У суботу, 18 квітня, кросчейн‑міст, яким керує Kelp DAO quietly bled 116,500 rsETH. Уже в понеділок LayerZero had a name for the attackers. І це було не нове ім’я.
Lazarus Group з КНДР уже давно не просто хакерський лейбл у крипті. Це найочевидніший доказ того, що державні кіберапарати перетворили цифрові активи на стратегічний канал фінансування, де найбільші злами індустрії все менше схожі на поодинокі баги й все більше — на довгі операційні поразки.
- LayerZero приписує експлойт Kelp DAO 18 квітня 2026 року, приблизно на $292 млн в деривативах Ether (eth), Lazarus Group з КНДР та її підгрупі TraderTraitor.
- Chainalysis стверджує, що актори, пов’язані з КНДР, викрали $2,02 млрд у крипті протягом 2025 року, піднявши сукупну суму до $6,75 млрд.
- Ця динаміка вказує на державну операційну війну, а не поодинокі баги смарт‑контрактів як домінуючу загрозу безпеці в секторі.
Удар по Kelp і чому атрибуція важлива
LayerZero pinned злив коштів Kelp DAO на державного актора у своєму пост‑мортемі від 20 квітня. У заяві це назвали найбільшим DeFi‑експлойтом 2026 року та вказали на «висококваліфікованого державного актора, ймовірно Lazarus Group КНДР, зокрема TraderTraitor».
Механізм не був багом у смарт‑контракті. Атакувальники скомпрометували два RPC‑вузли, які використовувала Decentralized Verifier Network від LayerZero, а потім запустили DDoS‑флуд проти чистих вузлів, змусивши систему перейти на отруєні.
У результаті так званий 1‑з‑1‑верифікатор Kelp фактично завірив шахрайське кросчейн‑повідомлення, і міст випустив 116 500 rsETH на адресу зловмисника.
Kelp paused ключові контракти через свій аварійний мультисиг приблизно за 46 хвилин, заблокувавши ще дві спроби зливу ще на $100 млн.
Kelp публічно заперечив трактування LayerZero, заявивши, що конфігурація з одним верифікатором відповідала задокументованому значенню за замовчуванням у LayerZero, а не була ігноруванням явних рекомендацій.
Атрибуція — це те, що перетворює інцидент з «залатати й рухатися далі» на щось інше. Баг вимагає виправлення. Державний актор означає постійного супротивника.
Also Read: Why Aave Is Trending Again And What The $577M Daily Volume Means For DeFi
Хто насправді такі Lazarus
ФБР placed кластер TraderTraitor всередині держкіберапарату КНДР у своєму повідомленні від 26 лютого 2025 року щодо крадіжки в Bybit, назвавши його безпосереднім виконавцем віртуального актив‑грабежу на $1,5 млрд.
Репортажі Reuters 2022 року та повторні санкції Мінфіну США tied Lazarus, Bluenoroff та Andariel до Головного розвідувального управління — головного військово‑розвідувального агентства Пхеньяна.
Усередині цієї структури аналітики відстежують ротацію псевдонімів — APT38, Hidden Cobra, Diamond Sleet, Jade Sleet, Slow Pisces, TraderTraitor — які часто ділять персонал та інфраструктуру.
Наслідок для крипти — жорсткий.
Коли злам приписують «Lazarus», це не підліток у підвалі і рідко — окремий фрилансер. Це державний підрозділ із бюджетом, мандатом і горизонтом терпіння, який міряється роками, а не тижнями.
Це змінює уявлення про те, що таке «надійний захист». І змінює те, хто врешті‑решт виграє в кінці ланцюжка відмивання.
Also Read: NSA Runs Anthropic's Mythos AI Despite Pentagon's Supply-Chain Risk Label
Від Sony до смарт‑контрактів
Lazarus починав не з крипти. Вони заявили про себе wiper‑атакою на Sony Pictures 2014 року, потім зломом системи SWIFT Банку Бангладеш у 2016‑му, потім WannaCry у 2017‑му.
Далі дуже швидко прийшла крипта.
Національна розвідслужба Південної Кореї told Associated Press у грудні 2022 року, що північнокорейські хакери викрали близько $1,2 млрд у віртуальних активах за п’ять років.
