Pada Sabtu, 18 Apr, sebuah cross-chain bridge yang dijalankan oleh Kelp DAO quietly bled 116,500 rsETH. Pada Senin, LayerZero had a name for the attackers. Bukan nama baru.
Lazarus Group Korea Utara bukan lagi sekadar label peretas di kripto. Ini adalah bukti paling jelas bahwa operasi siber yang didukung negara telah mengubah aset digital menjadi saluran pendanaan strategis, di mana pembobolan terbesar industri kini tampak kurang seperti bug terisolasi dan lebih seperti kekalahan operasional jangka panjang.
- LayerZero mengatribusikan eksploitasi Kelp DAO 18 Apr 2026, senilai sekitar $292 juta dalam token turunan Ether (eth), kepada Lazarus Group Korea Utara dan subunit TraderTraitor.
- Chainalysis menyebut aktor terkait DPRK mencuri $2,02 miliar kripto selama 2025, mengangkat total kumulatif mereka menjadi $6,75 miliar.
- Polanya menunjukkan perang operasional yang didukung negara, bukan bug smart contract terisolasi, sebagai ancaman keamanan dominan sektor ini.
Serangan Kelp, dan mengapa atribusi penting
LayerZero pinned pengurasan Kelp DAO pada aktor negara dalam post-mortem 20 Apr. Pernyataan itu menyebutnya eksploit DeFi terbesar 2026 dan menandai “aktor negara yang sangat canggih, kemungkinan Lazarus Group DPRK, lebih tepatnya TraderTraitor.”
Mekanismenya bukan bug smart contract. Penyerang mengompromikan dua node remote procedure call yang digunakan Jaringan Verifier Terdesentralisasi LayerZero, lalu menjalankan serangan denial-of-service pada node bersih untuk memaksa failover ke node yang sudah diracun.
Itu membuat pengaturan verifier 1-of-1 Kelp secara efektif melegitimasi pesan lintas-rantai palsu, dan bridge melepaskan 116.500 rsETH kepada penyerang.
Kelp paused kontrak inti melalui emergency multisig sekitar 46 menit kemudian, memblokir dua upaya pengurasan lanjutan senilai sekitar $100 juta lagi.
Kelp secara terbuka membantah framing LayerZero, dengan mengatakan konfigurasi single-verifier mencerminkan default terdokumentasi LayerZero sendiri, bukan pembangkangan terhadap saran eksplisit.
Atribusi adalah hal yang mengubah ini dari insiden “tutup bug dan lanjut” menjadi sesuatu yang lain. Bug mengundang perbaikan. Aktor negara mengundang musuh permanen.
Also Read: Why Aave Is Trending Again And What The $577M Daily Volume Means For DeFi
Siapa sebenarnya Lazarus
FBI placed klaster TraderTraitor di dalam aparatus siber negara Korea Utara dalam imbauan 26 Feb 2025 tentang pencurian Bybit, menamainya sebagai operator langsung perampokan aset virtual senilai $1,5 miliar.
Laporan Reuters tahun 2022 dan sanksi berulang Departemen Keuangan AS sebelumnya tied Lazarus, Bluenoroff, dan Andariel dengan Reconnaissance General Bureau, badan intelijen militer utama Pyongyang.
Di dalam struktur itu, analis melacak serangkaian alias yang berputar, APT38, Hidden Cobra, Diamond Sleet, Jade Sleet, Slow Pisces, TraderTraitor, yang sering berbagi personel dan infrastruktur.
Konsekuensinya bagi kripto sangat lugas.
Saat sebuah pelanggaran diatribusikan ke “Lazarus”, itu bukan remaja di ruang bawah tanah, dan jarang kontraktor tunggal. Itu adalah unit negara dengan anggaran, mandat, dan horizon kesabaran yang diukur dalam tahun, bukan minggu.
Itu mengubah apa yang dianggap sebagai pertahanan kredibel. Itu juga mengubah siapa yang pada akhirnya diuntungkan di ujung rantai pencucian.
Also Read: NSA Runs Anthropic's Mythos AI Despite Pentagon's Supply-Chain Risk Label
Dari Sony ke smart contract
Lazarus tidak memulai di kripto. Mereka mengumumkan diri dengan serangan wiper Sony Pictures 2014, lalu perampokan SWIFT Bank Bangladesh 2016, lalu WannaCry pada 2017.
Kripto datang berikutnya, dan dengan cepat.
Dinas Intelijen Nasional Korea Selatan told Associated Press pada Desember 2022 bahwa peretas Korea Utara telah mencuri sekitar $1,2 miliar aset virtual selama lima tahun.
