W sobotę 18 kwietnia cross‑chain bridge obsługiwany przez Kelp DAO quietly bled 116,500 rsETH. Do poniedziałku LayerZero had a name for the attackers. Nie nową.
Grupa Lazarus z Korei Północnej nie jest już w krypto tylko etykietką „hakerów”. To najdobitniejszy dowód, że wspierane przez państwo operacje cybernetyczne zamieniły aktywa cyfrowe w strategiczny kanał finansowania, w którym największe włamania w branży coraz mniej przypominają pojedyncze błędy, a coraz bardziej długotrwałe porażki operacyjne.
- LayerZero przypisuje atak na Kelp DAO z 18 kwietnia 2026 r., warty ok. 292 mln USD w tokenach pochodnych Etheru (eth), grupie Lazarus z Korei Północnej i jej podjednostce TraderTraitor.
- Chainalysis podaje, że podmioty powiązane z KRLD ukradły 2,02 mld USD w krypto w 2025 r., podnosząc ich łączny łup do 6,75 mld USD.
- Wzorzec wskazuje na wspierane przez państwo działania operacyjne zamiast odosobnionych błędów smart‑kontraktów jako dominujące zagrożenie bezpieczeństwa w sektorze.
Atak na Kelp i dlaczego atrybucja ma znaczenie
LayerZero pinned zrzuciło winę za drenaż Kelp DAO na aktora państwowego w swoim raporcie po incydencie z 20 kwietnia. Oświadczenie nazwało go największym exploitem DeFi 2026 r. i wskazało na „wysoce zaawansowanego aktora państwowego, najprawdopodobniej grupę Lazarus z KRLD, dokładniej TraderTraitor”.
Mechanizm ataku nie był błędem smart‑kontraktu. Atakujący przejęli dwa węzły remote procedure call używane przez Decentralized Verifier Network LayerZero, a następnie przeprowadzili atak odmowy usługi na zdrowe węzły, by wymusić przełączenie na te skompromitowane.
To pozostawiło tzw. konfigurację weryfikatora 1‑z‑1 Kelp, która bezrefleksyjnie podstemplowała fałszywą wiadomość cross‑chain, a bridge wydał 116 500 rsETH atakującemu.
Kelp paused wstrzymał kluczowe kontrakty za pomocą awaryjnego multisiga ok. 46 minut później, blokując dwie kolejne próby drenażu na kolejne 100 mln USD.
Kelp publicznie zakwestionował narrację LayerZero, twierdząc, że konfiguracja pojedynczego weryfikatora odzwierciedlała udokumentowaną domyślną konfigurację LayerZero, a nie sprzeciw wobec wyraźnych zaleceń.
To atrybucja sprawia, że nie jest to tylko incydent typu „napraw i idź dalej”, ale coś innego. Błąd zaprasza poprawkę. Aktor państwowy zaprasza stałego przeciwnika.
Also Read: Why Aave Is Trending Again And What The $577M Daily Volume Means For DeFi
Kim Lazarus jest naprawdę
FBI placed ulokowało klaster TraderTraitor w państwowym aparacie cybernetycznym Korei Północnej w swoim komunikacie z 26 lutego 2025 r. na temat kradzieży z Bybit, wskazując go jako bezpośredniego wykonawcę wirtualno‑walutowego skoku na 1,5 mld USD.
Doniesienia Reutersa z 2022 r. i powtarzające się sankcje amerykańskiego Departamentu Skarbu tied łączyły Lazarus, Bluenoroff i Andariel z Biurem Rozpoznania, główną agencją wywiadu wojskowego Pjongjangu.
W tej strukturze analitycy śledzą rotującą listę aliasów: APT38, Hidden Cobra, Diamond Sleet, Jade Sleet, Slow Pisces, TraderTraitor, które często dzielą personel i infrastrukturę.
Konsekwencja dla świata krypto jest brutalnie prosta.
