4月18日(土)、Kelp DAO quietly bled 116,500 rsETH を運営するクロスチェーンブリッジから、静かに流出が始まった。月曜日までに、LayerZero had a name for the attackers。目新しい名前ではなかった。
北朝鮮の Lazarus Group(ラザルス・グループ) は、暗号資産の世界ではもはや単なるハッカー集団の呼称ではない。国家支援のサイバー作戦がデジタル資産を戦略的な資金調達チャネルへと変えつつあり、業界最大級の侵害はもはや単発のバグではなく、長期サイクルの作戦上の敗北として浮かび上がっていることを示す、最も明白な証拠になっている。
- LayerZeroは、2026年4月18日に発生したKelp DAOの約2億9,200万ドル相当のEther (eth) デリバティブトークン流出について、北朝鮮ラザルス・グループとその下部組織TraderTraitorによる攻撃だと attribut(帰属)した。
- Chainalysisは、2025年にDPRK(北朝鮮)関連のアクターが暗号資産を20.2億ドル盗み、累計被害額は67.5億ドルに達したと指摘している。
- このパターンは、業界の支配的なセキュリティ脅威が、単発のスマートコントラクトバグではなく、国家支援による「作戦行動としての戦争」であることを示唆している。
Kelp攻撃と、なぜ「誰がやったか」が重要なのか
LayerZeroは、4月20日に公開した事後分析で、Kelp DAOからの資金流出を国家アクターによるものと明言した。そこでは「2026年最大のDeFi流出事件」であり、「高度に洗練された国家アクター、おそらくDPRKのLazarus Group、より具体的にはTraderTraitorによるもの」と警告している。
ここで使われた手口はスマートコントラクトのバグではなかった。攻撃者は、LayerZeroのDecentralized Verifier Networkで用いられていた2つのRPC(リモートプロシージャコール)ノードを侵害し、クリーンなノードに対してDDoS(サービス拒否)攻撃を仕掛けることで、汚染されたノードへフェイルオーバーさせた。
その結果、Kelpのいわゆる「1-of-1」検証者構成は、不正なクロスチェーンメッセージにお墨付きを与える形となり、ブリッジは攻撃者に116,500 rsETHを引き渡してしまった。
Kelpは約46分後、緊急マルチシグを通じて コアコントラクトを一時停止し、さらに1億ドル規模の追撃的な流出を2回にわたって阻止した。
KelpはLayerZeroの説明に公然と異議を唱え、単一検証者構成は、明確な助言に反したものではなく、LayerZero自身のドキュメント上のデフォルト設定に沿ったものだと主張した。
誰の仕業かという「帰属」が、この事件を「パッチを当てて前に進む」類の出来事から、まったく別の物語へと変えてしまう。バグなら修正が誘発される。国家アクターなら、恒久的な敵対者の存在が前提になる。
Also Read: Why Aave Is Trending Again And What The $577M Daily Volume Means For DeFi
ラザルスとは何者なのか
FBIは2025年2月26日に出したBybit窃盗事件に関するアドバイザリで、TraderTraitorクラスターを北朝鮮の国家サイバー機構の一部として位置付け、15億ドル相当の仮想資産強奪の直接の実行主体として名指しした。
2022年のロイター報道とそれ以前から繰り返されてきた米財務省の制裁は、Lazarus、Bluenoroff、Andarielが、平壌の主要な軍事情報機関である偵察総局に結び付けられていることを示していた。
その内部では、APT38、Hidden Cobra、Diamond Sleet、Jade Sleet、Slow Pisces、TraderTraitorといった回転する別名群が追跡されているが、しばしば人員やインフラを共有している。
暗号資産にとって、その帰結はきわめてわかりやすい。
「ラザルス」による侵害と帰属されたとき、それは地下室のティーンエイジャーでも、単独の外部請負人でもない。予算と任務を与えられ、時間軸を週ではなく年単位で捉える国家部隊だ。
それは「信頼に足る防御」とみなされる水準を変えてしまう。また、マネーロンダリングの連鎖の末端で、最終的に誰が利益を得るのかも変えてしまう。
Also Read: NSA Runs Anthropic's Mythos AI Despite Pentagon's Supply-Chain Risk Label
ソニーからスマートコントラクトへ
ラザルスの出発点は暗号資産ではない。2014年のSony Picturesに対するワイパー攻撃、2016年のバングラデシュ中央銀行SWIFT窃盗、2017年のWannaCryといった事件で、その存在を世界に知らしめた。
その後、暗号資産に急速に乗り出していった。
韓国国家情報院は2022年12月、北朝鮮のハッカーが過去5年間で推計12億ドル相当の仮想資産を盗んだとAP通信に語った。
国連の専門家パネルの報告書は、2017年から2023年の間に約30億ドル規模の価値を持つDPRKによると疑われる58件のサイバー攻撃があり、それが平壌の大量破壊兵器プログラムに資金を供給していると明らかにした。
