В субботу, 18 апреля, кроссчейн-мост под управлением Kelp DAO quietly bled 116,500 rsETH. К понедельнику LayerZero had a name for the attackers. Имя было не новым.
Северокорейская группировка Lazarus Group уже давно перестала быть в криптоиндустрии просто «лейблом хакеров». Это самое наглядное доказательство того, что государственные кибероперации превратили цифровые активы в стратегический канал финансирования, где крупнейшие взломы отрасли всё меньше похожи на разовые баги и всё больше — на долгосрочные операционные поражения.
- LayerZero связывает эксплойт Kelp DAO 18 апреля 2026 года, примерно на $292 млн в деривативах Ether (eth), с Lazarus Group из КНДР и её подразделением TraderTraitor.
- По данным Chainalysis, связанные с КНДР группы украли в 2025 году $2,02 млрд в криптовалюте, доведя совокупный объём до $6,75 млрд.
- Паттерн указывает на государственную «операционную войну», а не на изолированные баги смарт‑контрактов как на доминирующую угрозу безопасности сектора.
Удар по Kelp и почему важна атрибуция
LayerZero pinned слив средств из Kelp DAO на госактора в постмортеме от 20 апреля. В нём это назвали крупнейшим DeFi‑эксплойтом 2026 года и указали на «высококвалифицированного государственного актора, вероятно Lazarus Group КНДР, а конкретнее TraderTraitor».
Механизм атаки не был багом смарт‑контракта. Злоумышленники скомпрометировали два RPC‑узла, использовавшихся Децентрализованной верификационной сетью LayerZero, а затем провели DDoS‑атаку на «чистые» узлы, вынудив систему переключиться на заражённые.
В результате конфигурация Kelp c так называемым 1-of-1‑верификатором фактически «штамповала» мошенническое кроссчейн‑сообщение, и мост выпустил 116 500 rsETH атакующему.
Kelp paused ключевые контракты через аварийный мультисиг примерно через 46 минут, заблокировав две последующие попытки слива ещё примерно на $100 млн.
Kelp публично оспорил формулировки LayerZero, заявив, что конфигурация с одним верификатором отражала задокументированный дефолтный режим LayerZero, а не игнорирование прямых рекомендаций.
Атрибуция превращает инцидент из «нашли баг — залатали — идём дальше» во что‑то иное. Баг предполагает фикс. Государственный актор предполагает постоянного противника.
Also Read: Why Aave Is Trending Again And What The $577M Daily Volume Means For DeFi
Кто на самом деле такие Lazarus
ФБР placed кластер TraderTraitor внутри государственной киберструктуры КНДР в своём уведомлении от 26 февраля 2025 года по взлому Bybit, назвав его прямым исполнителем виртуального хищения на $1,5 млрд.
Расследования Reuters 2022 года и неоднократные санкции Минфина США ранее tied Lazarus, Bluenoroff и Andariel к Разведывательному управлению Корейской народной армии — основному военному разведведомству Пхеньяна.
Внутри этой структуры аналитики отслеживают вращающийся набор алиасов — APT38, Hidden Cobra, Diamond Sleet, Jade Sleet, Slow Pisces, TraderTraitor, — которые нередко разделяют персонал и инфраструктуру.
Последствия для криптоиндустрии предельно просты.
Когда взлом приписывают «Lazarus», это не подросток в подвале и редко одиночный подрядчик. Это государственное подразделение с бюджетом, мандатом и горизонтом планирования, измеряемым годами, а не неделями.
Это меняет критерии того, что можно считать надёжной защитой. И меняет ответ на вопрос, кто в конечном итоге выигрывает в конце отмывочной цепочки.
Also Read: NSA Runs Anthropic's Mythos AI Despite Pentagon's Supply-Chain Risk Label
От Sony к смарт‑контрактам
Lazarus начинали не с крипты. Они заявили о себе вайпером Sony Pictures в 2014‑м, затем взломом SWIFT в Bangladesh Bank в 2016‑м и WannaCry в 2017‑м.
Потом пришла крипта — и очень быстро.
