คาดว่ากลุ่ม Lazarus ได้เคลื่อนย้าย ETH มูลค่า 175 ล้านดอลลาร์ หลัง Arbitrum อายัด 71 ล้านดอลลาร์จากการโจมตี KelpDAO Exploit

ประเด็นสำคัญ:

• กลุ่ม Lazarus ดูด rsETH จำนวน 116,500 จาก KelpDAO เมื่อวันที่ 18 เมษายน
• สภาความปลอดภัยของ Arbitrum ได้อายัด ETH ราว 30,766 เหรียญ มูลค่า 71 ล้านดอลลาร์ ที่เชื่อมโยงกับผู้โจมตี KelpDAO เมื่อวันที่ 20 เมษายน
• หลังการอายัดของ Arbitrum กลุ่ม Lazarus ย้ายเงิน 175 ล้านดอลลาร์ไปยังที่อยู่ ethereum ใหม่ โดย Arkham Intelligence กำลังติดตามวอลเล็ตอย่างใกล้ชิด

เครือข่ายแฮ็กของเกาหลีเหนือฟอกเงินหลายล้านจาก ETH ของ KelpDAO ที่ขโมยมา ผ่าน Thorchain และ Umbra Cash

แม้เรื่องราวอาจแตกต่างกันไปขึ้นอยู่กับว่าไปถามนักพัฒนาโปรโตคอลรายใด แต่รายงานระบุว่าผู้โจมตีเจาะโหนด RPC สองโหนดและติดตั้งมัลแวร์เพื่อป้อนข้อมูลธุรกรรมปลอมให้กับเครือข่ายตรวจสอบแบบกระจายศูนย์ของ Layerzero (Decentralized Verifier Network) เพียงฝ่ายเดียว ขณะเดียวกันยังคงส่งข้อมูลที่ถูกต้องให้ผู้สังเกตการณ์รายอื่น รายงานถูกเผยแพร่โดย KelpDAO, Layerzero, และ Llamarisk ร่วมกับผู้ให้บริการของ Aave

การโจมตีตามมาด้วยการโจมตีแบบปฏิเสธการให้บริการแบบกระจาย (DDoS) ต่อโหนดที่สะอาดที่เหลืออยู่ บังคับให้บริดจ์ของ KelpDAO ต้องสลับไปใช้โครงสร้างพื้นฐานที่ถูกเจาะแล้ว เมื่อชั้นการยืนยันอยู่ภายใต้การควบคุมของพวกเขา ผู้โจมตีจึงปลอมข้อความข้ามเชนที่อนุมัติการถอน rsETH ราว 116,500 เหรียญ คิดเป็นประมาณ 18% ของอุปทาน rsETH ทั้งหมดของ KelpDAO

การขโมยจาก KelpDAO เป็นการโจมตีครั้งใหญ่ครั้งที่สองที่ถูกโยงไปยัง Lazarus ภายในระยะเวลาเพียงสามสัปดาห์ เมื่อวันที่ 1 เมษายน มีการขโมยเงินประมาณ 285 ล้านดอลลาร์จาก Drift Protocol ในปฏิบัติการที่ผู้สืบสวนเชื่อมโยงกับ Lazarus ของเกาหลีเหนือเช่นกัน เหตุการณ์ทั้งสองรวมกันคิดเป็นความเสียหายเกือบ 600 ล้านดอลลาร์

รายงานระบุว่าแฮ็กเกอร์เกาหลีเหนือขโมยคริปโตเคอร์เรนซีไปประมาณ 2.02 พันล้านดอลลาร์ ตลอดปี 2025 ทั้งปี เพิ่มขึ้น 51% เมื่อเทียบรายปี ทำให้เป็นปีที่ทำสถิติสูงสุดสำหรับการขโมยที่เชื่อมโยงกับ DPRK ตัวเลขดังกล่าวซึ่งเผยแพร่โดย Chainalysis และ สื่อ เกาหลีใต้ คิดเป็นประมาณ 60% ถึง 76% ของการขโมยคริปโตระดับบริการทั้งหมดทั่วโลก แม้ว่ากลุ่มนี้จะก่อเหตุรายครั้งน้อยลง 74% เมื่อเทียบกับปีก่อน ๆ ก็ตาม ประมาณการขอบล่างแบบสะสมจนถึงสิ้นปี 2025 อยู่ที่ราว 6.75 พันล้านดอลลาร์

การขโมยครั้งเดียวที่ใหญ่ที่สุดในประวัติศาสตร์คริปโตก็เป็นของ Lazarus เช่นกัน ช่วงต้นปี 2025 กลุ่มนี้ได้ ขโมย เงินราว 1.5 พันล้านดอลลาร์จาก Bybit ซึ่งเป็นเว็บเทรดที่ตั้งอยู่ในดูไบ โดยเจาะผู้ให้บริการซอฟต์แวร์ของ Safe Wallet และดัดแปลงสภาพแวดล้อมของนักพัฒนาเพื่อเปลี่ยนเส้นทางการโอนจากวอลเล็ตเย็นไปสู่วอลเล็ตร้อน FBI ได้ระบุอย่างเป็นทางการว่าการโจมตีนั้นเป็นฝีมือของผู้ปฏิบัติการจากกลุ่ม Lazarus ของเกาหลีเหนือ

