Op zaterdag 18 april liet een cross‑chain bridge van Kelp DAO quietly bled 116,500 rsETH. Tegen maandag had LayerZero een naam voor de aanvallers. Geen nieuwe.
Noord‑Korea's Lazarus‑groep is in crypto allang meer dan alleen een hackerlabel. Het is het duidelijkste bewijs dat door staten gesteunde cyberoperaties digitale activa hebben veranderd in een strategiekanaal voor financiering, waarbij de grootste inbraken in de sector minder lijken op geïsoleerde bugs en meer op langdurige operationele nederlagen.
- LayerZero schrijft de Kelp DAO‑exploit van 18 april 2026, ter waarde van ongeveer $292 miljoen in Ether (eth)‑derivatentokens, toe aan Noord‑Korea's Lazarus‑groep en de TraderTraitor‑subeenheid.
- Chainalysis zegt dat aan de DPRK gelinkte actoren in 2025 $2,02 miljard aan crypto hebben gestolen, waarmee hun cumulatieve buit uitkomt op $6,75 miljard.
- Het patroon wijst op door staten gesteunde operationele oorlogsvoering in plaats van op geïsoleerde smart‑contractbugs als dominante beveiligingsdreiging voor de sector.
De Kelp‑klap, en waarom attributie ertoe doet
LayerZero schoof in zijn post‑mortem van 20 april de schuld voor de Kelp DAO‑drain af op een staatsactor. De verklaring noemde het de grootste DeFi‑exploit van 2026 en sprak van „een zeer geavanceerde staatsactor, waarschijnlijk de Lazarus‑groep van de DPRK, meer specifiek TraderTraitor.”
Het mechanisme was geen smart‑contractbug. Aanvallers compromitteerden twee remote procedure call‑nodes die werden gebruikt door het Decentralized Verifier Network van LayerZero en voerden vervolgens een denial‑of‑service‑aanval uit op de schone nodes om een failover naar de vergiftigde nodes af te dwingen.
Daardoor bleef Kelps zogenaamde 1‑of‑1‑verifiersetup frauduleuze cross‑chainberichten goedkeuren, en de bridge gaf 116.500 rsETH vrij aan de aanvaller.
Kelp pauzeerde ongeveer 46 minuten later kerncontracten via zijn nood‑multisig, waardoor twee vervolgpogingen tot leegtrekken ter waarde van nog eens $100 miljoen werden geblokkeerd.
Kelp weersprak publiekelijk de lezing van LayerZero en stelde dat de configuratie met één verifier de gedocumenteerde standaard van LayerZero zelf weerspiegelde, en geen afwijking was van expliciet advies.
Attributie verandert dit van een patch‑en‑doorgaan‑incident in iets anders. Een bug nodigt uit tot een fix. Een staatsactor betekent een permanente tegenstander.
Ook interessant: Why Aave Is Trending Again And What The $577M Daily Volume Means For DeFi
Wie Lazarus eigenlijk is
De FBI plaatste de TraderTraitor‑cluster in Noord‑Korea's staatscyberapparaat in haar advies van 26 februari 2025 over de Bybit‑diefstal, en noemde het de directe uitvoerder van een roof van $1,5 miljard aan virtuele activa.
Reuters‑berichtgeving uit 2022 en herhaalde sancties van het Amerikaanse ministerie van Financiën koppelden Lazarus, Bluenoroff en Andariel aan het Reconnaissance General Bureau, Pyongyang's belangrijkste militaire inlichtingendienst.
Binnen die structuur volgen analisten een roterende set aliassen: APT38, Hidden Cobra, Diamond Sleet, Jade Sleet, Slow Pisces, TraderTraitor, die vaak personeel en infrastructuur delen.
De consequentie voor crypto is hard.
Als een inbraak wordt toegeschreven aan „Lazarus”, gaat het niet om een tiener op een zolderkamer, en zelden om een eenzame opdrachtnemer. Het is een staatsunit met een budget, een mandaat en een tijdshorizon in jaren in plaats van weken.