Laporan Panel Ahli PBB revealed 58 dugaan serangan siber DPRK antara 2017 dan 2023, senilai sekitar $3 miliar dan memberi makan program senjata pemusnah massal Pyongyang.
Angka terbaru Chainalysis mendorong garis kumulatif itu lebih tinggi: $6,75 miliar pencurian kripto terkait DPRK yang teridentifikasi hingga saat ini, dengan $2,02 miliar diambil hanya pada 2025.
Trajektonya adalah ceritanya. Setiap tahun membawa lebih sedikit insiden tetapi yang lebih besar. Industri makin kaya, target makin besar, dan Lazarus berkembang seiring.
Also Read: Bitcoin ETF Demand Fuels $1.4B Weekly Inflow, Second-Best Since January
Perampokan terbesar yang terkait Lazarus
Departemen Keuangan AS updated sanksi Lazarus dengan alamat dompet yang terkait pengurasan Ronin Bridge Maret 2022, menyematkan sekitar $625 juta kerugian pada aktor DPRK.
Daftar singkat berikut menangkap skalanya:
- Ronin Network, Mar 2022: sekitar $625 juta dikuras dari bridge sidechain Axie Infinity, diatribusikan ke Lazarus oleh OFAC Departemen Keuangan AS beberapa minggu kemudian.
- Harmony Horizon, Jun 2022: sekitar $100 juta dicuri, secara resmi disematkan pada Lazarus dan APT38 oleh FBI pada Jan 2023.
- WazirX, Jul 2024: sekitar $235 juta diambil dari bursa India dalam kompromi multisig yang banyak dikaitkan dengan aktor terkait DPRK.
Lalu datang tahun terobosan.
DMM Bitcoin kehilangan 4.502,9 Bitcoin (btc), senilai sekitar $308 juta saat itu, pada Mei 2024. FBI, Departemen Pertahanan, dan Badan Kepolisian Nasional Jepang confirmed kaitan TraderTraitor pada Desember, menggambarkan umpan bertema perekrut yang mengompromikan vendor perangkat lunak wallet dan berakhir dengan penarikan yang dimanipulasi.
Bybit, pada Feb 2025, adalah puncaknya.
Seorang penyerang menutupi antarmuka penandatanganan selama transfer cold wallet rutin dan mengalihkan sekitar 400.000 Ether, senilai sekitar $1,5 miliar, ke alamat yang tidak diketahui.
Chainalysis kini menempatkan insiden tunggal itu sebagai $1,5 miliar dari $3,4 miliar yang dicuri di seluruh industri pada 2025. Kelp, di $292 juta, adalah bab terbaru, bukan yang paling berisik. Inilah rupa operasi matang saat sudah tidak membutuhkan sensasi.
Also Read: Strategy Buys $2.5B In Bitcoin, Its Biggest Haul In 16 Months
Buku permainan Lazarus telah bergeser
FBI dan Jepang detailed template baru Lazarus dalam imbauan bersama DMM Bitcoin. Gambaran lama Lazarus sebagai toko phishing sudah usang.
Seorang peretas menyamar sebagai perekrut LinkedIn. Tes pra-kerja palsu menanam skrip Python berbahaya di GitHub pribadi seorang engineer di Ginco, vendor perangkat lunak wallet. Cookie sesi yang dicuri membuka obrolan internal Ginco, dan beberapa minggu kemudian permintaan transaksi DMM yang sah diam-diam ditulis ulang saat berjalan.
Di Bybit, Safe{Wallet} confirmed bahwa aplikasi penandatanganan yang dimodifikasi malware menampilkan tujuan yang benar sambil mengubah logika smart contract di bawahnya. Di Kelp, LayerZero mengatakan penyerang menukar biner pada node RPC yang dipercaya verifier, direkayasa untuk menghancurkan diri dan menghapus log lokal setelah digunakan.
Benang merahnya adalah bahwa kode jarang menjadi kerentanannya. Manusia, vendor, pipeline build dan host infrastruktur lah yang menjadi titik lemah.
Chainalysis juga menandai saluran paralel: operator DPRK menyusup ke perusahaan kripto sebagai pekerja TI jarak jauh dengan identitas palsu, kadang menggunakan kolaborator dari Upwork dan Freelancer untuk skala.
Also Read: Bitget Unveils Project Ulysses, Offers $3M Interest-Free Credit To 50 Institutional Clients
Mengapa Lazarus terus kembali ke kripto
Motif Korea Utara adalah kelangsungan ekonomi, bukan ideologi.