ก่อนหน้า Bybit การปล้นที่มีการระบุว่าเกี่ยวข้องอย่างมีนัยสำคัญ ได้แก่ ราว 620 ล้านดอลลาร์จากบริดจ์ Ronin Network ในปี 2022, 308 ล้านดอลลาร์จาก DMM Bitcoin ในปี 2024 และ 234.9 ล้านดอลลาร์จากเว็บเทรดอินเดีย WazirX ในปี 2024 กลุ่มที่เชื่อมโยงกับ DPRK ยังมุ่งเป้าไปยังแพลตฟอร์มขนาดเล็ก วอลเล็ตส่วนบุคคล และซัพพลายเชนซอฟต์แวร์ที่เกี่ยวข้องกับคริปโตด้วย

โดยปกติ Lazarus จะใช้เวลาหลายเดือนในการเตรียมการก่อนลงมือขโมย ผู้โจมตีใช้การติดต่อหลอกลวงในนามผู้สรรหางาน, มัลแวร์ที่โฮสต์บน Github และการฟิชชิงแบบเจาะจงเป้าหมายเพื่อให้ได้การเข้าถึงเริ่มต้น เมื่อเข้าไปในสภาพแวดล้อมของนักพัฒนาหรือวาลิเดเตอร์แล้ว พวกเขาจะเก็บเกี่ยวคีย์ส่วนตัว เจาะวอลเล็ตแบบฮอต หรือบิดเบือนโครงสร้างพื้นฐานของบริดจ์

หลังนำเงินออกไป กลุ่มจะฟอกสินทรัพย์ผ่านการกระโดดเชน การสว็อปบนตลาดแลกเปลี่ยนแบบกระจายศูนย์ (DEX) และการกระจายไปยังที่อยู่หลายพันรายการ รายได้บางส่วนถูกกล่าวหาว่าถูกส่งผ่านบริการอย่าง Huione Pay ก่อนจะถูกแปลงเป็น บิตคอยน์ หรือสินทรัพย์อื่นที่สามารถสนับสนุนระบอบ DPRK ได้

กระทรวงยุติธรรมสหรัฐฯ ได้ ตั้งข้อหา ชาวเกาหลีเหนือ Park Jin Hyok ที่เกี่ยวข้องกับปฏิบัติการ Lazarus ก่อนหน้านี้ สำนักงานควบคุมทรัพย์สินต่างประเทศ (Office of Foreign Assets Control) ของกระทรวงการคลังได้คว่ำบาตรที่อยู่หลายสิบรายการ และ FBI ได้ออกคำเตือนสาธารณะพร้อมตัวระบุบนเชนเพื่อให้เว็บเทรดและวาลิเดเตอร์ทำการบล็อก

แม้มีมาตรการเหล่านี้ Lazarus ก็ยังคงปรับตัวต่อเนื่อง เทคนิคการปนเปื้อนโครงสร้างพื้นฐานของกลุ่ม รวมถึงการเจาะโหนด RPC ที่ใช้ในการโจมตี KelpDAO สะท้อนถึงการเปลี่ยนไปมุ่งเป้าส่วนท่อประปาใต้พื้นของโปรโตคอล การเงินแบบกระจายศูนย์ (DeFi) มากกว่าการโจมตีอินเทอร์เฟซหน้าเว็บหรือข้อมูลรับรองผู้ใช้รายบุคคล

ความปลอดภัยของบริดจ์คริปโตยังคงเป็นช่องโหว่หลัก การเจาะ Ronin, Harmony Horizon และล่าสุด KelpDAO ล้วนเกี่ยวข้องกับการบิดเบือนระบบยืนยันข้ามเชน นักวิจัยด้านความปลอดภัยชี้ว่า ข้อกำหนดแบบหลายลายเซ็น การตรวจสอบโหนด RPC โดยอิสระ และการเฝ้าระวังพฤติกรรมแบบเรียลไทม์ เป็นวิธีลดความเสี่ยงที่ตรงจุดที่สุด

มีการประเมินว่าเกาหลีเหนือได้รับเงินตราแข็งเป็นสัดส่วนสำคัญจากปฏิบัติการเหล่านี้ ภายใต้เศรษฐกิจที่ถูกจำกัดด้วยมาตรการคว่ำบาตรระหว่างประเทศ โดยบางการวิเคราะห์ระบุว่ารายได้จากการขโมยคริปโตอยู่ที่ราว 13% ของ GDP เชื่อกันว่าเงินที่ถูกขโมยถูกนำไปสนับสนุนโครงการนิวเคลียร์และขีปนาวุธพิสัยไกลของประเทศควบคู่ไปกับภารกิจของรัฐอื่น ๆ