Dat verandert wat als een geloofwaardige verdediging telt. Het verandert ook wie, aan het einde van de witwas‑keten, uiteindelijk profiteert.
Ook interessant: NSA Runs Anthropic's Mythos AI Despite Pentagon's Supply-Chain Risk Label
Van Sony naar smart contracts
Lazarus begon niet in crypto. De groep kondigde zich aan met de Sony Pictures‑wiper in 2014, de Bangladesh Bank‑SWIFT‑roof in 2016 en daarna WannaCry in 2017.
Crypto kwam daarna, en snel.
De National Intelligence Service van Zuid‑Korea vertelde AP in december 2022 dat Noord‑Koreaanse hackers in vijf jaar tijd naar schatting $1,2 miljard aan virtuele activa hadden gestolen.
Een rapport van een VN‑Panel van Experts onthulde 58 vermoedelijke DPRK‑cyberaanvallen tussen 2017 en 2023, ter waarde van ongeveer $3 miljard en voedend naar de massavernietigingswapenprogramma's van Pyongyang.
De nieuwste cijfers van Chainalysis duwen die cumulatieve lijn hoger: $6,75 miljard aan geïdentificeerde DPRK‑gerelateerde cryptodiefstal tot nu toe, waarvan $2,02 miljard alleen al in 2025.
De lijn is het verhaal. Elk jaar zijn er minder incidenten, maar wel grotere. De sector werd rijker, de doelen groter, en Lazarus schaalt mee.
Ook interessant: Bitcoin ETF Demand Fuels $1.4B Weekly Inflow, Second-Best Since January
De grootste aan Lazarus gelinkte heists
Het ministerie van Financiën werkte zijn Lazarus‑sancties bij met wallet‑adressen die zijn gelinkt aan de Ronin Bridge‑drain van maart 2022, en schreef ongeveer $625 miljoen aan verliezen toe aan DPRK‑actoren.
Een korte lijst illustreert de schaal:
- Ronin Network, maart 2022: ongeveer $625 miljoen leeggetrokken van de Axie Infinity‑sidechainbridge, weken later toegeschreven aan Lazarus door OFAC van het Amerikaanse ministerie van Financiën.
- Harmony Horizon, juni 2022: ongeveer $100 miljoen gestolen, formeel toegeschreven aan Lazarus en APT38 door de FBI in januari 2023.
- WazirX, juli 2024: ongeveer $235 miljoen buitgemaakt bij de Indiase beurs in een multisig‑compromis dat breed wordt toegeschreven aan DPRK‑gelinkte actoren.
Daarna volgde het doorbraakjaar.
DMM Bitcoin verloor in mei 2024 4.502,9 Bitcoin (btc), destijds ongeveer $308 miljoen waard. De FBI, het ministerie van Defensie en de Japanse Nationale Politie bevestigden in december de link met TraderTraitor, en beschreven een recruiter‑thema‑lokmiddel dat een wallet‑softwareleverancier compromitteerde en eindigde in een gemanipuleerde opname.
Bybit, in februari 2025, was het hoogtepunt.
Een aanvaller maskeerde de sign‑interface tijdens een routinematige cold‑wallettransfer en leidde ongeveer 400.000 Ether, ruwweg $1,5 miljard, om naar een onbekend adres.
Chainalysis schat nu dat dit ene incident $1,5 miljard van de $3,4 miljard vertegenwoordigt die sectorbreed in 2025 is gestolen. Kelp, met $292 miljoen, is de nieuwste episode, niet de luidste. Het is hoe een volwassen operatie eruitziet wanneer spektakel niet meer nodig is.