Доповідь Панелі експертів ООН revealed 58 підозрюваних кібератак КНДР між 2017 і 2023 роками приблизно на $3 млрд, які живили програми зброї масового ураження Пхеньяна.
Останні дані Chainalysis підіймають сукупну планку ще вище: $6,75 млрд ідентифікованих крадіжок крипти, пов’язаних із КНДР, з яких $2,02 млрд припадають лише на 2025 рік.
Тренд тут головний. Щороку інцидентів менше, а суми — більші. Індустрія багатіла, цілі зростали, і Lazarus масштабувалися разом із ними.
Also Read: Bitcoin ETF Demand Fuels $1.4B Weekly Inflow, Second-Best Since January
Найбільші злами, пов’язані з Lazarus
Мінфін США updated санкції проти Lazarus гаманцями, пов’язаними зі зливом Ronin Bridge у березні 2022 року, приписавши акторам з КНДР приблизно $625 млн збитків.
Короткий список ілюструє масштаб:
- Ronin Network, березень 2022: приблизно $625 млн виведено з сайдчейн‑мосту Axie Infinity, злам офіційно приписано Lazarus OFAC Мінфіну США за кілька тижнів.
- Harmony Horizon, червень 2022: викрадено близько $100 млн, формально приписано Lazarus та APT38 ФБР у січні 2023 року.
- WazirX, липень 2024: приблизно $235 млн виведено з індійської біржі через компрометацію мультисигу, широко приписану акторам, пов’язаним із КНДР.
Потім настав переламний рік.
DMM Bitcoin втратив 4 502,9 Bitcoin (btc) на суму близько $308 млн у травні 2024‑го. ФБР, Міноборони США та Національне поліцейське агентство Японії confirmed зв’язок із TraderTraitor у грудні, описавши «рекрутерську» приманку, що скомпрометувала вендора гаманців і закінчилася підміною виведення.
Bybit у лютому 2025 року став піковим кейсом.
Під час рутинного переказу з холодного гаманця атакувальник замаскував інтерфейс підписання й перенаправив близько 400 000 Ether — приблизно $1,5 млрд — на невідому адресу.
Chainalysis зараз оцінює, що цей один інцидент дав $1,5 млрд із $3,4 млрд, вкрадених по індустрії у 2025 році. Kelp з його $292 млн — це останній розділ, а не найгучніший. Так виглядає зріла операція, якій уже не потрібен спектакль.
Also Read: Strategy Buys $2.5B In Bitcoin, Its Biggest Haul In 16 Months
Плейбук Lazarus змінився
ФБР та Японія detailed новий шаблон Lazarus у спільній рекомендації щодо DMM Bitcoin. Старий образ Lazarus як фабрики фішингу вже не відповідає дійсності.
Хакер видавав себе за рекрутера в LinkedIn. Фейковий передробочий тест установив шкідливий Python‑скрипт на особистий GitHub інженера Ginco, вендора софту для гаманців. Викрадені сесійні cookie відкрили доступ до внутрішнього чату Ginco, а за кілька тижнів легітимний запит на транзакцію DMM був тихо переписаний на льоту.
У кейсі Bybit Safe{Wallet} confirmed, що модифіковані шкідливим ПЗ додатки для підписання показували коректну цільову адресу, але змінювали логіку смарт‑контракту «під капотом». У випадку Kelp, за словами LayerZero, зловмисники підмінили бінарники саме на тих RPC‑вузлах, яким довіряв верифікатор, змусивши їх самознищитися та стерти локальні логи після використання.
Спільна нитка — що вразливістю рідко є сам код. Нею стають люди, вендори, build‑пайплайни та хости інфраструктури.
Chainalysis також відзначає паралельний канал: оператори з КНДР влаштовуються в крипто‑компанії як віддалені IT‑працівники під фейковими особистостями, іноді залучаючи підрядників через Upwork та Freelancer для масштабування.
Also Read: Bitget Unveils Project Ulysses, Offers $3M Interest-Free Credit To 50 Institutional Clients
Чому Lazarus знову й знову повертається до крипти
Мотив КНДР — економічне виживання, а не ідеологія.
