Kelp DAO padło ofiarą ataku hakerskiego na kwotę 292 milionów dolarów w sobotę, przewyższając Drift jako największy exploit kryptowalutowy roku. Podejrzewa się, że za atakiem stoją hakerzy powiązani z Koreą Północną.
Kelp DAO poinformowało w poniedziałek, że exploit wynikał z awarii infrastruktury protokołu cross-chain LayerZero. LayerZero oświadczyło, że naruszenie zostało umożliwione przez zastosowanie przez Kelp DAO pojedynczej konfiguracji weryfikatora do zatwierdzania wiadomości cross-chain.
LayerZero poinformowało, że „wstępne wskaźniki" przypisują exploit grupie TraderTraitor, podgrupie wspieranej przez państwo północnokoreańskiej jednostki hakerskiej znanej jako Lazarus Group.
Badacz blockchain Tanuki42 również znalazł powiązania z TraderTraitor. Tanuki42 poinformował we wtorek, że środki skradzione podczas incydentu Kelp DAO zostały zmieszane z wcześniejszymi exploitami powiązanymi z tą samą grupą.
Podczas gdy aktywność cybernetyczna Korei Północnej wymierzona w platformy zdecentralizowanych finansów przyspieszyła w kwietniu, jej taktyki stanowią również zagrożenie dla firm i użytkowników końcowych.
Środki z exploitu Kelp DAO zostały zmieszane z portfelami powiązanymi z włamaniem na Bybit o wartości 1,4 miliarda dolarów w lutym 2025 roku. Źródło: Tanuki42
Kryptowalutowe schematy Korei Północnej znów w centrum uwagi
Exploit przeprowadzony na zdecentralizowanej giełdzie Drift w Prima Aprilis wyniósł łącznie 285 milionów dolarów, co sprawia, że podejrzewane kradzieże kryptowalut powiązane z Koreą Północną wyniosły co najmniej 578 milionów dolarów w głównych incydentach w ciągu tego miesiąca.
Oba ataki są największymi napadami na kryptowaluty przypisywanymi aktorom północnokoreańskim od czasu włamania na Bybit.
Branża kryptowalutowa zdaje sobie już sprawę, że operatywni powiązani z KRLD podszywają się pod programistów IT, aby zdobyć zdalne stanowiska pracy w firmach technologicznych. Badacze bezpieczeństwa i Organizacja Narodów Zjednoczonych twierdzą, że ta taktyka generuje miliony dolarów na wsparcie programów zbrojeniowych Korei Północnej.
Słabe weryfikacje tła pozwalają pracownikom IT z Korei Północnej zdobywać zdalne zlecenia. Źródło: Tanuki42
Powiązane: Północnokoreańscy szpiedzy cybernetyczni to nie tylko zdalne zagrożenia
W marcu Departament Skarbu USA nałożył sankcje na sześć osób i dwa podmioty za ich rzekome role w północnokoreańskich schematach oszustw pracowników IT. FBI wydało również wytyczne w czerwcu, zalecając pracodawcom weryfikację historii zawodowej kandydatów oraz wymaganie spotkań osobistych.
Jednak exploit na Drift sugeruje, że cyberoperatywni Pjongjangu adaptują się. Platforma DeFi stwierdziła, że jej współpracownicy zostali osobiście podejści przez osoby podszywające się pod firmę handlu kwantytatywnego na dużej konferencji kryptowalutowej w listopadzie. Atakujący kontynuowali komunikację i budowanie zaufania przed włamaniem.
Równolegle trwały ataki na mniejszą skalę. Dostawca portfela kryptowalutowego Zerion poinformował, że aktorzy powiązani z KRLD wykorzystali wspomagane przez AI socjotechniki, aby ukraść około 100 000 dolarów w osobnym incydencie.
Korea Północna rzadko odpowiada na takie oskarżenia, choć jej ministerstwo spraw zagranicznych wydało oświadczenie w maju 2020 roku, zaprzeczając udziałowi w cyberatakach i oskarżając Stany Zjednoczone o próbę szkalowania jej wizerunku.
Oszustwa kryptowalutowe dla użytkowników detalicznych rosną wraz z rozszerzaniem się taktyk KRLD
Federalne Biuro Śledcze (FBI) odnotowało 21-procentowy wzrost skarg dotyczących przestępstw związanych z kryptowalutami w swoim raporcie Internet Crime Complaint Center (IC3) za 2025 rok. FBI uruchomiło IC3 w 2000 roku jako portal dla ofiar w USA do zgłaszania oszustw internetowych.