Gdy włamanie zostaje przypisane „Lazarusowi”, nie chodzi o nastolatka w piwnicy ani zwykle o samotnego kontraktora. To jednostka państwowa z budżetem, mandatem i horyzontem czasowym liczonym w latach, a nie tygodniach.
To zmienia, co można uznać za wiarygodną obronę. Zmienia też to, kto ostatecznie korzysta na końcu łańcucha prania.
Also Read: NSA Runs Anthropic's Mythos AI Despite Pentagon's Supply-Chain Risk Label
Od Sony do smart‑kontraktów
Lazarus nie zaczynał w krypto. Zaznaczył swoją obecność w 2014 r. destruktorem danych w Sony Pictures, potem skokiem na Bank Bangladeszu z użyciem SWIFT w 2016 r., a w 2017 r. kampanią WannaCry.
Krypto przyszło później – i szybko.
Narodowa Służba Wywiadu Korei Południowej told przekazała Associated Press w grudniu 2022 r., że północnokoreańscy hakerzy ukradli szacunkowo 1,2 mld USD w wirtualnych aktywach w ciągu pięciu lat.
Raport Panelu Ekspertów ONZ revealed ujawnił 58 podejrzewanych cyberataków KRLD w latach 2017–2023, wartych ok. 3 mld USD i zasilających programy broni masowego rażenia Pjongjangu.
Chainalysis's latest figures push that cumulative line higher: $6.75 billion in DPRK-linked crypto theft identified to date, with $2.02 billion taken in 2025 alone.
Trajektoria jest tu całą opowieścią. Każdy rok przynosi mniej incydentów, ale większych. Branża się wzbogaciła, cele urosły, a Lazarus skalował się razem z nimi.
Also Read: Bitcoin ETF Demand Fuels $1.4B Weekly Inflow, Second-Best Since January
Największe skoki powiązane z Lazarem
Departament Skarbu USA updated zaktualizował sankcje wobec Lazarusa o adresy portfeli powiązane z drenażem Ronin Bridge z marca 2022 r., przypisując podmiotom z KRLD ok. 625 mln USD strat.
Krótka lista pokazuje skalę:
- Ronin Network, marzec 2022: ok. 625 mln USD wyprowadzonych z bridge’a sidechainu Axie Infinity, przypisane Lazarusowi przez OFAC Departamentu Skarbu kilka tygodni później.
- Harmony Horizon, czerwiec 2022: ok. 100 mln USD skradzionych, formalnie przypisane Lazarusowi i APT38 przez FBI w styczniu 2023 r.
- WazirX, lipiec 2024: ok. 235 mln USD wyprowadzonych z indyjnej giełdy w wyniku kompromitacji multisiga, szeroko przypisywane aktorom powiązanym z KRLD.
Potem przyszedł przełomowy rok.
DMM Bitcoin stracił 4 502,9 Bitcoin (btc), wartych ok. 308 mln USD w momencie ataku, w maju 2024 r. FBI, Departament Obrony i Japońska Agencja Policji Narodowej confirmed potwierdziły powiązanie z TraderTraitor w grudniu, opisując przynętę w formie rekrutera, która doprowadziła do kompromitacji dostawcy oprogramowania portfela i zakończyła się zmanipulowaną wypłatą.
Bybit, in Feb. 2025, was the peak.
Atakujący zamaskowali interfejs podpisywania podczas rutynowego transferu z cold‑walletu i przekierowali ok. 400 000 Etheru, warte ok. 1,5 mld USD, na nieznany adres.
Chainalysis umieszcza teraz ten pojedynczy incydent na poziomie 1,5 mld USD z 3,4 mld USD skradzionych w całej branży w 2025 r. Kelp, z 292 mln USD, to kolejny rozdział, nie najgłośniejszy. Tak wygląda dojrzała operacja, która przestała potrzebować fajerwerków.
