranljivost. Pri vdorih v Ronin, Harmony Horizon in zdaj KelpDAO je šlo za manipulacijo sistemov preverjanja med verigami. Raziskovalci varnosti so kot najbolj neposredne ukrepe za zmanjšanje tveganja izpostavili zahteve po več podpisih, neodvisno revidiranje vozlišč RPC in spremljanje vedenja v realnem času.

Ocenjuje se, da Severna Koreja v gospodarstvu, omejenem z mednarodnimi sankcijami, iz teh operacij pridobiva znaten delež trdne valute, pri čemer nekatere analize ocenjujejo, da prihodki od kraje kriptovalut znašajo približno 13 % BDP. Domneva se, da ukradena sredstva podpirajo jedrske in balistične raketne programe države ter druge državne funkcije.