Sprawy dotyczące kryptowalut były powiązane z 181 565 skargami w 2025 roku, co spowodowało straty w wysokości 11,37 miliarda dolarów, czyli ponad połowę łącznej kwoty.
Inwestorzy w wieku 60 lat i powyżej zgłosili najwięcej skarg dotyczących kryptowalut w 2025 roku. Źródło: FBI
Powiązane: Północnokoreański szpieg popełnia błąd, ujawniając powiązania podczas fałszywej rozmowy kwalifikacyjnej
Starsi Amerykanie w wieku 60 lat i powyżej złożyli największą liczbę skarg związanych z kryptowalutami. Oszustwa inwestycyjne były największą kategorią, generując 61 559 skarg, w tym 13 685 od osób w wieku 60 lat i starszych.
Nie oznacza to, że sektor detaliczny jest nienaruszony przez podejrzewane operacje północnokoreańskie. Śledztwo opublikowane w zeszłym listopadzie wykazało, że operatywni powiązani z KRLD również rekrutują osoby do wspierania schematów zdalnych pracowników IT.
Przez cały 2025 rok Heiner García, ekspert ds. cyberbezpieczeństwa w Telefónica, miał kontakt z podejrzewanym operatywnym z Korei Północnej.
García powiedział wcześniej Cointelegraph, że osoba ta próbowała wykorzystać go jako pośrednika w celu ominięcia ograniczeń VPN narzuconych przez platformy freelancerskie. Taktyka polega na korzystaniu z urządzenia ofiary w lokalnej jurysdykcji poprzez instalację oprogramowania do zdalnego dostępu, takiego jak AnyDesk.
W sierpniu 2024 roku Departament Sprawiedliwości USA aresztował Matthew Isaaca Knoota za prowadzenie „farmy laptopów", która pozwalała pracownikom IT z KRLD wyglądać jak pracownicy z USA, używając skradzionych tożsamości. W lipcu 2025 roku Christina Chapman została skazana na ponad osiem lat więzienia za pomoc północnokoreańskim pracownikom IT w zarabianiu ponad 17 milionów dolarów.
Kompromis związany z zamrożeniem środków skradzionych przez podejrzewanych aktorów KRLD
Unikalnym elementem włamania na Kelp DAO była decyzja Rady Bezpieczeństwa Arbitrum o zamrożeniu 30 766 ETH powiązanych z exploitem.
Etosem kryptowalut jest decentralizacja, jednak reakcje na poważne włamania nadal dzielą branżę. Niektóre projekty skłaniają się ku minimalnemu interwencjonizmowi, nawet gdy eksperci ds. bezpieczeństwa wzywają do działania, co pozostawia niewielki konsensus co do tego, kiedy właściwe jest interweniowanie.
Emitent USDC, Circle, spotkał się z krytyką uczestników branży za brak działania w przypadku włamania na Drift. Źródło: James Seyffart
Dyrektor techniczny Ledger, Charles Guillemet, powiedział we wtorek, że wynik był „prawdopodobnie" dobry, ale niekomfortowy. Zamrożenie środków prawdopodobnie zapobiegło dalszym stratom. Dyskomfort wynika z tego, co działanie to ujawnia w sposób wyraźny.
Rada Bezpieczeństwa Arbitrum nie wykorzystała błędu ani nie odkryła backdoora. Skorzystała ze swojego zamierzonego uprawnienia do nadpisania stanu. To uprawnienie istnieje z założenia i pozostaje w sprzeczności z ideą wiarygodnie neutralnej infrastruktury. W praktyce aktywa na dzisiejszych rollupach mogą nadal być dotknięte decyzjami governance pod określonymi warunkami.
Guillemet wiąże ten kompromis ze środowiskiem zagrożeń. Exploit Kelp DAO nie opierał się na nowym błędzie smart kontraktu. Ujawnił słabości w infrastrukturze i konfiguracji, pokazując, jak ataki wykraczają poza kod w kierunku wspierających go systemów.
Jednocześnie grupy powiązane z Koreą Północną ewoluowały w dobrze wyposażonych, wytrwałych przeciwników zdolnych do sondowania tych systemów na wielu frontach.
To pozostawia branżę podzieloną między akceptacją interwencji a akceptacją strat, których nie można cofnąć.
Magazine: Adam Back mówi, że obecny popyt jest „prawie" wystarczający, aby wysłać Bitcoin do 1 miliona dolarów
- #Kryptowaluty
- #Hakerzy
- #KoreaPolnocna
- #Cyberbezpieczeństwo
- #DeFi
- #Features
- #Branża