Also Read: Strategy Buys $2.5B In Bitcoin, Its Biggest Haul In 16 Months
Playbook Lazarusa się zmienił
FBI i Japonia detailed opisały nowy schemat działania Lazarusa we wspólnym komunikacie dotyczącym DMM Bitcoin. Stary obraz Lazarusa jako fabryki phishingu jest już nieaktualny.
Haker podszył się pod rekrutera z LinkedIna. Fałszywy test przedzatrudnieniowy zainstalował złośliwy skrypt Pythona na osobistym GitHubie inżyniera z Ginco, dostawcy oprogramowania portfeli. Skradzione ciasteczka sesyjne otworzyły dostęp do wewnętrznego czatu Ginco, a kilka tygodni później legalne żądanie transakcji w DMM zostało po cichu przepisane w locie.
W Bybit Safe{Wallet} confirmed, że zmodyfikowane przez malware aplikacje do podpisywania wyświetlały poprawny adres docelowy, jednocześnie zmieniając logikę smart‑kontraktu pod spodem. W Kelp, jak twierdzi LayerZero, atakujący podmienili binaria na samych węzłach RPC, którym ufał weryfikator, zaprojektowane tak, by po użyciu samoczynnie się usuwały i czyściły lokalne logi.
Wspólnym mianownikiem jest to, że rzadko to kod jest podatnością. Są nią ludzie, dostawcy, pipeline’y budowania oprogramowania i hosty infrastruktury.
Chainalysis wskazuje też równoległy kanał: operacje KRLD polegające na wnikaniu do firm krypto jako zdalni pracownicy IT pod fałszywymi tożsamościami, czasem z wykorzystaniem współpracowników pozyskiwanych przez Upwork i Freelancera, by skalować działania.
Also Read: Bitget Unveils Project Ulysses, Offers $3M Interest-Free Credit To 50 Institutional Clients
Dlaczego Lazarus wciąż wraca do krypto
Motyw Korei Północnej to przetrwanie ekonomiczne, nie ideologia.
Doniesienia AP i ONZ konsekwentnie describe opisują kradzieże krypto jako zastępczy strumień dochodów dla gospodarki objętej sankcjami oraz jako bezpośrednie finansowanie programów rakiet balistycznych i nuklearnych.
Amerykańscy urzędnicy cytowani przez AP idą dalej, szacując, że cyberprzestępczość odpowiada dziś za blisko połowę wpływów walut obcych Korei Północnej.
Krypto jest niemal idealnym celem dla takiej misji. Transakcje rozliczają się definitywnie w minuty, a nie dni, więc nie ma banku korespondenta, który mógłby je odwrócić. Płynność jest głęboka, pseudonimowość tania, a cross‑chainowe kanały przenoszą wartość szybciej, niż jakikolwiek organ ścigania jest w stanie ją zamrozić.
Yahoo Finance noted, powołując się na oś czasu LayerZero dotyczącą Kelp, że napastnik skonsolidował ok. 74 000 Etheru po drenażu i miał wcześniej zasilone portfele przez Tornado Cash ok. dziesięć godzin przed atakiem.
Dla rządu, który porównuje napad na bank z włamaniem na bridge, bridge wygrywa. zawsze.
Also Read: One Company Now Owns 4% Of All Ethereum, Bitmine Adds 101,627 ETH In A Week
Co tak naprawdę dodali śledczy onchain
Arkham przypisał anonimowemu detektywowi ZachXBT „rozstrzygający dowód” łączący exploit Bybit z Lazarusem poprzez transakcje testowe, powiązane portfele i analizy czasowe, w swoim poście z nagrodą z 21 lutego 2025 r.
Pięć dni później ogłoszenie FBI o charakterze public service announcement formalnie wskazało Koreę Północną, używając etykiety TraderTraitor i publikując listy zablokowanych portfeli.
Kolejność ma znaczenie. Śledczy onchain tacy jak ZachXBT często należą do pierwszych, którzy publicznie łączą duże włamania z portfelami powiązanymi z Lazarusem i schematami prania, czasem przed oficjalnym potwierdzeniem.