Chainalysisの最新データでは、累計額はさらに膨らんでいる。DPRK関連の暗号資産窃盗はこれまでに67.5億ドルが特定され、そのうち20.2億ドルが2025年単年の被害だ。
重要なのは軌道だ。年を追うごとに件数は減っているが、1件あたりの規模は拡大している。業界が豊かになるにつれて標的は大きくなり、ラザルスもそれに歩調を合わせてスケールしてきた。
Also Read: Bitcoin ETF Demand Fuels $1.4B Weekly Inflow, Second-Best Since January
ラザルス関連の最大級の強奪
米財務省は、2022年3月のRonin Bridge流出で使われたウォレットアドレスを制裁リストに追記し、約6億2,500万ドルの損失をDPRKアクターに帰属させた。
規模を示す短いリストだけでも次のとおりだ。
- Ronin Network(2022年3月):Axie Infinity のサイドチェーンブリッジから約6億2,500万ドルが流出し、数週間後に米財務省OFACがラザルスの犯行と認定。
- Harmony Horizon(2022年6月):約1億ドルが盗まれ、2023年1月にFBIがラザルスおよびAPT38の犯行と正式に帰属。
- WazirX(2024年7月):インドの取引所から約2億3,500万ドルがマルチシグ侵害を通じて流出し、DPRK関連アクターの犯行と広くみなされている。
そして「突破」の年がやってきた。
DMM Bitcoinは2024年5月、4,502.9 Bitcoin (btc)(当時約3億800万ドル相当)を失った。FBI、米国防総省、日本の警察庁は12月、この事件がTraderTraitorと関連していると確認し、リクルーター風の誘いを使ってウォレットソフトウェアベンダーを侵害し、最終的に出金処理をすり替えたと説明した。
2025年2月のBybit事件が、そのピークだった。
攻撃者は、通常のコールドウォレット移転の際にサインインターフェースを偽装し、約40万ETH(約15億ドル相当)を未知のアドレスにリダイレクトさせた。
Chainalysisは、2025年に業界全体で盗まれた34億ドルのうち、この単独事件が15億ドルを占めるとみている。Kelpの2億9,200万ドルは、最新の章であって最大の見出しではない。派手さを必要としなくなった成熟した作戦がどのような姿をしているかを示している。
Also Read: Strategy Buys $2.5B In Bitcoin, Its Biggest Haul In 16 Months
ラザルスのプレイブックは変わった
FBIと日本側は、DMM Bitcoinに関する共同アドバイザリの中で、新しいラザルスのテンプレートを詳述した。フィッシング集団としての古いラザルス像はもはや当てはまらない。
ハッカーはLinkedInのリクルーターを装った。偽の採用前テストを通じて、ウォレットソフトウェアベンダーGincoのエンジニア個人のGitHubに悪意あるPythonスクリプトを仕込み、盗んだセッションクッキーでGincoの社内チャットにアクセスした。数週間後、正規のDMMトランザクション要求が、送信途中で密かに書き換えられた。
Bybitでは、Safe{Wallet}が、マルウェアで改変された署名アプリケーションが表向きの送金先アドレスは正しく表示しつつ、その裏でスマートコントラクトロジックを書き換えていたと認めた。Kelpでは、LayerZeroによれば、攻撃者は検証者が信用していたRPCノード上のバイナリを差し替え、使用後に自己破壊してローカルログを消去するよう仕込んでいたという。
共通するのは、もはや「コードそのもの」が主な脆弱性ではないという点だ。人、ベンダー、ビルドパイプライン、インフラホストこそが狙われている。
Chainalysisは並行するチャネルとして、DPRK工作員が偽の身元で暗号資産企業にリモートITワーカーとして入り込み、ときにはUpworkやFreelancer経由で共犯者を調達してスケールさせている事例も指摘している。
Also Read: Bitget Unveils Project Ulysses, Offers $3M Interest-Free Credit To 50 Institutional Clients
なぜラザルスは暗号資産に執着するのか
北朝鮮の動機はイデオロギーではなく、生き残りのための経済だ。
APと国連の報告は一貫して、暗号資産窃盗を制裁下経済における代替的な収入源であり、弾道ミサイルや核開発プログラムへの直接的な資金供給手段として描写している。
APが引用した米当局者はさらに踏み込み、サイバー犯罪が北朝鮮の外貨獲得のほぼ半分を占めるとの推計も示している。
暗号資産は、そのミッションにとってほぼ理想的な標的だ。取引は数日ではなく数分で最終確定し、差し戻しを行うコルレス銀行など存在しない。流動性は厚く、疑似匿名性は安価で、クロスチェーンのレールは、どの執行機関よりも早く価値を移動させる。
Yahoo Financeは、LayerZeroによるKelp攻撃のタイムラインを引用しつつ、攻撃者が流出後に約7万4,000 ETHを集約し、攻撃の約10時間前にTornado Cash経由でウォレットに事前入金していたと指摘した。
伝統的な銀行強盗とブリッジ攻撃を天秤にかける国家にとっては、ブリッジを狙う方がはるかに分がいいのである。 every time.