Репортажі AP та ООН послідовно describe крадіжку крипти як замінник доходів для економіки під санкціями й як пряме джерело фінансування балістичних ракетних і ядерних програм.
Чиновники США, на яких посилається AP, йдуть далі, оцінюючи, що кіберзлочин уже забезпечує ледь не половину валютної виручки Північної Кореї.
Крипторинок просто виявився майже ідеальною ціллю для такої місії. Транзакції мають фінальність за хвилини, а не дні, тож немає кореспондентського банку, який їх відкрутить назад. Ліквідність глибока, псевдоанонімність дешева, а кросчейн‑рейли переміщують вартість швидше, ніж будь‑який регулятор здатен її заморозити.
Yahoo Finance noted, посилаючись на таймлайн LayerZero щодо Kelp, що атакувальник консолідував близько 74 000 Ether після зливу й заздалегідь профінансував гаманці через Tornado Cash приблизно за десять годин до удару.
Для уряду, який обирає між банківським зломом і зломом мосту, міст виглядає виграшною ставкою. every time.
Також читайте: One Company Now Owns 4% Of All Ethereum, Bitmine Adds 101,627 ETH In A Week
Що насправді додали ончейн-розслідувачі
Arkham приписала псевдонімному досліднику ZachXBT «остаточні докази» зв’язку експлойту Bybit з Lazarus через тестові транзакції, пов’язані гаманці та часовий аналіз у своєму баунті-пості від 21 лютого 2025 року.
П’ять днів потому заява ФБР для громадськості офіційно назвала Північну Корею, використавши тег TraderTraitor і опублікувавши блоклисти гаманців.
Послідовність має значення. Ончейн-слідчі, такі як ZachXBT, часто стають першими, хто публічно пов’язує великі злами з гаманцями та схемами відмивання, пов’язаними з Lazarus, іноді раніше за офіційне підтвердження.
Вони не є основним «джерелом істини». Вони — ранній шар публічної атрибуції, який пришвидшує реакцію бірж, поки федеральні відомства ведуть повільніші, доказово орієнтовані процеси.
Такий розподіл ролей — новий. Він також критично важливий, бо щойно вкрадені кошти починають стрибати між ланцюгами, єдине запитання — як швидко адреси буде позначено.
Також читайте: RaveDAO Jumps 62% In A Day, But Volume Now Exceeds Its Entire Market Cap
Чому індустрія все ще програє ці бої
Більшість дискусій про безпеку в крипто досі зосереджені на аудитах коду. Lazarus не цікавлять аудити.
Поверхня атаки, яка справді має значення, — операційна. Вона включає сторонні інструменти підпису, постачальників гаманців, нодну інфраструктуру, рекрутингові воронки, білд-системи та жменю людей із привілейованим доступом. У кожній із цих точок за останні два роки фігурував принаймні один злам, пов’язаний з Lazarus.
Chainalysis звітує про другу структурну проблему: цикл відмивання відточено до приблизно 45-денного, трьоххвильового патерну, який пропускає вкрадені кошти через міксери, кросчейн-мости та китайськомовні OTC-мережі, рухаючи транші шматками, що часто лишаються меншими за $500 000, щоб не активувати моніторинг.
Реакція індустрії залишається фрагментованою. Біржі вносять у чорні списки з різною швидкістю. Деякі DeFi-протоколи стають на паузу, інші — ні.
Аналіз на Dune після інциденту виявив, що 47% активних OApp LayerZero все ще працювали з конфігурацією DVN 1-of-1.
Захисник має вигравати щотижня. Lazarus достатньо перемагати раз на квартал.
Також читайте: LayerZero, Aave, Monad All Sliding: What's Driving The DeFi Pullback Tonight
Що Kelp сигналізує про наступну фазу
Незручний висновок із кейсу Kelp полягає в тому, що навіть після Bybit розрив між безпекою коду й операційною безпекою досі величезний.
Bybit — це компрометація інтерфейсу підпису з балансом у $20 мільярдів за ним. Kelp — компрометація на рівні інфраструктури проти середнього за розміром ліквідного рестейкінг-протоколу.
Той самий кластер акторів, інший вектор атаки, вісімнадцять днів після попереднього Drift Protocol drain of roughly $285 million, який також пов’язують з операторами КНДР.