Laporan AP dan PBB secara konsisten describe pencurian kripto sebagai pengganti sumber pendapatan bagi ekonomi yang disanksi dan sebagai pendanaan langsung untuk program rudal balistik dan nuklir.
Pejabat AS yang dikutip AP melangkah lebih jauh, memperkirakan kejahatan siber kini menyumbang hampir separuh pendapatan valuta asing Korea Utara.
Kripto kebetulan menjadi target hampir sempurna untuk misi itu. Transaksi diselesaikan dengan finalitas dalam hitungan menit, bukan hari, sehingga tidak ada bank koresponden yang dapat membaliknya. Likuiditas dalam, pseudonimitas murah, dan jalur lintas rantai memindahkan nilai lebih cepat daripada badan penegak mana pun bisa membekukannya.
Yahoo Finance noted, mengutip lini masa LayerZero sendiri pada Kelp, bahwa penyerang mengonsolidasikan sekitar 74.000 Ether setelah pengurasan dan telah mem- prefund dompet melalui Tornado Cash sekitar sepuluh jam sebelum menyerang.
Bagi pemerintah yang menimbang perampokan bank versus perampokan bridge, bridge-lah yang menang. every time.
Also Read: One Company Now Owns 4% Of All Ethereum, Bitmine Adds 101,627 ETH In A Week
Apa yang sebenarnya ditambahkan para investigator onchain
Arkham mengakui pelacak pseudonim ZachXBT dengan “bukti definitif” yang mengaitkan eksploitasi Bybit ke Lazarus melalui transaksi uji, dompet yang terhubung, dan analisis waktu, dalam postingan bounty 21 Feb 2025.
Lima hari kemudian, pengumuman layanan publik FBI secara resmi menyebut Korea Utara, menggunakan label TraderTraitor dan menerbitkan daftar blokir dompet.
Urutannya penting. Pelacak onchain seperti ZachXBT sering kali menjadi pihak pertama yang secara publik menghubungkan pelanggaran besar ke dompet dan pola pencucian terkait Lazarus, terkadang mendahului konfirmasi resmi.
Mereka bukan sumber kebenaran utama. Mereka adalah lapisan atribusi publik awal yang mempercepat respons di tingkat bursa sementara lembaga federal menjalankan proses yang lebih lambat namun memenuhi standar pembuktian.
Pembagian kerja itu adalah hal baru. Dan juga bersifat penopang, karena begitu dana curian mulai melompat lintas rantai, satu‑satunya pertanyaan adalah seberapa cepat alamat‑alamat itu diberi tanda.
Also Read: RaveDAO Jumps 62% In A Day, But Volume Now Exceeds Its Entire Market Cap
Mengapa industri masih kalah dalam pertarungan ini
Sebagian besar perdebatan keamanan kripto masih berpusat pada audit kode. Lazarus tidak peduli dengan audit.
Permukaan serangan yang benar‑benar penting adalah operasional. Ini mencakup alat penandatanganan pihak ketiga, vendor wallet, infrastruktur node, jalur perekrutan, sistem build, dan segelintir manusia dengan akses istimewa. Setiap elemen tersebut pernah aktif dalam setidaknya satu pelanggaran yang terkait Lazarus dalam dua tahun terakhir.
Chainalysis melaporkan masalah struktural kedua, di mana siklus pencucian telah disempurnakan menjadi pola tiga gelombang sekitar 45 hari yang mendorong dana curian melalui mixer, jembatan lintas rantai, dan jaringan OTC berbahasa Mandarin, memindahkan tranche dalam potongan yang sering dijaga di bawah $500.000 untuk menghindari pemantauan.
Tanggapan industri tetap terfragmentasi. Bursa memasukkan ke daftar hitam dengan kecepatan berbeda. Beberapa protokol DeFi berhenti sejenak, yang lain tidak.
Analisis Dune setelah insiden tersebut menemukan bahwa 47% OApp LayerZero aktif masih menjalankan pengaturan DVN 1‑dari‑1.
Pihak bertahan harus menang setiap minggu. Lazarus hanya perlu menang sekali dalam satu kuartal.
Also Read: LayerZero, Aave, Monad All Sliding: What's Driving The DeFi Pullback Tonight
Apa yang disinyalkan Kelp tentang fase berikutnya
Pelajaran tidak nyaman dari Kelp adalah bahwa bahkan setelah Bybit, jurang antara keamanan kode dan keamanan operasional masih lebar.
Bybit adalah kompromi antarmuka penandatanganan dengan neraca senilai $20 miliar di belakangnya. Kelp adalah kompromi di lapisan infrastruktur terhadap protokol liquid restaking berukuran menengah.