Nie są oni podstawowym źródłem prawdy. Stanowią wczesną warstwę publicznej atrybucji, która przyspiesza reakcję giełd, podczas gdy agencje federalne prowadzą wolniejsze, dowodowe procesy.
Ten podział pracy jest nowy. Jest też kluczowy, ponieważ kiedy skradzione środki zaczynają przeskakiwać między łańcuchami, jedynym pytaniem pozostaje, jak szybko adresy zostaną oflagowane.
Also Read: RaveDAO Jumps 62% In A Day, But Volume Now Exceeds Its Entire Market Cap
Dlaczego branża wciąż przegrywa te starcia
Większość debat o bezpieczeństwie w krypto nadal koncentruje się na audytach kodu. Lazarusa audyty nie interesują.
Powierzchnia ataku, która naprawdę ma znaczenie, jest operacyjna. Obejmuje zewnętrzne narzędzia do podpisywania, dostawców portfeli, infrastrukturę node’ów, lejki rekrutacyjne, systemy buildów i garstkę ludzi z uprzywilejowanym dostępem. Każdy z tych elementów wystąpił w co najmniej jednym włamaniu powiązanym z Lazarusem w ciągu ostatnich dwóch lat.
Chainalysis wskazuje na drugi problem strukturalny: cykl prania środków został dopracowany do około 45‑dniowego, trzyfalowego wzorca, który przepycha skradzione fundusze przez mixery, mosty cross-chain i chińskojęzyczne sieci OTC, przesuwając transze w porcjach często poniżej 500 000 USD, aby nie wywoływać alertów monitoringu.
Reakcja branży pozostaje rozproszona. Giełdy dodają do blacklist w różnym tempie. Część protokołów DeFi się zatrzymuje, inne nie.
Analiza Dune po incydencie wykazała, że 47% aktywnych OApps LayerZero nadal działało w konfiguracji 1‑z‑1 DVN.
Obrońca musi wygrywać co tydzień. Lazarus musi wygrać raz na kwartał.
Also Read: LayerZero, Aave, Monad All Sliding: What's Driving The DeFi Pullback Tonight
Co Kelp sygnalizuje o następnej fazie
Niewygodny wniosek z Kelp jest taki, że nawet po Bybit luka między bezpieczeństwem kodu a bezpieczeństwem operacyjnym wciąż jest szeroka.
Bybit było kompromitacją interfejsu podpisywania z bilansem 20 mld USD w tle. Kelp było kompromitacją warstwy infrastruktury wymierzoną w średniej wielkości, płynny protokół restakingu.
Ta sama grupa sprawców, inny wektor ataku, osiemnaście dni po wcześniejszym drenażu Drift Protocol na około 285 mln USD, również powiązanym z operatorem z KRLD.
Ta kadencja jest clou. Lazarus iteruje swój playbook szybciej, niż zespoły DeFi wzmacniają swoje zależności, a każdy udany cios finansuje kolejną rundę rekrutacji, narzędzi i cierpliwości.
The Hacker News podał, że aktorzy powiązani z KRLD odpowiadali za 59% całego skradzionego globalnie krypto w 2025 r., co podkreśla, jak centralnym przeciwnikiem stali się dla strat w sektorze.
Wybory konfiguracyjne takie jak pojedynczy weryfikator, nieaudytowani operatorzy node’ów i współdzielone oprogramowanie portfeli nie są już drobnymi pozycjami ryzyka. W świecie, w którym przeciwnik jest państwem, to główny front.
Also Read: C1 Fund Books 150% Return On Ripple Investment In Less Than Four Months
Zakończenie
Lazarus jest dowodem, że największe porażki bezpieczeństwa w krypto są dziś jednocześnie geopolityczne, finansowe i infrastrukturalne.
Ronin, Harmony, WazirX, DMM Bitcoin, Bybit i teraz Kelp nie tworzą listy przypadkowych incydentów. Tworzą kampanię prowadzoną przez objęty sankcjami rząd przeciwko branży, która wciąż nie docenia, jak wygląda wytrwały przeciwnik na poziomie państwa.