Also Read: One Company Now Owns 4% Of All Ethereum, Bitmine Adds 101,627 ETH In A Week
オンチェーン調査員が実際に付け加えたもの
Arkham は、2025年2月21日のバウンティ投稿において、匿名のオンチェーン調査員 ZachXBT がテストトランザクション、関連ウォレット、タイミング分析を通じて Bybit のハックとラザルスを結びつける「決定的な証拠」を示したとして功績を認めた。
その5日後、FBI がパブリック・サービス・アナウンスメントで正式に北朝鮮の関与を名指しし、TraderTraitor のタグを用いるとともにウォレットのブロックリストを公開した。
この順番には意味がある。ZachXBT のようなオンチェーン調査員は、これまでもたびたび、大規模な侵害をラザルス関連のウォレットやマネーロンダリングパターンにつなげて公に指摘する最初の存在となっており、ときには公式な確認より先行している。
彼らは「真実の中核的な情報源」ではない。彼らは、連邦機関が証拠能力の高いプロセスをゆっくり進めているあいだに、取引所レベルの対応を加速させるための、早期の公開アトリビューション層を担っている。
この役割分担は新しいものだ。同時に、それは負荷を支える構造でもある。いったん盗まれた資金がチェーンをまたいで跳ね回り始めれば、残る問いは「どれだけ早くアドレスがフラグされるか」だけだからだ。
Also Read: RaveDAO Jumps 62% In A Day, But Volume Now Exceeds Its Entire Market Cap
なぜ業界は依然としてこの戦いに敗れるのか
多くの暗号資産セキュリティ論争はいまだにコード監査を中心に展開している。ラザルスは監査など気にしない。
実際に重要なのはオペレーション面の攻撃面だ。そこには、サードパーティの署名ツール、ウォレットベンダー、ノードインフラ、リクルーターのパイプライン、ビルドシステム、そして特権アクセスを持つ少数の人間が含まれる。過去2年のラザルス関連とされる侵害では、そのどれもが少なくとも一度は実際に攻撃経路として使われている。
Chainalysis は報告のなかで、第二の構造的な問題として、資金洗浄のサイクルが、おおむね45日間・三段階のパターンに洗練されている点を指摘している。盗難資金はミキサー、クロスチェーンブリッジ、中国語圏の OTC ネットワークを経由し、監視に引っかからないよう、しばしば50万ドル未満のチャンクに分割されて動かされる。
業界の対応はいまだ断片的だ。取引所ごとにブラックリスト化のスピードは異なる。ある DeFi プロトコルは一時停止し、別のプロトコルはそうしない。
インシデント後の Dune 分析では、アクティブな LayerZero OApp の 47% が、なお 1-of-1 の DVN 構成で動いていたことが判明した。
防御側は毎週勝たなければならない。ラザルスは四半期に一度勝てばよい。
Also Read: LayerZero, Aave, Monad All Sliding: What's Driving The DeFi Pullback Tonight
Kelp が示す次のフェーズ
Kelp から導かれる不都合な結論は、Bybit の件を経てもなお、コードセキュリティとオペレーショナルセキュリティのあいだに大きなギャップが残っているということだ。
Bybit は、2,000億ドル規模のバランスシートを背後に抱えた署名インターフェースの侵害だった。Kelp は、中規模のリキッド・リステーキング・プロトコルに対するインフラ層の侵害だった。
同じアクタークラスター、異なる攻撃ベクトル、そして DPRK オペレーターに関連付けられた、約2億8,500万ドルのDrift Protocol 流出からわずか18日後の出来事だ。
重要なのはこのテンポだ。ラザルスは、DeFi チームが依存関係を強化するスピードよりも速くプレイブックを更新しており、ひとつ成功するたびに、次の採用・ツール整備・長期戦のための資金が賄われる。
