Arbitrum’un KelpDAO’daki güvenlik açığından kaynaklanan 71 milyon doları dondurmasının ardından, Lazarus Grubu’nun 175 milyon dolarlık ETH transferi yaptığı şüphesi var

Önemli Noktalar:

• Lazarus Grubu, 18 Nisan'da KelpDAO'dan 116.500 rsETH çaldı.
• Arbitrum Güvenlik Konseyi, 20 Nisan'da KelpDAO saldırganıyla bağlantılı yaklaşık 30.766 ETH'yi (71 milyon dolar değerinde) dondurdu.
• Lazarus, Arbitrum'un dondurma işleminin ardından 175 milyon doları yeni Ethereum adreslerine aktardı; Arkham Intelligence ise cüzdanları aktif olarak takip ediyor.

Kuzey Kore'nin Hacking Syndicate Grubu, Thorchain ve Umbra Cash Aracılığıyla Çalınan Milyonlarca KelpDAO ETH'yi Aklıyor

Hangi protokol geliştiricisine sorduğuna bağlı olarak hikaye farklı olabilir, ancak raporlara göre saldırganlar iki RPC düğümünü ele geçirdi ve diğer gözlemciler için beslemeleri dürüst tutarken, sahte işlem verilerini yalnızca Layerzero'nun Merkezi Olmayan Doğrulayıcı Ağına aktarmak için kötü amaçlı yazılım dağıttı. Raporlar, Aave hizmet sağlayıcılarının yanı sıra KelpDAO, Layerzero ve Llamarisk tarafından yayınlandı.

Saldırı, kalan temiz düğümlere yönelik bir dağıtılmış hizmet reddi saldırısıyla devam etti ve KelpDAO'nun köprüsünü ele geçirilen altyapıya geçmeye zorladı. Doğrulama katmanını kontrol altına alan saldırganlar, KelpDAO'nun toplam rsETH arzının yaklaşık %18'ini temsil eden 116.500 rsETH'nin çekilmesini onaylayan bir zincirler arası mesaj uydurdu.

KelpDAO hırsızlığı, üç hafta içinde Lazarus'a atfedilen ikinci büyük saldırıdır. 1 Nisan'da, araştırmacıların Kuzey Kore'nin Lazarus grubuyla da ilişkilendirdiği bir operasyonda Drift Protocol'den yaklaşık 285 milyon dolar çalındı. Bu iki olayın toplamda neden olduğu kayıp yaklaşık 600 milyon dolara ulaşıyor.

Kuzey Koreli hackerların 2025 yılı boyunca yaklaşık 2,02 milyar dolarlık kripto para çaldığı bildirildi; bu, bir önceki yıla göre %51'lik bir artışla, Kuzey Kore ile bağlantılı hırsızlıklar açısından rekor bir yıl olmasını sağladı. Chainalysis ve Güney Koreli medya kuruluşları tarafından yayınlanan bu rakam, grubun önceki yıllara göre %74 daha az bireysel olay gerçekleştirmesine rağmen, tüm küresel hizmet düzeyindeki kripto hırsızlıklarının yaklaşık %60 ila %76'sını temsil ediyordu. 2025 sonuna kadar olan kümülatif alt sınır tahmini yaklaşık 6,75 milyar dolara ulaştı.

Kripto tarihindeki en büyük tekil hırsızlık da Lazarus'a aittir. 2025'in başlarında grup, Safe Wallet'ın bir yazılım sağlayıcısını ele geçirip geliştirici ortamlarını manipüle ederek soğuk cüzdandan sıcak cüzdana transferi yönlendirerek, Dubai merkezli bir borsa olan Bybit'ten yaklaşık 1,5 milyar dolar çaldı. FBI, bu saldırıyı resmi olarak Kuzey Koreli Lazarus Grubu aktörlerine atfetti.

Bybit'ten önce, atfedilen önemli soygunlar arasında 2022'de Ronin Network köprüsünden yaklaşık 620 milyon dolar, 2024'te DMM Bitcoin'den 308 milyon dolar ve 2024'te Hint borsası WazirX'ten 234,9 milyon dolar yer almaktadır. Kuzey Kore ile bağlantılı grup, daha küçük platformları, bireysel cüzdanları ve kripto ile ilgili yazılım tedarik zincirlerini de hedef almıştır.

Lazarus, genellikle bir hırsızlığı gerçekleştirmeden önce aylarca hazırlık yapar. Saldırganlar, ilk erişimi elde etmek için sahte işe alım çağrıları, Github'da barındırılan kötü amaçlı yazılımlar ve spear-phishing kullanır. Geliştirici veya doğrulayıcı ortamlarına girdikten sonra, özel anahtarları toplar, sıcak cüzdanları ele geçirir veya köprü altyapısını manipüle ederler.

Fonları sızdırdıktan sonra, grup varlıkları zincir atlama, merkeziyetsiz borsa (DEX) takasları ve binlerce adrese dağıtım yoluyla aklamaktadır. Bazı gelirlerin, nihayetinde bitcoin veya Kuzey Kore rejimini destekleyebilecek diğer varlıklara dönüştürülmeden önce Huione Pay gibi hizmetler üzerinden yönlendirildiği iddia edilmektedir.

ABD Adalet Bakanlığı, daha önceki Lazarus operasyonlarıyla bağlantılı olarak Kuzey Koreli vatandaş Park Jin Hyok'u suçladı. Hazine Bakanlığı'na bağlı Yabancı Varlıklar Kontrol Ofisi düzinelerce adrese yaptırım uyguladı ve FBI, borsaların ve doğrulayıcıların engellemesi için zincir üzerindeki tanımlayıcıları içeren kamuya açık uyarılar yayınladı.

Bu önlemlere rağmen Lazarus uyum sağlamaya devam etti. KelpDAO saldırısında kullanılan RPC düğümü ele geçirme dahil olmak üzere grubun altyapı zehirleme teknikleri, ön uç arayüzleri veya bireysel kullanıcı kimlik bilgileri yerine merkeziyetsiz finans (DeFi) protokollerinin altındaki altyapıyı hedefleme yönünde bir kaymayı yansıtıyor.

Kripto köprü güvenliği, merkezi bir güvenlik açığı olmaya devam ediyor. Ronin, Harmony Horizon ve şimdi de KelpDAO saldırıları, hepsi zincirler arası doğrulama sistemlerinin manipülasyonunu içeriyordu. Güvenlik araştırmacıları, çoklu imza gereklilikleri, bağımsız RPC düğümü denetimi ve gerçek zamanlı davranış izlemeyi en doğrudan önlemler olarak işaret etti.

Uluslararası yaptırımlarla kısıtlanmış bir ekonomiye sahip olan Kuzey Kore'nin, bu operasyonlardan önemli bir miktarda sert para elde ettiği tahmin edilmektedir; bazı analizlere göre kripto hırsızlığından elde edilen gelir, GSYİH'nin yaklaşık %13'ünü oluşturmaktadır. Çalınan fonların, diğer devlet işlevlerinin yanı sıra ülkenin nükleer ve balistik füze programlarını desteklediği düşünülmektedir.