Национальная разведслужба Южной Кореи told Associated Press в декабре 2022 года, что северокорейские хакеры украли около $1,2 млрд виртуальных активов за пять лет.
Доклад группы экспертов ООН revealed 58 предполагаемых кибератак КНДР в 2017–2023 годах примерно на $3 млрд, направленных на финансирование программ ОМУ Пхеньяна.
По последним данным Chainalysis, совокупный объём выше: $6,75 млрд в крипто‑кражах, связанных с КНДР, из них $2,02 млрд украдены только в 2025 году.
Траектория и есть история. С каждым годом инцидентов меньше, а их масштаб больше. Индустрия богатела, цели становились крупнее, и Lazarus масштабировались вместе с ней.
Also Read: Bitcoin ETF Demand Fuels $1.4B Weekly Inflow, Second-Best Since January
Крупнейшие взломы, связанные с Lazarus
Минфин США updated санкционный список Lazarus кошельками, связанными с выводом средств с моста Ronin в марте 2022 года, приписав примерно $625 млн потерь акторам из КНДР.
Краткий список показывает масштаб:
- Ronin Network, март 2022: примерно $625 млн выведено из мост‑сайдчейна Axie Infinity, официально приписано Lazarus OFAC Минфина США через несколько недель.
- Harmony Horizon, июнь 2022: около $100 млн украдено, формально возложено на Lazarus и APT38 ФБР в январе 2023 года.
- WazirX, июль 2024: примерно $235 млн выведено с индийской биржи через компрометацию мультисиг‑кошелька, широко приписанную акторам, связанным с КНДР.
Затем последовал прорывной год.
DMM Bitcoin потеряла 4 502,9 Bitcoin (btc), примерно на $308 млн на тот момент, в мае 2024‑го. ФБР, Минобороны США и Национальное полицейское агентство Японии confirmed связь с TraderTraitor в декабре, описав «рекрутерский» фишинг, который скомпрометировал вендора кошельков и завершился подменённым выводом.
Bybit, в феврале 2025‑го, стал пиком.
Атакующий замаскировал интерфейс подписания во время рутинного перевода из холодного хранилища и перенаправил около 400 000 Ether, примерно на $1,5 млрд, на неизвестный адрес.
По оценке Chainalysis, один этот инцидент дал $1,5 млрд из $3,4 млрд, украденных по индустрии в 2025‑м. Kelp с его $292 млн — это свежая глава, но уже не самая громкая. Так выглядит зрелая операция, когда ей больше не нужен спектакль.
Also Read: Strategy Buys $2.5B In Bitcoin, Its Biggest Haul In 16 Months
Плейбук Lazarus изменился
ФБР и Япония detailed новый шаблон Lazarus в совместном предупреждении по DMM Bitcoin. Прежний образ Lazarus как «фишинговой фабрики» устарел.
Один из хакеров выдал себя за рекрутёра из LinkedIn. Под видом тестового задания он внедрил вредоносный скрипт на Python в личный GitHub инженера Ginco, разработчика кошельков. Похищенные cookie‑сессии открыли доступ к внутреннему чату Ginco, и спустя недели легитимный запрос на транзакцию DMM был тихо переписан на лету.
В Bybit Safe{Wallet} confirmed, что модифицированные вредоносным ПО приложения для подписания показывали корректный адрес назначения, одновременно подменяя логику смарт‑контракта «под капотом». В Kelp, по словам LayerZero, атакующие подменили бинарники прямо на тех RPC‑узлах, которым доверял верификатор, запрограммировав их на самоуничтожение и очистку локальных логов после использования.
Общий знаменатель в том, что уязвимостью всё реже является сам код. Ею становятся люди, подрядчики, сборочные конвейеры и хостинги инфраструктуры.
Chainalysis также отмечает параллельный канал: операторы КНДР устраиваются в криптокомпании как удалённые IT‑сотрудники под фальшивыми личностями, иногда нанимая дополнительных исполнителей через Upwork и Freelancer для масштабирования.
Also Read: Bitget Unveils Project Ulysses, Offers $3M Interest-Free Credit To 50 Institutional Clients
Почему Lazarus снова и снова приходит в крипту
Мотив КНДР — экономическое выживание, а не идеология.