Kolejny „Kelp” jest już planowany. Pytanie brzmi, czy branża potraktuje go jak raport o błędzie, czy jak linię frontu.
Read Next: Crypto Futures Wipeout: $197M Liquidated As BTC Climbs Above $76K
FAQ
Co wydarzyło się w ataku na Kelp DAO?
18 kwietnia 2026 r. napastnicy wyprowadzili 116 500 rsETH o wartości około 292 mln USD z mostu cross-chain obsługiwanego przez Kelp DAO. Exploit nie był wymierzony w błąd smart kontraktu. Zamiast tego atakujący skompromitowali dwa węzły remote procedure call używane przez Decentralized Verifier Network LayerZero, a następnie wymusili failover, aby zatruty węzeł przybił pieczątkę pod fałszywą wiadomością cross-chain. Awaryjny multisig Kelp wstrzymał główne kontrakty 46 minut później, blokując dwie kolejne próby drenażu o łącznej wartości kolejnych 100 mln USD.
Kim jest grupa Lazarus?
Lazarus to parasolowa etykieta dla aktorów cybernetycznych powiązanych z państwem północnokoreańskim, których Departament Skarbu USA i FBI wiążą z Biurem Rozpoznania Generalnego, główną agencją wywiadu wojskowego w Pjongjangu. Analitycy śledzą kilka podklastrów i aliasów pod tym samym parasolem, w tym TraderTraitor, APT38, Bluenoroff, Andariel, Hidden Cobra, Diamond Sleet, Jade Sleet i Slow Pisces. Klastry te często współdzielą infrastrukturę i personel.
Dlaczego LayerZero przypisało exploit na Kelp grupie Lazarus?
Post‑mortem LayerZero wskazał na fachowość ataku i zachowanie portfeli jako znamiona aktora państwowego, konkretnie podjednostki TraderTraitor grupy Lazarus. Prefinansowanie przez Tornape Cash około dziesięć godzin przed atakiem, użycie samozniszczalnych binarek na skompromitowanej infrastrukturze oraz konsolidacja około 74 000 Ether po drenażu wszystkie odpowiadają wzorcom udokumentowanym we wcześniejszych exploitach powiązanych z KRLD.
Ile krypto Korea Północna ukradła łącznie?
Chainalysis identyfikuje łącznie 6,75 mld USD w kradzieżach krypto powiązanych z KRLD. Z tego 2,02 mld USD skradziono tylko w 2025 r., co stanowiło około 59% całego skradzionego globalnie krypto w tym roku. Wcześniejsze doniesienia Narodowej Służby Wywiadu Korei Południowej szacowały pięcioletnią sumę do 2022 r. na około 1,2 mld USD, podczas gdy Panel Ekspertów ONZ badał 58 podejrzewanych cyberataków KRLD z lat 2017–2023 o wartości około 3 mld USD.
Czym jest TraderTraitor?
TraderTraitor to podklaster Lazarusa specjalizujący się w celach z branży krypto. Jego znakiem rozpoznawczym jest socjotechnika wymierzona w personel techniczny, często poprzez fałszywe oferty rekrutacyjne na LinkedIn, złośliwe testy przedzatrudnieniowe oraz kompromitację dostawców oprogramowania portfeli lub infrastruktury podpisywania. FBI, Departament Obrony USA i Japońska Agencja Policji Narodowej formalnie wskazały TraderTraitor w kradzieży 308 mln USD z DMM Bitcoin, a FBI później ponownie nazwało go operatorem kradzieży 1,5 mld USD z Bybit.
Jakie są największe hacki krypto powiązane z Lazarusem?
