Pinaghihinalaang Inilipat ng Lazarus Group ang $175M sa ETH Matapos I-freeze ng Arbitrum ang $71M mula sa KelpDAO Exploit

Mahahalagang Punto:

• Dinrain ng Lazarus Group ang 116,500 rsETH mula sa KelpDAO noong Abril 18.
• I-freeze ng Arbitrum Security Council ang humigit-kumulang 30,766 ETH na nagkakahalaga ng $71M na naka-link sa nagsamantala sa KelpDAO noong Abril 20.
• Inilipat ng Lazarus ang $175M sa mga bagong ethereum address matapos ang pag-freeze ng Arbitrum, habang aktibong sinusubaybayan ng Arkham Intelligence ang mga wallet.

Ang Sindikato ng Pagha-hack ng North Korea ay Naglalaba ng Milyun-milyon sa Ninakaw na KelpDAO ETH sa Pamamagitan ng Thorchain at Umbra Cash

Bagama’t maaaring mag-iba ang kuwento depende sa kung aling protocol dev ang tatanungin mo, sinasabi ng mga ulat na nakompromiso ng mga umaatake ang dalawang RPC node at nag-deploy ng malware upang magpakain ng huwad na datos ng transaksyon eksklusibo sa Decentralized Verifier Network ng Layerzero habang pinananatiling tapat ang mga feed para sa ibang tagamasid. Naglabas ng mga ulat ang KelpDAO, Layerzero, at Llamarisk kasama ang mga service provider ng Aave.

Sinundan ang pag-atake ng isang distributed denial-of-service attack laban sa natitirang malilinis na node, na pumilit sa bridge ng KelpDAO na mag-fail over sa nakompromisong imprastraktura. Dahil nasa kontrol nila ang verification layer, pineke nila ang isang cross-chain message na nag-aapruba sa pag-withdraw ng humigit-kumulang 116,500 rsETH, na kumakatawan sa tinatayang 18% ng kabuuang suplay ng rsETH ng KelpDAO.

Ang pagnanakaw sa KelpDAO ay ang ikalawang malaking pag-atake na itinuturong gawa ng Lazarus sa loob ng tatlong linggo. Noong Abril 1, humigit-kumulang $285 milyon ang nakuha mula sa Drift Protocol sa isang operasyon na iniugnay din ng mga imbestigador sa Lazarus ng North Korea. Ang dalawang insidente ay magkasamang halos $600 milyon ang kabuuang pagkalugi.

Iniulat na ninakaw ng mga hacker mula North Korea ang humigit-kumulang $2.02 bilyon sa cryptocurrency sa buong 2025, isang 51% na pagtaas taon-sa-taon na nagresulta sa isang rekord na taon para sa mga pagnanakaw na naka-link sa DPRK. Ang bilang na iyon, na inilathala ng Chainalysis at ng mga outlet ng midya sa South Korea, ay kumatawan sa humigit-kumulang 60% hanggang 76% ng lahat ng pandaigdigang service-level crypto theft, sa kabila ng pagsasagawa ng grupo ng 74% na mas kaunting indibidwal na insidente kaysa sa mga nagdaang taon. Umabot ang pinagsamang pagtatantya sa mas mababang hangganan hanggang sa katapusan ng 2025 sa humigit-kumulang $6.75 bilyon.

Ang pinakamalaking solong pagnanakaw sa kasaysayan ng crypto ay pag-aari rin ng Lazarus. Noong unang bahagi ng 2025, ninakaw ng grupo ang humigit-kumulang $1.5 bilyon mula sa Bybit, isang exchange na nakabase sa Dubai, sa pamamagitan ng pagkompromiso sa isang software provider para sa Safe Wallet at pagmanipula sa mga developer environment upang i-redirect ang isang cold-to-hot wallet transfer. Pormal na iniugnay ng FBI ang pag-atakeng iyon sa mga aktor ng North Korean Lazarus Group.

Bago ang Bybit, kabilang sa mga makabuluhang pagnanakaw na iniuugnay sa kanila ang humigit-kumulang $620 milyon mula sa Ronin Network bridge noong 2022, $308 milyon mula sa DMM Bitcoin noong 2024, at $234.9 milyon mula sa Indian exchange na WazirX noong 2024. Tinarget din ng grupong naka-link sa DPRK ang mas maliliit na platform, mga indibidwal na wallet, at mga supply chain ng software na kaugnay ng crypto.

Karaniwang gumugugol ang Lazarus ng ilang buwan sa paghahanda bago isagawa ang isang pagnanakaw. Gumagamit ang mga umaatake ng pekeng paglapit na kunwa’y recruiter, malware na naka-host sa Github, at spear-phishing upang makakuha ng paunang access. Kapag nakapasok na sa mga developer o validator environment, kinukuha nila ang mga private key, kinokompromiso ang mga hot wallet, o minamanipula ang imprastraktura ng bridge.

Matapos mailabas ang mga pondo, nilalabhan ng grupo ang mga asset sa pamamagitan ng chain-hopping, mga swap sa decentralized exchange (DEX), at pagpapakalat sa libu-libong address. Ilan sa mga kita ay diumano’y idinaraan sa mga serbisyo tulad ng Huione Pay bago tuluyang ikonberte sa bitcoin o iba pang asset na maaaring sumuporta sa rehimen ng DPRK.

Ang U.S. Department of Justice ay kinasuhan ang North Korean na si Park Jin Hyok kaugnay ng mga naunang operasyon ng Lazarus. Nagpataw ng mga parusa ang Office of Foreign Assets Control ng Treasury Department laban sa dose-dosenang address, at naglabas ang FBI ng mga pampublikong abiso na may mga onchain identifier upang harangin ng mga exchange at validator.

Sa kabila ng mga hakbang na iyon, patuloy na umaangkop ang Lazarus. Ang mga teknik nito sa pagkalason ng imprastraktura, kabilang ang pagkompromiso sa RPC node na ginamit sa pag-atake sa KelpDAO, ay nagpapakita ng paglipat tungo sa pagtukoy sa “plumbing” sa ilalim ng mga protocol ng decentralized finance (DeFi) sa halip na mga front-end interface o mga kredensyal ng indibidwal na user.

Nananatiling isang pangunahing kahinaan ang seguridad ng crypto bridge. Ang mga paglabag sa Ronin, Harmony Horizon, at ngayon KelpDAO ay lahat kinasangkutan ang pagmanipula ng mga cross-chain verification system. Itinuro ng mga mananaliksik sa seguridad ang mga multi-signature requirement, independiyenteng pag-audit ng RPC node, at real-time na pagmo-monitor sa pag-uugali bilang mga pinaka-tuwirang mitigasyon.

Tinatayang kumukuha ang North Korea ng malaking bahagi ng hard currency mula sa mga operasyong ito sa isang ekonomiyang nalilimitahan ng mga internasyonal na parusa, at may ilang pagsusuri na naglalagay ng kita mula sa pagnanakaw ng crypto sa humigit-kumulang 13% ng GDP. Pinaniniwalaang sinusuportahan ng mga ninakaw na pondo ang mga programang nuklear at ballistic missile ng bansa kasama ng iba pang tungkulin ng estado.