Материалы AP и ООН последовательно describe криптовзломы как замену традиционных источников дохода для экономики под санкциями и как прямое финансирование ракетных и ядерных программ.
Чиновники США, цитируемые AP, идут дальше, оценивая, что киберпреступность даёт сейчас до половины валютной выручки Северной Кореи.
Крипта идеально подходит под такую задачу. Транзакции финализируются за минуты, а не дни, поэтому нет корреспондентского банка, который мог бы их развернуть. Ликвидность глубока, псевдонимность дёшёвая, а кроссчейн‑мосты перемещают стоимость быстрее, чем правоохранители успевают её заморозить.
Yahoo Finance noted, ссылаясь на таймлайн LayerZero по Kelp, что атакующий консолидировал около 74 000 Ether после слива и заранее заfundил кошельки через Tornado Cash примерно за десять часов до удара.
Для правительства, выбирающего между ограблением банка и взломом моста, мост побеждает. каждый раз.
Also Read: One Company Now Owns 4% Of All Ethereum, Bitmine Adds 101,627 ETH In A Week
Что на самом деле добавили ончейн‑исследователи
Arkham заслуженно отметил псевдонимного расследователя ZachXBT, заявив о наличии «окончательного доказательства», связывающего эксплойт Bybit с Lazarus через тестовые транзакции, связанные кошельки и временные корреляции, в баунти‑посте от 21 февраля 2025 года.
Пятью днями позже публичное объявление ФБР официально назвало Северную Корею, использовав тег TraderTraitor и опубликовав блок‑листы кошельков.
Последовательность важна. Ончейн‑сыщики вроде ZachXBT нередко первыми публично связывают крупные взломы с кошельками и схемами отмывания, ассоциированными с Lazarus, иногда раньше официального подтверждения.
Они не являются базовым источником истины. Это ранний публичный слой атрибуции, который ускоряет реакцию бирж, в то время как федеральные агентства идут своим, более медленным, но доказательно устойчивым путём.
Такое разделение ролей — новшество. И оно критично, потому что как только украденные средства начинают прыгать между сетями, единственный вопрос — насколько быстро адреса будут помечены.
Also Read: RaveDAO Jumps 62% In A Day, But Volume Now Exceeds Its Entire Market Cap
Почему индустрия всё ещё проигрывает эти битвы
Большинство дискуссий о безопасности в крипте по‑прежнему крутятся вокруг аудитов кода. Lazarus аудиты не интересуют.
Поверхность атаки, которая реально имеет значение, — операционная. Это сторонние инструменты подписи, поставщики кошельков, нодовая инфраструктура, рекрутинговые воронки, билд‑системы и горстка людей с привилегированным доступом. Каждый из этих элементов фигурировал минимум в одном взломе, связанном с Lazarus, за последние два года.
Chainalysis сообщает о второй структурной проблеме: цикл отмывания был отточен до примерно 45‑дневного, трёхволнового паттерна, в котором украденные средства прогоняются через миксеры, кроссчейн‑мосты и китайскоязычные OTC‑сети, двигаясь траншами, часто менее $500 000 каждый, чтобы не срабатывать на мониторинг.
Реакция индустрии остаётся фрагментированной. Биржи вносят в чёрные списки с разной скоростью. Одни DeFi‑протоколы ставят паузу, другие — нет.
Разбор в Dune после инцидента выяснил, что 47% активных OApp‑ов на LayerZero всё ещё работали в конфигурации 1‑из‑1 DVN.
Защитнику нужно выигрывать каждую неделю. Lazarus достаточно выигрывать раз в квартал.
Also Read: LayerZero, Aave, Monad All Sliding: What's Driving The DeFi Pullback Tonight
Что кейс Kelp говорит о следующей фазе
Неприятный вывод из истории с Kelp в том, что даже после Bybit разрыв между безопасностью кода и операционной безопасностью остаётся огромным.
Bybit пал жертвой компрометации интерфейса подписи при балансе в $20 млрд за спиной. Kelp — компрометации на уровне инфраструктуры против среднекрупного протокола ликвидного рестейкинга.