Kluster aktor yang sama, vektor serangan berbeda, delapan belas hari setelah Drift Protocol drain sekitar $285 juta yang juga dikaitkan dengan operator DPRK.
Irama itu adalah intinya. Lazarus mengiterasikan buku permainannya lebih cepat daripada tim DeFi memperkeras dependensi mereka, dan setiap pukulan yang berhasil mendanai putaran berikutnya dari perekrutan, peralatan, dan kesabaran.
The Hacker News melaporkan bahwa aktor terkait DPRK menyumbang 59% dari seluruh kripto yang dicuri secara global pada 2025, yang menegaskan betapa sentralnya musuh ini terhadap kerugian sektor.
Pilihan konfigurasi seperti pengaturan verifikator tunggal, operator node yang tidak diaudit, dan perangkat lunak wallet bersama bukan lagi item risiko kecil. Di dunia di mana lawannya adalah sebuah negara, itulah acara utamanya.
Also Read: C1 Fund Books 150% Return On Ripple Investment In Less Than Four Months
Penutup
Lazarus adalah bukti bahwa kegagalan keamanan terbesar kripto kini bersifat geopolitik, finansial, dan infrastruktur secara bersamaan.
Ronin, Harmony, WazirX, DMM Bitcoin, Bybit, dan sekarang Kelp bukanlah daftar kecelakaan yang tidak saling berkaitan. Mereka membentuk sebuah kampanye, yang dijalankan oleh pemerintah terkena sanksi terhadap industri yang masih meremehkan seperti apa wujud musuh negara‑bangsa yang gigih.
Kelp berikutnya sudah dalam tahap perencanaan. Pertanyaannya adalah apakah industri akan memperlakukannya sebagai laporan bug atau sebagai garis depan.
Read Next: Crypto Futures Wipeout: $197M Liquidated As BTC Climbs Above $76K
FAQ
Apa yang terjadi dalam peretasan Kelp DAO?
Pada 18 Apr 2026, penyerang menguras 116.500 rsETH, senilai sekitar $292 juta, dari jembatan lintas rantai yang dioperasikan Kelp DAO. Eksploitasi tersebut tidak menargetkan bug smart contract. Sebaliknya, penyerang mengompromikan dua node remote procedure call yang digunakan oleh Decentralized Verifier Network milik LayerZero, lalu memaksa failover sehingga node yang telah diracuni mengesahkan pesan lintas rantai palsu. Multisig darurat Kelp menghentikan kontrak inti 46 menit kemudian, memblokir dua upaya drain lanjutan senilai total tambahan $100 juta.
Siapa Lazarus Group?
Lazarus adalah label payung bagi aktor siber yang terkait negara Korea Utara, yang oleh Departemen Keuangan AS dan FBI dihubungkan dengan Reconnaissance General Bureau, badan intelijen militer utama Pyongyang. Analis melacak beberapa subkluster dan alias di bawah payung yang sama, termasuk TraderTraitor, APT38, Bluenoroff, Andariel, Hidden Cobra, Diamond Sleet, Jade Sleet, dan Slow Pisces. Kluster‑kluster ini sering berbagi infrastruktur dan personel.
Mengapa LayerZero mengaitkan eksploitasi Kelp dengan Lazarus?
Post‑mortem LayerZero menyoroti teknik serangan dan perilaku dompet pelaku sebagai ciri khas aktor negara, khususnya subunit TraderTraitor dari Lazarus. Pendanaan awal melalui Tornape Cash sekitar sepuluh jam sebelum serangan, penggunaan binary yang menghancurkan diri sendiri pada infrastruktur yang dikompromikan, dan konsolidasi pasca‑drain sekitar 74.000 Ether semuanya cocok dengan pola yang terdokumentasi dalam eksploitasi terkait DPRK sebelumnya.
Berapa banyak kripto yang telah dicuri Korea Utara secara total?
Chainalysis mengidentifikasi $6,75 miliar pencurian kripto yang terkait DPRK hingga saat ini. Dari jumlah itu, $2,02 miliar dicuri hanya pada 2025, yang mewakili sekitar 59% dari seluruh kripto yang dicuri secara global tahun itu. Pelaporan sebelumnya oleh Badan Intelijen Nasional Korea Selatan menempatkan total lima tahun hingga 2022 pada perkiraan $1,2 miliar, sementara Panel Ahli PBB menyelidiki 58 dugaan serangan siber DPRK antara 2017 dan 2023 senilai sekitar $3 miliar.
Apa itu TraderTraitor?
