Lazarus Group misstänks ha flyttat 175 miljoner dollar i ETH efter att Arbitrum fryst 71 miljoner dollar från KelpDAO-exploiten

Sammanfattning:

• Lazarus Group stal 116 500 rsETH från KelpDAO den 18 april.
• Arbitrum Security Council frös den 20 april cirka 30 766 ETH till ett värde av 71 miljoner dollar kopplade till KelpDAO-exploateraren.
• Lazarus flyttade 175 miljoner dollar till nya Ethereum-adresser efter Arbitrums frysning, och Arkham Intelligence spårar aktivt plånböckerna.

Nordkoreas hackingsyndikat tvättar miljoner i stulna KelpDAO-ETH genom Thorchain och Umbra Cash

Även om berättelsen kan skilja sig åt beroende på vilken protokollutvecklare man frågar, säger rapporter att angriparna komprometterade två RPC-noder och distribuerade skadlig kod för att mata falska transaktionsdata exklusivt till Layerzeros Decentralized Verifier Network samtidigt som de höll flödena ärliga för andra observatörer. Rapporter har publicerats av KelpDAO, Layerzero och Llamarisk tillsammans med Aave-tjänsteleverantörer.

Attacken följdes av en distribuerad överbelastningsattack mot de återstående rena noderna, vilket tvingade KelpDAO:s brygga att växla över till den komprometterade infrastrukturen. Med verifieringslagret under sin kontroll förfalskade de ett kedjeöverskridande meddelande som godkände uttag av ungefär 116 500 rsETH, vilket motsvarar cirka 18 % av KelpDAO:s totala rsETH-tillgång.

Stölden från KelpDAO är den andra stora attacken som tillskrivs Lazarus inom tre veckor. Den 1 april stals cirka 285 miljoner dollar från Drift Protocol i en operation som utredarna också kopplade till Nordkoreas Lazarus. De två incidenterna tillsammans står för nästan 600 miljoner dollar i förluster.

Nordkoreanska hackare ska enligt uppgift ha stulit cirka 2,02 miljarder dollar i kryptovaluta under hela 2025, en ökning med 51 % jämfört med föregående år, vilket gjorde det till ett rekordår för stölder kopplade till Nordkorea. Den siffran, som publicerades av Chainalysis och sydkoreanska medier, motsvarade ungefär 60 % till 76 % av alla globala kryptostölder på tjänstenivå, trots att gruppen utförde 74 % färre enskilda incidenter än tidigare år. Den kumulativa lägsta uppskattningen fram till slutet av 2025 uppgick till cirka 6,75 miljarder dollar.

Den största enskilda stölden i kryptovalutans historia tillhör också Lazarus. I början av 2025 stal gruppen cirka 1,5 miljarder dollar från Bybit, en börs baserad i Dubai, genom att kompromettera en mjukvaruleverantör för Safe Wallet och manipulera utvecklingsmiljöer för att omdirigera en överföring från en cold wallet till en hot wallet. FBI tillskrev formellt den attacken till aktörer från den nordkoreanska Lazarus-gruppen.

Innan Bybit inkluderade betydande tillskrivna stölder ungefär 620 miljoner dollar från Ronin Network-bron 2022, 308 miljoner dollar från DMM Bitcoin 2024 och 234,9 miljoner dollar från den indiska börsen WazirX 2024. Den Nordkorea-anknutna gruppen har också riktat in sig på mindre plattformar, enskilda plånböcker och kryptorelaterade mjukvaruleverantörskedjor.

Lazarus brukar ägna månader åt förberedelser innan de genomför ett stöld. Angriparna använder falska rekryteringsförsök, skadlig programvara som ligger på Github och spear-phishing för att få inledande åtkomst. Väl inne i utvecklings- eller valideringsmiljöer skördar de privata nycklar, komprometterar hot wallets eller manipulerar brygginfrastrukturen.

Efter att ha fört ut medel tvättar gruppen tillgångarna genom kedjehoppning, byten på decentraliserade börser (DEX) och spridning över tusentals adresser. En del av intäkterna ska enligt uppgift ha dirigerats via tjänster som Huione Pay innan de slutligen konverteras till bitcoin eller andra tillgångar som kan stödja Nordkoreas regim.

Det amerikanska justitiedepartementet åtalade den nordkoreanske medborgaren Park Jin Hyok i samband med tidigare Lazarus-operationer. Finansdepartementets Office of Foreign Assets Control har sanktionerat dussintals adresser, och FBI har utfärdat offentliga varningar med on-chain-identifierare som börser och validerare ska blockera.

Trots dessa åtgärder har Lazarus fortsatt att anpassa sig. Gruppens tekniker för infrastrukturförgiftning, inklusive den kompromettering av RPC-noder som användes i KelpDAO-attacken, speglar en förskjutning mot att rikta in sig på infrastrukturen under decentraliserade finansprotokoll (DeFi) snarare än front-end-gränssnitt eller enskilda användares inloggningsuppgifter.

Säkerheten kring kryptobryggor förblir en central sårbarhet. Intrången i Ronin, Harmony Horizon och nu KelpDAO involverade alla manipulation av verifieringssystem mellan kedjor. Säkerhetsforskare har pekat på krav på flera signaturer, oberoende granskning av RPC-noder och beteendeövervakning i realtid som de mest direkta åtgärderna.

Nordkorea beräknas få en betydande andel av sin hårda valuta från dessa operationer i en ekonomi som begränsas av internationella sanktioner, och vissa analyser uppskattar intäkterna från kryptostöld till cirka 13 % av BNP. Stulna medel tros stödja landets kärnvapen- och ballistiska missilprogram tillsammans med andra statliga funktioner.