Тот же кластер акторов, другой вектор атаки, восемнадцать дней спустя после более раннего дрэна Drift Protocol примерно на $285 млн, также связанного с операторами из КНДР.
Важен именно этот темп. Lazarus итеративно дорабатывает плейбук быстрее, чем DeFi‑команды успевают укреплять свои зависимости, и каждый успешный удар финансирует следующий раунд найма, инструментов и выжидательной тактики.
The Hacker News сообщил, что на акторов, связанных с КНДР, пришлось 59% всего похищенного в мире криптоактива в 2025 году, что подчёркивает, насколько центральным стал этот противник для потерь в секторе.
Конфигурационные решения вроде одиночных верификаторов, неаудированных операторов нод и общего кошелёчного софта больше не являются «мелкими рисками». В мире, где противник — государство, это и есть основное поле боя.
Also Read: C1 Fund Books 150% Return On Ripple Investment In Less Than Four Months
Вывод
Lazarus демонстрирует, что крупнейшие провалы безопасности в криптоиндустрии сегодня одновременно геополитические, финансовые и инфраструктурные.
Ronin, Harmony, WazirX, DMM Bitcoin, Bybit и теперь Kelp — это не список несвязанных аварий. Это кампания, которую ведёт находящееся под санкциями государство против индустрии, всё ещё недооценивающей, как выглядит настойчивый противник уровня нации‑государства.
Следующий кейс уровня Kelp уже планируется. Вопрос в том, воспримет ли индустрия его как баг‑репорт или как линию фронта.
Read Next: Crypto Futures Wipeout: $197M Liquidated As BTC Climbs Above $76K
FAQ
Что произошло при взломе Kelp DAO?
18 апреля 2026 года атакующие вывели 116 500 rsETH на сумму около $292 млн из кроссчейн‑моста, управляемого Kelp DAO. Эксплойт не был нацелен на баг в смарт‑контракте. Вместо этого злоумышленники скомпрометировали два узла удалённого вызова процедур (RPC), использовавшихся децентрализованной сетью верификаторов (DVN) LayerZero, затем инициировали резервное переключение (failover), чтобы отравленный узел «заверил» мошенническое кроссчейн‑сообщение. Аварийный мультисиг Kelp поставил на паузу ключевые контракты через 46 минут, заблокировав две последующие попытки дрэна ещё примерно на $100 млн суммарно.
Кто такая группа Lazarus?
Lazarus — зонтичное обозначение киберакторов, связанных с северокорейским государством, которых Минфин США и ФБР связывают с Разведывательным главным управлением — основной военной разведкой Пхеньяна. Аналитики отслеживают несколько подкластеров и алиасов под этим зонтом, включая TraderTraitor, APT38, Bluenoroff, Andariel, Hidden Cobra, Diamond Sleet, Jade Sleet и Slow Pisces. Эти кластеры часто разделяют инфраструктуру и персонал.
Почему LayerZero приписал эксплойт Kelp группе Lazarus?
В постмортеме LayerZero указал, что почерк атаки и поведение кошельков соответствуют государственному актору, а именно субкластеру TraderTraitor в рамках Lazarus. Предварительное финансирование через Tornape Cash примерно за десять часов до атаки, использование самоудаляющихся бинарников на скомпрометированной инфраструктуре и консолидация около 74 000 ETH после дрэна совпадают с паттернами, задокументированными в предыдущих эксплойтах, связанных с КНДР.
Сколько криптовалюты всего украла Северная Корея?
Chainalysis оценивает объём кражи криптоактивов, связываемой с КНДР, в $6,75 млрд. Из них $2,02 млрд были похищены только в 2025 году, что составило примерно 59% всего украденного в мире за тот год. Более ранние данные Национальной разведывательной службы Южной Кореи оценивали пятилетний объём до 2022 года в $1,2 млрд, тогда как Группа экспертов ООН расследовала 58 предполагаемых кибератак КНДР в 2017–2023 годах на сумму около $3 млрд.
Что такое TraderTraitor?
