Група Lazarus підозрюється у переказі 175 млн доларів у ETH після того, як Arbitrum заморозив 71 млн доларів, отриманих внаслідок зловживання в KelpDAO

Основні висновки:

• 18 квітня група Lazarus вивела 116 500 rsETH з KelpDAO.
• 20 квітня Рада безпеки Arbitrum заморозила приблизно 30 766 ETH на суму 71 млн доларів, пов'язаних із зловмисником KelpDAO.
• Після заморожування коштів Arbitrum Lazarus перевів 175 млн доларів на нові адреси Ethereum, а Arkham Intelligence активно відстежує гаманці.

Північнокорейський хакерський синдикат відмиває мільйони вкрадених ETH з KelpDAO через Thorchain та Umbra Cash

Хоча історія може відрізнятися залежно від того, якого розробника протоколу ви запитаєте, у звітах йдеться про те, що зловмисники зламали два вузли RPC і розгорнули шкідливе програмне забезпечення, щоб подавати фальшиві дані транзакцій виключно до децентралізованої мережі верифікаторів Layerzero, зберігаючи при цьому чесність даних для інших спостерігачів. Звіти опублікували KelpDAO, Layerzero та Llamarisk разом із постачальниками послуг Aave.

За цим послідувала розподілена атака типу «відмова в обслуговуванні» (DDoS) на решту «чистих» вузлів, що змусило міст KelpDAO переключитися на скомпрометовану інфраструктуру. Отримавши контроль над рівнем верифікації, зловмисники підробили міжланцюгове повідомлення, яке санкціонувало виведення приблизно 116 500 rsETH, що становить близько 18% від загального обсягу rsETH у KelpDAO.

Крадіжка з KelpDAO — це друга велика атака, яку приписують Lazarus за останні три тижні. 1 квітня з Drift Protocol було викрадено приблизно 285 мільйонів доларів в операції, яку слідчі також пов'язали з північнокорейською групою Lazarus. Ці два інциденти разом становлять майже 600 мільйонів доларів збитків.

За повідомленнями, північнокорейські хакери викрали приблизно 2,02 млрд доларів у криптовалюті протягом усього 2025 року, що на 51% більше, ніж у попередньому році, і зробило цей рік рекордним за кількістю крадіжок, пов'язаних з КНДР. Ця цифра, опублікована Chainalysis та південнокорейськими ЗМІ, становила приблизно від 60% до 76% усіх глобальних крадіжок криптовалюти на рівні сервісів, незважаючи на те, що група здійснила на 74% менше окремих інцидентів, ніж у попередні роки. Сукупна нижня межа оцінки до кінця 2025 року сягнула приблизно 6,75 млрд доларів.

Найбільша окрема крадіжка в історії криптовалют також належить Lazarus. На початку 2025 року група викрала приблизно 1,5 млрд доларів з Bybit, біржі з Дубая, зламавши постачальника програмного забезпечення для Safe Wallet і маніпулюючи середовищами розробників, щоб перенаправити переказ з холодного гаманця на гарячий. ФБР офіційно приписало цю атаку північнокорейським учасникам Lazarus Group.

До Bybit серед значних крадіжок, що приписуються цій групі, були приблизно 620 млн доларів з мосту Ronin Network у 2022 році, 308 млн доларів з DMM Bitcoin у 2024 році та 234,9 млн доларів з індійської біржі WazirX у 2024 році. Група, пов’язана з КНДР, також націлювалася на менші платформи, індивідуальні гаманці та ланцюги постачання програмного забезпечення, пов’язані з криптовалютою.

Зазвичай Lazarus витрачає місяці на підготовку перед здійсненням крадіжки. Зловмисники використовують фальшиві пропозиції про працевлаштування, шкідливе програмне забезпечення, розміщене на Github, та спірфішинг для отримання початкового доступу. Опинившись у середовищах розробників або валідаторів, вони збирають приватні ключі, компрометують гарячі гаманці або маніпулюють інфраструктурою мостів.

Після виведення коштів група відмиває активи за допомогою переходу між ланцюгами, обміну на децентралізованих біржах (DEX) та розподілу між тисячами адрес. Частина коштів, як стверджується, проходить через такі сервіси, як Huione Pay, перш ніж бути остаточно конвертованою у біткойни або інші активи, які можуть підтримати режим КНДР.

Міністерство юстиції США висунуло звинувачення проти громадянина Північної Кореї Парка Чін Хьока у зв'язку з попередніми операціями Lazarus. Управління контролю за іноземними активами Міністерства фінансів наклало санкції на десятки адрес, а ФБР опублікувало публічні рекомендації з ідентифікаторами в ланцюжку, які біржі та валідатори повинні блокувати.

Незважаючи на ці заходи, Lazarus продовжує адаптуватися. Техніки «отруєння» інфраструктури групи, включаючи компрометацію вузлів RPC, використану в атаці на KelpDAO, відображають перехід до націлювання на «трубопровід» під протоколами децентралізованих фінансів (DeFi), а не на інтерфейси або облікові дані окремих користувачів.

Безпека крипто-містків залишається основною вразливістю. Усі порушення безпеки Ronin, Harmony Horizon, а тепер і KelpDAO пов'язані з маніпулюванням системами міжланцюгової верифікації. Дослідники безпеки вказали на вимоги щодо багаторазового підпису, незалежний аудит вузлів RPC та моніторинг поведінки в режимі реального часу як найефективніші заходи для зменшення ризиків.

За оцінками, Північна Корея отримує значну частину твердої валюти від цих операцій в економіці, обмеженій міжнародними санкціями, причому за деякими аналізами доходи від крадіжок криптовалюти становлять приблизно 13% ВВП. Вважається, що вкрадені кошти йдуть на підтримку ядерної програми та програми балістичних ракет країни, а також на інші державні функції.