Ook interessant: Strategy Buys $2.5B In Bitcoin, Its Biggest Haul In 16 Months
Het Lazarus‑draaiboek is verschoven
De FBI en Japan lichtten het nieuwe Lazarus‑sjabloon toe in hun gezamenlijke DMM Bitcoin‑advies. Het oude beeld van Lazarus als phishingshop is achterhaald.
Een hacker deed zich voor als LinkedIn‑recruiter. Een nep‑pre‑employmenttest plantte een kwaadaardig Python‑script op de persoonlijke GitHub van een engineer bij Ginco, een wallet‑softwareleverancier. Gestolen sessiecookies openden de interne chat van Ginco, en weken later werd een legitiem DMM‑transactieverzoek onopvallend tijdens de overdracht herschreven.
Bij Bybit bevestigde Safe{Wallet} dat met malware gemodificeerde sign‑applicaties het juiste bestemmingadres toonden, terwijl onderliggend de smart‑contractlogica werd aangepast. Bij Kelp zegt LayerZero dat aanvallers binaries vervingen op de RPC‑nodes die door een verifier werden vertrouwd, ontworpen om zichzelf na gebruik te vernietigen en lokale logs te wissen.
De rode draad is dat de code zelden de kwetsbaarheid is. Het zijn de mensen, de leveranciers, de build‑pipelines en de infrastructuurhosts.
Chainalysis heeft ook een parallel kanaal gesignaleerd: DPRK‑operatives die zich onder valse identiteiten laten inhuren als remote IT‑werknemers bij cryptobedrijven, soms opgeschaald via freelancers van platforms als Upwork en Freelancer.
Ook interessant: Bitget Unveils Project Ulysses, Offers $3M Interest-Free Credit To 50 Institutional Clients
Waarom Lazarus steeds terugkomt naar crypto
De drijfveer van Noord‑Korea is economisch overleven, niet ideologie.
AP‑ en VN‑rapportages beschrijven cryptodiefstal consequent als vervangingsinkomen voor een gesanctioneerde economie en als directe financiering van ballistische raket‑ en nucleaire programma's.
Door AP geciteerde Amerikaanse functionarissen gaan nog verder en schatten dat cybercriminaliteit nu bijna de helft van de buitenlandse‑deviezeninkomsten van Noord‑Korea uitmaakt.
Crypto is voor die missie een bijna perfect doelwit. Transacties worden in minuten, niet dagen, finaal, dus er is geen correspondentbank om ze terug te draaien. De liquiditeit is diep, pseudonimiteit is goedkoop, en cross‑chainrails verplaatsen waarde sneller dan handhavingsinstanties deze kunnen bevriezen.
Yahoo Finance merkte op, onder verwijzing naar LayerZero's eigen tijdlijn rond Kelp, dat de aanvaller ongeveer 74.000 Ether consolideerde na de drain en wallets al zo’n tien uur vóór de aanval had geprefund via Tornado Cash.
Voor een regering die een bankroof afweegt tegen een bridgeroof, wint de bridge. elke keer.
Also Read: One Company Now Owns 4% Of All Ethereum, Bitmine Adds 101,627 ETH In A Week
Wat de onchain-onderzoekers daadwerkelijk toevoegden
Arkham crediteerde de pseudonieme speurneus ZachXBT met “afdoend bewijs” dat de Bybit‑exploit via testtransacties, gekoppelde wallets en timinganalyses aan Lazarus linkte, in zijn bounty‑post van 21 februari 2025.
Vijf dagen later noemde de publieke waarschuwing van de FBI Noord‑Korea formeel, gebruikte het TraderTraitor‑label en publiceerde het wallet‑blocklists.
De volgorde doet ertoe. Onchain‑speurneuzen zoals ZachXBT behoren vaak tot de eersten die grote inbreuken publiekelijk koppelen aan met Lazarus verbonden wallets en witwaspatronen, soms nog vóór officiële bevestiging.
Zij zijn niet de kernbron van waarheid. Ze vormen een vroege publieke attributielaag die de reactie op beurzniveau versnelt, terwijl federale instanties trager, bewijswaardige processen draaien.