Саме в цьому ритмі суть. Lazarus ітерує свій плейбук швидше, ніж DeFi-команди зміцнюють свої залежності, і кожен успішний удар фінансує наступний раунд рекрутингу, інструментів і терпіння.
The Hacker News повідомило, що актори, пов’язані з КНДР, забезпечили 59% усієї вкраденої у 2025 році криптовалюти, що підкреслює, наскільки центральним цей противник став для збитків сектору.
Конфігураційні вибори на кшталт одноаліційних верифікаторів, неаудитованих операторів нод і спільного програмного забезпечення гаманців більше не є дрібними ризиками. У світі, де противник — держава, це головна подія.
Також читайте: C1 Fund Books 150% Return On Ripple Investment In Less Than Four Months
Висновок
Lazarus — це доказ того, що найбільші збої безпеки в крипто тепер одночасно геополітичні, фінансові та інфраструктурні.
Ronin, Harmony, WazirX, DMM Bitcoin, Bybit і тепер Kelp — це не перелік непов’язаних випадковостей. Це кампанія, яку веде санкціонований уряд проти індустрії, що досі недооцінює, як виглядає наполегливий противник рівня держави.
Наступний «Kelp» уже планується. Питання лише в тому, чи сприйме його індустрія як «репорт про баг» чи як передову лінію фронту.
Читайте далі: Crypto Futures Wipeout: $197M Liquidated As BTC Climbs Above $76K
FAQ
Що сталося під час злому Kelp DAO?
18 квітня 2026 року зловмисники вивели 116 500 rsETH загальною вартістю близько $292 мільйони з кросчейн-моста, яким керує Kelp DAO. Експлойт не націлювався на баг у смарт-контракті. Натомість атакувальники скомпрометували дві RPC-ноди, які використовувала Decentralized Verifier Network LayerZero, а потім примусово спричинили фейловер так, щоб отруєна нода «завізувала» шахрайське кросчейн-повідомлення. Аварійний мульти-сиг Kelp призупинив роботу ключових контрактів через 46 хвилин, заблокувавши дві наступні спроби виводу ще приблизно на $100 мільйонів.
Хто така група Lazarus?
Lazarus — це «парасолькове» позначення для кіберакторів, пов’язаних із північнокорейською державою, яких Міністерство фінансів США та ФБР пов’язують із Головним розвідувальним управлінням — основним військово-розвідувальним відомством Пхеньяна. Аналітики відстежують кілька субкластерів та аліасів під однією парасолькою, зокрема TraderTraitor, APT38, Bluenoroff, Andariel, Hidden Cobra, Diamond Sleet, Jade Sleet і Slow Pisces. Ці кластери часто спільно використовують інфраструктуру та персонал.
Чому LayerZero приписала експлойт Kelp групі Lazarus?
У постмортемі LayerZero вказала на тактику зловмисників і поведінку гаманців як характерні ознаки державного актора, зокрема підрозділу TraderTraitor групи Lazarus. Попереднє фінансування через Tornape Cash приблизно за десять годин до атаки, використання самознищуваних бінарників на скомпрометованій інфраструктурі та післязливна консолідація близько 74 000 Ether відповідають патернам, задокументованим у попередніх експлойтах, пов’язаних із КНДР.
Скільки криптовалюти загалом вкрала Північна Корея?
Chainalysis оцінює обсяг криптовалютних крадіжок, пов’язаних із КНДР, у $6,75 мільярда станом на сьогодні. З них $2,02 мільярда було вкрадено лише у 2025 році, що становило близько 59% усієї вкраденої тоді у світі криптовалюти. Раніші дані Національної розвідувальної служби Південної Кореї оцінювали п’ятирічний обсяг через 2022 рік у приблизно $1,2 мільярда, тоді як Група експертів ООН розслідувала 58 підозрюваних кібернападів КНДР між 2017 і 2023 роками загальною вартістю близько $3 мільярди.
Що таке TraderTraitor?