TraderTraitor adalah subkluster Lazarus yang berspesialisasi pada target industri kripto. Gerakan khasnya adalah rekayasa sosial terhadap staf teknis, sering melalui tawaran perekrut palsu di LinkedIn, tes pra‑kerja yang disisipi malware, dan kompromi terhadap vendor perangkat lunak wallet atau infrastruktur penandatanganan. FBI, Departemen Pertahanan, dan Badan Kepolisian Nasional Jepang secara resmi menyebut TraderTraitor dalam pencurian DMM Bitcoin senilai $308 juta, dan FBI kemudian kembali menamainya sebagai operator perampokan Bybit senilai $1,5 miliar.
Apa saja peretasan kripto terbesar yang terkait Lazarus?
Insiden terbesar yang secara publik diatribusikan meliputi Ronin Network pada Mar 2022 sekitar $625 juta, Harmony Horizon pada Jun 2022 sekitar $100 juta, WazirX pada Jul 2024 sekitar $235 juta, DMM Bitcoin pada Mei 2024 sekitar $308 juta, Bybit pada Feb 2025 sekitar $1,5 miliar, dan Kelp DAO pada Apr 2026 sekitar $292 juta.
Bagaimana Lazarus mencuci kripto curian?
Chainalysis menggambarkan siklus pencucian tiga gelombang sekitar 45 hari yang telah disempurnakan. Dana curian bergerak melalui mixer, jembatan lintas rantai, dan jaringan OTC berbahasa Mandarin, sering dibagi menjadi tranche yang dijaga di bawah $500.000 untuk menghindari ambang pemantauan. Tujuannya adalah mengalahkan daftar blokir bursa dan analitik onchain sebelum dana mencapai tempat pencairan.
Mengapa Korea Utara menargetkan kripto?
Pencurian kripto berfungsi sebagai aliran pendapatan penghindaran sanksi bagi ekonomi Korea Utara yang terisolasi dan sebagai pendanaan langsung untuk program rudal balistik dan nuklirnya, menurut laporan Panel Ahli PBB dan pejabat AS yang dikutip AP. Perkiraan AS menunjukkan kejahatan siber kini menyumbang hampir setengah dari perolehan mata uang asing Korea Utara. Rel kripto cocok dengan misi tersebut karena transaksi diselesaikan secara final dalam hitungan menit dan tidak dapat dibatalkan oleh bank koresponden.
Siapa ZachXBT dan apa perannya?
ZachXBT adalah investigator onchain pseudonim yang pekerjaan atribusi publiknya berulang kali mendahului konfirmasi resmi pemerintah. Dalam kasus Bybit, posting bounty Arkham 21 Feb 2025 mengakui dia atas analisis pengaitan transaksi yang menghubungkan eksploitasi tersebut ke Lazarus, lima hari sebelum FBI secara resmi menyebut Korea Utara. Pelacak onchain seperti ZachXBT membentuk lapisan atribusi publik awal, bukan pengganti investigator federal, tetapi lapisan yang lebih cepat untuk respons di tingkat bursa.
Bisakah industri kripto menghentikan Lazarus?
Tidak dengan audit kode saja. Permukaan serangan yang penting adalah operasional, termasuk alat penandatanganan pihak ketiga, vendor wallet, infrastruktur node, jalur perekrutan, dan sistem build. Analisis Dune setelah insiden Kelp menemukan bahwa 47% OApp LayerZero aktif masih menjalankan pengaturan verifikator 1‑dari‑1, yang merupakan konfigurasi persis yang memungkinkan eksploitasi Kelp. Memperkeras lapisan itu, di seluruh vendor, host infrastruktur, dan akses manusia, adalah tempat keuntungan defensif kini terkonsentrasi.
Apakah Kelp DAO sekarang aman digunakan?
Kelp menghentikan kontrak inti melalui mekanisme daruratnyamultisig dalam 46 menit setelah deteksi, yang memblokir dua upaya drain tambahan. Pengguna harus memeriksa kanal insiden resmi Kelp dan LayerZero untuk status kontrak saat ini, program pemulihan atau penggantian apa pun, serta konfigurasi verifier yang diperbarui sebelum melanjutkan aktivitas.
Apa perbedaan antara Lazarus dan TraderTraitor?
Lazarus adalah payung besarnya. TraderTraitor adalah subklaster khusus di dalam payung itu, yang berfokus pada target industri kripto dan dikenal karena rekayasa sosial terhadap para insinyur dan vendor perangkat lunak dompet. Ketika FBI mengaitkan sebuah serangan secara spesifik dengan TraderTraitor, mereka sedang menyebut unit operasionalnya, bukan hanya ekosistem yang lebih luas yang terkait dengan negara.