Die taakverdeling is nieuw. Ze is ook cruciaal, want zodra gestolen fondsen over ketens beginnen te stuiteren, is de enige vraag hoe snel adressen worden gemarkeerd.
Also Read: RaveDAO Jumps 62% In A Day, But Volume Now Exceeds Its Entire Market Cap
Waarom de sector deze gevechten nog steeds verliest
De meeste discussies over crypto‑beveiliging draaien nog steeds om code‑audits. Lazarus geeft niets om audits.
Het aanvalsoppervlak dat er werkelijk toe doet, is operationeel. Het omvat tools van derden voor ondertekening, wallet‑leveranciers, node‑infrastructuur, wervingskanalen, build‑systemen en een handvol mensen met bevoorrechte toegang. Elk daarvan speelde een rol in minstens één met Lazarus verbonden inbreuk in de afgelopen twee jaar.
Chainalysis meldt een tweede structureel probleem: de witwascyclus is verfijnd tot een patroon van circa 45 dagen in drie golven, waarin gestolen fondsen via mixers, cross‑chain‑bruggen en Chineestalige OTC‑netwerken worden geduwd, in tranches die vaak onder de $500.000 blijven om monitoringsdrempels niet te activeren.
De reactie van de sector blijft gefragmenteerd. Beurzen zetten op verschillende snelheden op zwarte lijsten. Sommige DeFi‑protocollen pauzeren, andere niet.
Een Dune‑analyse na het incident concludeerde dat 47% van de actieve LayerZero‑OApps nog steeds 1‑op‑1‑DVN‑opstellingen draaiden.
De verdediger moet elke week winnen. Lazarus hoeft maar één keer per kwartaal te winnen.
Also Read: LayerZero, Aave, Monad All Sliding: What's Driving The DeFi Pullback Tonight
Wat Kelp signaleert over de volgende fase
De ongemakkelijke conclusie uit Kelp is dat zelfs na Bybit de kloof tussen code‑beveiliging en operationele beveiliging nog steeds groot is.
Bybit was een compromis van een ondertekeningsinterface met een balans van $20 miljard erachter. Kelp was een compromis op infrastructuurniveau, gericht op een middelgroot, liquide restaking‑protocol.
Hetzelfde actorencluster, een andere aanvalsvector, achttien dagen na de eerdere Drift Protocol‑leegtrekking van ongeveer $285 miljoen, eveneens gelinkt aan Noord‑Koreaanse (DPRK) operatives.
Dat tempo is de kern. Lazarus iterereert zijn draaiboek sneller dan DeFi‑teams hun afhankelijkheden harden, en elke geslaagde klap financiert de volgende ronde rekrutering, tooling en geduld.
The Hacker News meldde dat met de DPRK verbonden actoren in 2025 verantwoordelijk waren voor 59% van alle wereldwijd gestolen crypto, wat onderstreept hoe centraal deze tegenstander is geworden voor verliezen in de sector.
Configuratiekeuzes zoals enkelvoudige‑verifier‑opstellingen, niet‑geaudite node‑operators en gedeelde wallet‑software zijn niet langer kleine risico‑items. In een wereld waar de tegenstander een staat is, zijn zij de hoofdzaak.
Also Read: C1 Fund Books 150% Return On Ripple Investment In Less Than Four Months
Conclusie
Lazarus is het bewijs dat de grootste beveiligingsfalen in crypto nu tegelijk geopolitiek, financieel en infrastructureel zijn.
Ronin, Harmony, WazirX, DMM Bitcoin, Bybit en nu Kelp vormen geen lijst van losstaande ongelukken. Ze vormen een campagne, gerund door een gesanctioneerde regering tegen een sector die nog steeds onderschat hoe een volhardende tegenpartij op staatsniveau eruitziet.