The Hacker News は、DPRK 関連アクターが 2025 年に世界全体で盗まれた暗号資産の 59% を占めたと報じており、この敵対勢力がセクター損失の中心的存在となっていることを浮き彫りにしている。
単一バリデータ構成、監査されていないノードオペレーター、共通のウォレットソフトウェアといったコンフィグ選択は、もはや軽微なリスク項目ではない。相手が国家である世界において、それらは「本丸」そのものだ。
Also Read: C1 Fund Books 150% Return On Ripple Investment In Less Than Four Months
結論
ラザルスは、暗号資産における最大のセキュリティ失敗が、いまや地政学・金融・インフラの三つを同時に内包していることを示す証左である。
Ronin、Harmony、WazirX、DMM Bitcoin、Bybit、そして Kelp は、無関係な事故の羅列ではない。制裁下にある政府が、国家レベルの持続的な敵対行為を過小評価し続ける業界に対して仕掛けているキャンペーンを形づくっている。
次の Kelp は、すでにどこかで計画されている。問われているのは、業界がそれを単なるバグレポートとして扱うのか、それとも最前線として認識するのかだ。
Read Next: Crypto Futures Wipeout: $197M Liquidated As BTC Climbs Above $76K
FAQ
Kelp DAO ハックでは何が起きたのか?
2026年4月18日、攻撃者は Kelp DAO が運営するクロスチェーンブリッジから 116,500 rsETH(約2億9,200万ドル相当)を流出させた。このエクスプロイトはスマートコントラクトのバグを狙ったものではない。攻撃者は LayerZero の Decentralized Verifier Network が利用していた 2 つの RPC ノードを侵害し、その後フェイルオーバーを強制して、汚染されたノードに不正なクロスチェーンメッセージを承認させた。Kelp の緊急マルチシグは 46 分後にコアコントラクトを一時停止し、さらに合計 1 億ドル規模の 2 回の追撃ドレイン試行を阻止した。
ラザルス・グループとは何者か?
ラザルスは北朝鮮の国家関与が疑われるサイバーアクターに対する総称であり、米財務省と FBI によって、平壌の主要な軍事情報機関である偵察総局(Reconnaissance General Bureau)との関係が指摘されている。アナリストは、TraderTraitor、APT38、Bluenoroff、Andariel、Hidden Cobra、Diamond Sleet、Jade Sleet、Slow Pisces など、同じ傘の下にある複数のサブクラスターや別名を追跡している。これらのクラスターはしばしばインフラや人員を共有している。
なぜ LayerZero は Kelp エクスプロイトをラザルスの仕業としたのか?
LayerZero の事後分析は、攻撃者の手口とウォレットの挙動が、国家アクター、なかでもラザルスの TraderTraitor サブユニット特有のものだと指摘した。攻撃約10時間前に Tornape Cash を通じてプレファンドしていたこと、侵害したインフラ上で自己消滅型バイナリを用いていたこと、流出後に約 74,000 ETH を集約したことなどは、DPRK 関連の過去のエクスプロイトで記録されているパターンと一致する。
北朝鮮は合計でどれくらいの暗号資産を盗んだのか?
Chainalysis は、DPRK 関連の暗号資産窃取額をこれまでに 67.5 億ドルと特定している。そのうち 20.2 億ドルは 2025 年だけで盗まれており、同年に世界で盗まれた暗号資産全体の約 59% を占めた。韓国国家情報院の以前の報告では、2022年までの5年間の合計は約12億ドルとされ、また国連専門家パネルは、2017年から2023年のあいだに実施された DPRK 関連が疑われるサイバー攻撃 58 件(総額約30億ドル)を調査した。
TraderTraitor とは何か?