TraderTraitor — це субкластер Lazarus, що спеціалізується на цілях у криптоіндустрії. Його «фірмовий прийом» — соціальна інженерія проти технічного персоналу, часто через фейкові пропозиції рекрутерів у LinkedIn, інфіковані шкідливим ПЗ передробочі тести та компрометацію постачальників софту для гаманців чи інфраструктури підпису. ФБР, Міністерство оборони США та Національне поліцейське агентство Японії формально назвали TraderTraitor відповідальним за крадіжку $308 мільйонів із DMM Bitcoin, а згодом ФБР знову вказало на нього як на оператора злому Bybit на $1,5 мільярда.
Які найбільші криптозломи, пов’язані з Lazarus?
До найбільших публічно атрибутованих інцидентів належать Ronin Network у березні 2022 року приблизно на $625 мільйонів, Harmony Horizon у червні 2022 року на близько $100 мільйонів, WazirX у липні 2024 року на приблизно $235 мільйонів, DMM Bitcoin у травні 2024 року на близько $308 мільйонів, Bybit у лютому 2025 року на приблизно $1,5 мільярда та Kelp DAO у квітні 2026 року на близько $292 мільйони.
Як Lazarus відмиває вкрадену криптовалюту?
Chainalysis описує відточений приблизно 45-денний трьоххвильовий цикл відмивання. Вкрадені кошти рухаються через міксери, кросчейн-мости й китайськомовні OTC-мережі, зазвичай поділені на транші менші за $500 000, щоб не перетинати пороги моніторингу. Мета — випередити біржові чорні списки та ончейн-аналітику до того, як кошти потраплять на майданчики конвертації у фіат.
Чому Північна Корея атакує крипто?
Криптокрадіжки виступають каналом обходу санкцій для ізольованої економіки Пхеньяна і прямим джерелом фінансування його ракетних та ядерних програм, згідно з доповідями Групи експертів ООН і заявами посадовців США, на які посилається AP. За оцінками США, кіберзлочин зараз забезпечує майже половину валютних надходжень Північної Кореї. Крипторейли придатні для цієї місії, оскільки транзакції остаточно підтверджуються за лічені хвилини і не можуть бути відкочені кореспондентським банком.
Хто такий ZachXBT і яку роль він зіграв?
ZachXBT — псевдонімний ончейн-дослідник, чиї публічні атрибуції неодноразово випереджали формальне державне підтвердження. У випадку Bybit пост із баунті Arkham від 21 лютого 2025 року приписав йому аналіз, що пов’язав транзакції експлойта з Lazarus, за п’ять днів до того, як ФБР офіційно назвало Північну Корею. Такі слідчі, як ZachXBT, формують ранній публічний шар атрибуції — не заміну федеральним розслідувачам, але швидший інструмент для реакції на рівні бірж.
Чи може криптоіндустрія зупинити Lazarus?
Не лише за допомогою аудитів коду. Поверхня атаки, що має значення, — операційна і включає сторонні інструменти підпису, постачальників гаманців, нодну інфраструктуру, рекрутингові канали та білд-системи. Аналіз Dune після інциденту з Kelp показав, що 47% активних OApp LayerZero досі працювали з конфігураціями верифікатора 1-of-1, тобто саме тією конфігурацією, яка зробила можливим експлойт Kelp. Посилення цього шару — через постачальників, хости інфраструктури та людський доступ — є тим місцем, де зараз зосереджені оборонні покращення.
Чи безпечно зараз користуватися Kelp DAO?
Kelp призупинив роботу ключових контрактів через свій аварійний мульти-сиг…multisig протягом 46 хвилин після виявлення, що заблокувало ще дві додаткові спроби виведення коштів. Користувачам слід перевірити офіційні канали інцидентів Kelp і LayerZero, щоб дізнатися про поточний статус контракту, наявність будь-якої програми відшкодування чи компенсації та оновлені конфігурації верифікаторів перед відновленням активності.
У чому різниця між Lazarus та TraderTraitor?
Lazarus — це “парасолька”. TraderTraitor — це спеціалізований підкластер всередині цієї “парасольки”, зосереджений на цілях у криптоіндустрії та відомий соціальною інженерією проти інженерів і постачальників програмного забезпечення для гаманців. Коли ФБР приписує атаку саме TraderTraitor, воно називає оперативний підрозділ, а не просто ширшу пов’язану з державою екосистему.