De volgende Kelp wordt al gepland. De vraag is of de sector die behandelt als een bugreport of als een frontlinie.
Read Next: Crypto Futures Wipeout: $197M Liquidated As BTC Climbs Above $76K
FAQ
Wat gebeurde er bij de hack op Kelp DAO?
Op 18 april 2026 trokken aanvallers 116.500 rsETH, ter waarde van ongeveer $292 miljoen, leeg uit een cross‑chain‑brug beheerd door Kelp DAO. De exploit richtte zich niet op een smart‑contractbug. In plaats daarvan compromitteerden aanvallers twee remote procedure call‑nodes die werden gebruikt door LayerZero’s Decentralized Verifier Network, waarna ze een failover forceerden zodat een vergiftigde node een frauduleus cross‑chain‑bericht blind afstempelde. De nood‑multisig van Kelp pauzeerde 46 minuten later de kerncontracten, waardoor twee vervolgpogingen tot leegtrekken ter waarde van nog eens samen $100 miljoen werden geblokkeerd.
Wie is de Lazarus‑groep?
Lazarus is het paraplulabel voor met de Noord‑Koreaanse staat verbonden cyberactoren, door het Amerikaanse ministerie van Financiën en de FBI gelinkt aan het Reconnaissance General Bureau, Pyongyangs primaire militaire inlichtingendienst. Analisten volgen verschillende subclusters en aliassen onder dezelfde paraplu, waaronder TraderTraitor, APT38, Bluenoroff, Andariel, Hidden Cobra, Diamond Sleet, Jade Sleet en Slow Pisces. Deze clusters delen vaak infrastructuur en personeel.
Waarom schreef LayerZero de Kelp‑exploit toe aan Lazarus?
De post‑mortem van LayerZero wees op de tradecraft en wallet‑gedragingen van de aanvaller als kenmerken van een staatsactor, specifiek de TraderTraitor‑subeenheid van Lazarus. Voorfinanciering via Tornape Cash ongeveer tien uur vóór de aanval, het gebruik van zelfvernietigende binaries op gecompromitteerde infrastructuur en de consolidatie na de leegtrekking van zo’n 74.000 Ether komen allemaal overeen met patronen die in eerdere DPRK‑gekoppelde exploits zijn gedocumenteerd.
Hoeveel crypto heeft Noord‑Korea in totaal gestolen?
Chainalysis identificeert tot nu toe $6,75 miljard aan met de DPRK verbonden cryptodiefstal. Daarvan werd $2,02 miljard alleen al in 2025 gestolen, goed voor ongeveer 59% van alle dat jaar wereldwijd gestolen crypto. Eerdere berichtgeving van de Zuid‑Koreaanse National Intelligence Service schatte het vijfjaartotaal tot en met 2022 op circa $1,2 miljard, terwijl een VN‑Panel van Experts 58 vermoedelijke DPRK‑cyberaanvallen tussen 2017 en 2023 onderzocht ter waarde van rond de $3 miljard.
Wat is TraderTraitor?
TraderTraitor is een Lazarus‑subcluster dat zich specialiseert in doelwitten binnen de crypto‑industrie. De kenmerkende tactiek is social engineering tegen technisch personeel, vaak via nep‑rekruteringspitches op LinkedIn, met malware geïnfecteerde pre‑employment‑tests en compromittering van wallet‑softwareleveranciers of ondertekeningsinfrastructuur. De FBI, het Amerikaanse ministerie van Defensie en de Japanse Nationale Politie identificeerden TraderTraitor formeel in de diefstal van $308 miljoen bij DMM Bitcoin, en de FBI noemde het later opnieuw als de operator van de Bybit‑kraak van $1,5 miljard.
Wat zijn de grootste met Lazarus verbonden cryptohacks?