TraderTraitor は、暗号資産業界を主な標的とするラザルスのサブクラスターである。その代表的な手口は、LinkedIn 上での偽のリクルーター連絡、マルウェア入りの事前テスト、ウォレットソフトウェアベンダーや署名インフラの侵害などを通じた、技術スタッフへのソーシャルエンジニアリングだ。FBI、国防総省、日本の警察庁は、3億800万ドル規模の DMM Bitcoin 流出において TraderTraitor を公式に名指しし、その後 FBI は 15 億ドル規模の Bybit ハックの実行主体としても同クラスターを再度名指しした。
ラザルス関連で最大の暗号資産ハックは何か?
公的にアトリビュートされている主なインシデントには、2022年3月の Ronin Network(約6億2,500万ドル)、2022年6月の Harmony Horizon(約1億ドル)、2024年7月の WazirX(約2億3,500万ドル)、2024年5月の DMM Bitcoin(約3億800万ドル)、2025年2月の Bybit(約15億ドル)、そして 2026年4月の Kelp DAO(約2億9,200万ドル)が含まれる。
ラザルスはどのように盗んだ暗号資産を洗浄するのか?
Chainalysis は、おおむね 45 日間・三段階の洗浄サイクルに洗練されていると説明している。盗難資金はミキサー、クロスチェーンブリッジ、中国語圏の OTC ネットワークを経由し、しばしば 50 万ドル未満のトランシェに分割されて動かされる。目的は、資金がキャッシュアウト先に到達する前に、取引所のブロックリストやオンチェーン分析の追跡を振り切ることだ。
なぜ北朝鮮は暗号資産を標的にするのか?
暗号資産の窃取は、国際的な制裁で孤立した北朝鮮経済にとっての制裁回避型収入源であり、弾道ミサイルおよび核開発計画への直接的な資金供給源でもあると、国連専門家パネルの報告や AP が引用した米当局者は述べている。米国の推計では、サイバー犯罪が北朝鮮の外貨収入のほぼ半分を占めるに至っている。暗号資産のレールが任務に適しているのは、トランザクションが数分で最終確定し、コルレス銀行によって差し戻されることがないためだ。
ZachXBT とは誰で、どのような役割を果たしたのか?
ZachXBT は匿名のオンチェーン調査員であり、その公開アトリビューション作業は、しばしば政府による正式な確認に先行してきた。Bybit のケースでは、Arkham が 2025 年 2 月 21 日のバウンティ投稿で、エクスプロイトをラザルスに結びつけるトランザクション分析を行った功績を彼に帰し、それから 5 日後に FBI が正式に北朝鮮の関与を名指しした。ZachXBT のようなオンチェーン調査員は、連邦捜査官の代替ではなく、取引所レベルの対応を加速するための、より迅速な早期アトリビューション層を構成している。
暗号資産業界はラザルスを止められるのか?
コード監査だけでは不可能だ。重要な攻撃面はオペレーションであり、サードパーティの署名ツール、ウォレットベンダー、ノードインフラ、リクルーターのパイプライン、ビルドシステムなどを含む。Kelp インシデント後の Dune 分析では、アクティブな LayerZero OApp の 47% が、Kelp エクスプロイトを可能にしたのと同じ 1-of-1 バリファイア構成で稼働していることが判明した。このレイヤーを、ベンダー、インフラホスト、人間のアクセス全体にわたって強化することこそが、防御側の改善余地が集中している領域だ。
Kelp DAO は今、安全に利用できるのか?
Kelp はその緊急マルチシグを通じてコアコントラクトを一時停止し…multisig within 46 minutes of detection, which blocked two additional drain attempts. ユーザーはアクティビティを再開する前に、Kelp および LayerZero の公式インシデントチャネルを確認し、現在のコントラクトの状態、いかなるリカバリーまたは償還プログラム、そして更新された検証者設定を必ず確認する必要があります。
Lazarus と TraderTraitor の違いは何ですか?
Lazarus は包括的な(傘のような)存在です。TraderTraitor はその中の特化したサブクラスターで、暗号資産業界のターゲットに焦点を当てており、エンジニアやウォレットソフトウェアベンダーに対するソーシャルエンジニアリングで知られています。FBI が特定の攻撃を TraderTraitor によるものと公式に属性付けする場合、それは単により広い国家関連のエコシステムではなく、「運用部隊(オペレーショナルユニット)」そのものを名指ししていることを意味します。