Lazarus Group Suspected of Moving $175M in ETH After Arbitrum Freezes $71M From KelpDAO Exploit

• 拉撒路组织于4月18日从KelpDAO中盗取了116,500枚rsETH。
• 4月20日，Arbitrum安全委员会冻结了与KelpDAO攻击者相关的约30,766枚ETH（价值7,100万美元）。
• 在Arbitrum冻结资产后，Lazarus将1.75亿美元转移至新的以太坊地址，Arkham Intelligence正积极追踪相关钱包。

朝鲜黑客组织通过Thorchain和Umbra Cash洗钱数百万被盗的KelpDAO ETH

虽然不同协议开发者对此事的描述可能有所不同，但据报道，攻击者入侵了两个RPC节点，并部署了恶意软件，专门向Layerzero的去中心化验证器网络（Decentralized Verifier Network）提供虚假交易数据，同时确保向其他观察者提供的数据真实无误。KelpDAO、Layerzero、Llamarisk以及Aave服务提供商均已发布相关报告。

随后，攻击者对剩余的正常节点发动了分布式拒绝服务攻击，迫使KelpDAO的跨链桥切换至受控的基础设施。在掌控了验证层后，他们伪造了一条跨链消息，授权提取约116,500枚rsETH，约占KelpDAO rsETH总供应量的18%。

KelpDAO盗窃案是三周内归因于Lazarus组织的第二起重大攻击。4月1日，Drift Protocol遭窃约2.85亿美元，调查人员同样将此次行动与朝鲜Lazarus组织关联。这两起事件造成的损失合计近6亿美元。

据报道，2025年全年，朝鲜黑客窃取了约20.2亿美元的加密货币，同比增幅达51%，创下朝鲜相关盗窃案的年度纪录。这一由Chainalysis和韩国媒体发布的数字，约占全球所有服务层级加密货币盗窃案的60%至76%，尽管该组织实施的单次攻击事件数量比往年减少了74%。 截至2025年底，累计损失的下限估计值已达约67.5亿美元。

加密货币史上最大单笔盗窃案同样由Lazarus集团所为。2025年初，该组织通过入侵Safe Wallet的软件供应商，并操纵开发环境将冷钱包转账重定向至热钱包，从总部位于迪拜的交易所Bybit窃取了约15亿美元。美国联邦调查局（FBI）正式将此次攻击归咎于朝鲜Lazarus集团成员。

在Bybit事件之前，已确认的重大盗窃案还包括：2022年从Ronin Network桥盗取约6.2亿美元、2024年从DMM Bitcoin盗取3.08亿美元，以及2024年从印度交易所WazirX盗取2.349亿美元。这个与朝鲜有关联的组织还曾将小型平台、个人钱包以及加密货币相关软件供应链作为攻击目标。

Lazarus通常会在实施盗窃前花费数月进行准备。攻击者利用虚假招聘信息、托管于GitHub的恶意软件以及鱼叉式网络钓鱼来获取初始访问权限。一旦进入开发者或验证者环境，他们便窃取私钥、攻破热钱包，或操控跨链桥基础设施。

转移资金后，该组织通过跨链操作、去中心化交易所（DEX）兑换以及分散至数千个地址的方式洗钱。据称部分赃款会经由Huione Pay等服务中转，最终被转换为比特币或其他能支持朝鲜政权的资产。

美国司法部已就拉扎鲁斯组织早期的行动对朝鲜公民朴珍赫提起诉讼。美国财政部外国资产控制办公室已对数十个地址实施制裁，联邦调查局也发布了包含链上标识符的公开警示，要求交易所和验证者予以封锁。

尽管采取了这些措施，Lazarus仍持续调整策略。该组织的基础设施污染技术——包括在KelpDAO攻击中使用的RPC节点入侵手段——反映出其攻击目标已从去中心化金融（DeFi）协议的前端界面或个人用户凭证，转向了协议底层的“管道”系统。

跨链桥的安全性仍是核心漏洞。Ronin、Harmony Horizon以及如今的KelpDAO安全事件，均涉及对跨链验证系统的操控。安全研究人员指出，多签名要求、独立的RPC节点审计以及实时行为监控是最直接的缓解措施。

据估计，在国际制裁限制下的朝鲜经济中，该国从这些行动中获取了相当大比例的硬通货，部分分析认为加密货币盗窃所得约占其国内生产总值（GDP）的13%。据信，被盗资金不仅用于支持该国的核武器和弹道导弹计划，还用于其他国家职能。