TraderTraitor — подкластер Lazarus, специализирующийся на целях в криптоиндустрии. Его фирменный приём — социальная инженерия против технического персонала: фейковые предложения работы от рекрутеров в LinkedIn, заражённые малварью тестовые задания перед наймом и компрометация вендоров кошельков или инфраструктуры подписи. ФБР, Пентагон и Национальное полицейское агентство Японии официально назвали TraderTraitor организатором кражи $308 млн у DMM Bitcoin, а ФБР позже повторно указало его как оператора взлома Bybit на $1,5 млрд.
Каковы крупнейшие взломы в крипте, связанные с Lazarus?
К числу крупнейших публично атрибутированных инцидентов относятся Ronin Network в марте 2022 года примерно на $625 млн, Harmony Horizon в июне 2022 года около $100 млн, WazirX в июле 2024 года примерно на $235 млн, DMM Bitcoin в мае 2024 года около $308 млн, Bybit в феврале 2025 года примерно на $1,5 млрд и Kelp DAO в апреле 2026 года около $292 млн.
Как Lazarus отмывает украденную криптовалюту?
Chainalysis описывает отточенный примерно 45‑дневный, трёхволновый цикл отмывания. Украденные средства проходят через миксеры, кроссчейн‑мосты и китайскоязычные OTC‑сети, часто дробясь на транши менее $500 000, чтобы не пересекать пороги мониторинга. Цель — опередить биржевые блок‑листы и ончейн‑аналитику до того, как средства попадут на площадки кэшаута.
Почему Северная Корея нацеливается на крипту?
Кража криптоактивов служит для Пхеньяна каналом обхода санкций и прямым источником финансирования его баллистической и ядерной программ, согласно отчётам Группы экспертов ООН и заявлениям американских чиновников, цитируемых AP. По оценкам США, киберпреступность сейчас обеспечивает до половины валютной выручки Северной Кореи. Криптовалютные рельсы удобны для этой миссии, поскольку транзакции окончательно подтверждаются за минуты и не могут быть откачены обратно корреспондентским банком.
Кто такой ZachXBT и какую роль он сыграл?
ZachXBT — псевдонимный ончейн‑расследователь, чьи публичные атрибуции неоднократно предвосхищали формальные подтверждения со стороны госорганов. В кейсе Bybit баунти‑пост Arkham от 21 февраля 2025 года приписал ему анализ связности транзакций, который связал эксплойт с Lazarus за пять дней до того, как ФБР официально назвало Северную Корею. Ончейн‑сыщики вроде ZachXBT формируют ранний публичный слой атрибуции: не замену федеральным следователям, но более быстрый инструмент реакции для бирж.
Может ли криптоиндустрия остановить Lazarus?
Не одними аудитами кода. Существенная поверхность атаки — операционная, включая сторонние инструменты подписи, вендоров кошельков, нодовую инфраструктуру, рекрутинговые пайплайны и билд‑системы. Анализ Dune после инцидента с Kelp показал, что 47% активных OApp‑ов в LayerZero всё ещё работали с конфигурацией верификатора 1‑из‑1 — ровно той, которая позволила реализовать эксплойт Kelp. Укрепление этого слоя — через вендоров, хостинг инфраструктуры и управление человеческим доступом — и есть точка концентрации защитных усилий.
Безопасно ли сейчас пользоваться Kelp DAO?
Kelp поставил на паузу ключевые контракты через свой аварийный мультисиг…multisig в течение 46 минут после обнаружения, что заблокировало две дополнительные попытки вывода средств. Пользователям следует проверить официальные каналы инцидентов Kelp и LayerZero, чтобы узнать актуальный статус контракта, наличие программ по возврату средств или компенсации, а также обновлённые конфигурации валидаторов, прежде чем возобновлять активность.
В чём разница между Lazarus и TraderTraitor?
Lazarus — это «зонтичная» структура. TraderTraitor — это специализированный подкластер внутри этой структуры, нацеленный на криптоиндустрию и известный социальной инженерией против инженеров и разработчиков кошельков. Когда ФБР приписывает атаку именно TraderTraitor, оно называет конкретное оперативное подразделение, а не просто более широкую экосистему, связанную с государством.