De grootste publiekelijk toegeschreven incidenten zijn onder meer Ronin Network in maart 2022 met ongeveer $625 miljoen, Harmony Horizon in juni 2022 met ongeveer $100 miljoen, WazirX in juli 2024 met ongeveer $235 miljoen, DMM Bitcoin in mei 2024 met ongeveer $308 miljoen, Bybit in februari 2025 met ongeveer $1,5 miljard en Kelp DAO in april 2026 met ongeveer $292 miljoen.
Hoe wast Lazarus gestolen crypto wit?
Chainalysis beschrijft een verfijnde witwascyclus van ongeveer 45 dagen in drie golven. Gestolen fondsen bewegen via mixers, cross‑chain‑bruggen en Chineestalige OTC‑netwerken, vaak opgesplitst in tranches onder $500.000 om monitoringsdrempels niet te overschrijden. Het doel is zwarte lijsten van beurzen en onchain‑analyse voor te blijven voordat fondsen cash‑out‑kanalen bereiken.
Waarom richt Noord‑Korea zich op crypto?
Cryptodiefstal fungeert als een inkomstenstroom om sancties te omzeilen voor de geïsoleerde economie van Pyongyang en als directe financiering voor zijn ballistische raket‑ en nucleaire programma’s, volgens rapportage van een VN‑Panel van Experts en door AP geciteerde Amerikaanse functionarissen. Amerikaanse schattingen suggereren dat cybercriminaliteit nu goed is voor bijna de helft van Noord‑Korea’s inkomsten in vreemde valuta. Crypto‑rails passen bij die missie omdat transacties binnen minuten met finaliteit worden afgewikkeld en niet kunnen worden teruggedraaid door een correspondentbank.
Wie is ZachXBT en welke rol speelde hij?
ZachXBT is een pseudonieme onchain‑onderzoeker wiens publieke attributiewerk herhaaldelijk voorafging aan formele overheidsbevestiging. In het Bybit‑geval crediteerde Arkham’s bounty‑post van 21 februari 2025 hem met de transactie‑analyse die de exploit aan Lazarus koppelde, vijf dagen voordat de FBI Noord‑Korea formeel noemde. Onchain‑speurneuzen zoals ZachXBT vormen een vroege publieke attributielaag, geen vervanging voor federale onderzoekers, maar wel een snellere laag voor reacties op beurzniveau.
Kan de cryptosector Lazarus stoppen?
Niet met alleen code‑audits. Het aanvalsoppervlak dat ertoe doet is operationeel, inclusief tools van derden voor ondertekening, wallet‑leveranciers, node‑infrastructuur, wervingskanalen en build‑systemen. Een Dune‑analyse na het Kelp‑incident concludeerde dat 47% van de actieve LayerZero‑OApps nog steeds 1‑op‑1‑verifier‑opstellingen draaide, precies de configuratie die de Kelp‑exploit mogelijk maakte. Het harden van die laag, over leveranciers, infrastructuurhosts en menselijke toegang heen, is waar de defensieve winst nu te behalen is.
Is Kelp DAO nu veilig om te gebruiken?
Kelp pauzeerde de kerncontracten via zijn nood‑multisig…multisig binnen 46 minuten na detectie, waarmee twee extra leegtrekpogingen werden geblokkeerd. Gebruikers moeten de officiële incidentkanalen van Kelp en LayerZero raadplegen voor de huidige contractstatus, eventuele herstel- of vergoedingsprogramma’s en bijgewerkte verifierconfiguraties voordat ze hun activiteiten hervatten.
Wat is het verschil tussen Lazarus en TraderTraitor?
Lazarus is de overkoepelende groep. TraderTraitor is een gespecialiseerde subcluster binnen die paraplu, gericht op doelwitten in de crypto-industrie en bekend om social engineering tegen engineers en leveranciers van walletsoftware. Wanneer de FBI een aanval specifiek toeschrijft aan TraderTraitor, benoemt zij de operationele eenheid, niet alleen het bredere, door de staat gelinkte ecosysteem.