Do największych publicznie przypisanych incydentów należą: Ronin Network z marca 2022 r. na około 625 mln USD, Harmony Horizon z czerwca 2022 r. na około 100 mln USD, WazirX z lipca 2024 r. na około 235 mln USD, DMM Bitcoin z maja 2024 r. na około 308 mln USD, Bybit z lutego 2025 r. na około 1,5 mld USD oraz Kelp DAO z kwietnia 2026 r. na około 292 mln USD.
Jak Lazarus pierze skradzione krypto?
Chainalysis opisuje dopracowany, około 45‑dniowy, trzyfalowy cykl prania. Skradzione środki przechodzą przez mixery, mosty cross-chain i chińskojęzyczne sieci OTC, często podzielone na transze utrzymywane poniżej 500 000 USD, aby nie przekraczać progów monitoringu. Celem jest wyprzedzenie blacklist giełd i analityki onchain, zanim środki trafią do miejsc wypłaty.
Dlaczego Korea Północna celuje w krypto?
Kradzież krypto pełni funkcję strumienia dochodów omijających sankcje dla odizolowanej gospodarki Pjongjangu oraz bezpośredniego finansowania jego programów rakiet balistycznych i nuklearnych, zgodnie z raportami Panelu Ekspertów ONZ i urzędnikami USA cytowanymi przez AP. Szacunki USA sugerują, że cyberprzestępczość odpowiada obecnie za blisko połowę przychodów Korei Północnej w walutach obcych. Infrastruktura krypto pasuje do tej misji, ponieważ transakcje rozliczają się z finalnością w ciągu minut i nie mogą zostać odwrócone przez bank korespondencki.
Kim jest ZachXBT i jaką rolę odegrał?
ZachXBT to anonimowy śledczy onchain, którego publiczna praca atrybucyjna wielokrotnie wyprzedzała formalne potwierdzenia rządowe. W sprawie Bybit Arkham w poście z nagrodą z 21 lutego 2025 r. przypisał mu analizę powiązań transakcyjnych, która powiązała exploit z Lazarem, pięć dni przed tym, jak FBI formalnie wskazało Koreę Północną. Tacy detektywi onchain jak ZachXBT tworzą wczesną warstwę publicznej atrybucji, nie zastępstwo dla śledczych federalnych, lecz szybsze narzędzie dla reakcji na poziomie giełd.
Czy branża krypto może powstrzymać Lazarusa?
Nie samymi audytami kodu. Powierzchnia ataku, która ma znaczenie, jest operacyjna i obejmuje zewnętrzne narzędzia do podpisywania, dostawców portfeli, infrastrukturę node’ów, lejki rekrutacyjne i systemy buildów. Analiza Dune po incydencie Kelp wykazała, że 47% aktywnych OApps LayerZero nadal działało w konfiguracji pojedynczego weryfikatora, czyli dokładnie tej, która umożliwiła exploit na Kelp. Wzmacnianie tej warstwy – u dostawców, hostów infrastruktury i w dostępie ludzi – to miejsce, w którym dziś koncentrują się realne zyski defensywne.
Czy Kelp DAO jest teraz bezpieczne w użyciu?
Kelp wstrzymał główne kontrakty poprzez swój awaryjnymultisig w ciągu 46 minut od wykrycia, co zablokowało dwie dodatkowe próby drenażu. Użytkownicy powinni sprawdzić oficjalne kanały incydentowe Kelp i LayerZero, aby poznać aktualny status kontraktu, ewentualny program odzyskiwania środków lub rekompensat oraz zaktualizowane konfiguracje weryfikatorów przed wznowieniem aktywności.
Jaka jest różnica między Lazarus a TraderTraitor?
Lazarus to parasolowa nazwa. TraderTraitor to wyspecjalizowany podklaster w obrębie tej grupy, skupiony na celach z branży krypto i znany z socjotechniki wymierzonej w inżynierów oraz dostawców oprogramowania portfeli. Gdy FBI przypisuje atak konkretnie do TraderTraitor, wskazuje jednostkę operacyjną, a nie tylko szerszy ekosystem powiązany z danym państwem.