В субботу Kelp DAO подвергся взлому на $292 миллиона, обогнав Drift и став крупнейшим криптовалютным эксплойтом года на сегодняшний день. Подозреваемыми в атаке являются хакеры, связанные с Северной Кореей.
В понедельник Kelp DAO заявил, что эксплойт стал следствием сбоя в инфраструктуре кросс-чейн протокола обмена сообщениями LayerZero. LayerZero сообщил, что взлом стал возможным из-за использования Kelp DAO единственной конфигурации верификатора для подтверждения кросс-чейн сообщений.
LayerZero заявил, что «предварительные данные» указывают на причастность TraderTraitor — подгруппы поддерживаемого государством северокорейского хакерского подразделения, известного как Lazarus Group.
Блокчейн-следователь Tanuki42 также обнаружил связи с TraderTraitor. В во вторник Tanuki42 сообщил, что средства, похищенные в ходе инцидента с Kelp DAO, смешались с активами из предыдущих эксплойтов, приписываемых той же группе.
Несмотря на то что в апреле киберактивность Северной Кореи, направленная против платформ децентрализованных финансов, усилилась, её тактики также представляют угрозу для компаний и конечных пользователей.
Средства от эксплойта Kelp DAO смешались с кошельками, связанными со взломом Bybit на $1,4 миллиарда в феврале 2025 года. Источник: Tanuki42
Криптосхемы Северной Кореи снова в центре внимания
Эксплойт на децентрализованной бирже Drift, осуществлённый в День дурака, составил $285 миллионов, доведя предполагаемые кражи криптовалюты, связанные с Северной Кореей, до не менее $578 миллионов в ходе крупных инцидентов за месяц.
Оба нападения являются крупнейшими криптовалютными ограблениями, приписываемыми северокорейским исполнителям со времён взлома Bybit.
К этому времени криптоиндустрия уже осознала, что оперативники, связанные с КНДР, выдают себя за IT-разработчиков, чтобы получить удалённую работу в технологических компаниях. Исследователи в области безопасности и Организация Объединённых Наций утверждают, что эта тактика приносит миллионы долларов для поддержки оружейных программ Северной Кореи.
Слабые проверки биографических данных позволяют северокорейским IT-работникам получать удалённые вакансии. Источник: Tanuki42
По теме: Северокорейские кибершпионы — уже не просто удалённые угрозы
В марте Министерство финансов США ввело санкции против шести физических лиц и двух организаций за их предполагаемое участие в мошеннических схемах с северокорейскими IT-работниками. В июне ФБР также выпустило рекомендации, призвав работодателей проверять профессиональную историю кандидатов и требовать личных встреч.
Однако эксплойт Drift свидетельствует о том, что кибероперативники Пхеньяна адаптируются. Платформа DeFi сообщила, что её участники лично подверглись подходу со стороны лиц, выдававших себя за квантовую торговую фирму на крупной криптовалютной конференции в ноябре. Злоумышленники продолжали общаться и выстраивать доверие в преддверии взлома.
Параллельно продолжались атаки меньшего масштаба. Провайдер криптовалютных кошельков Zerion сообщил, что связанные с КНДР акторы использовали социальную инженерию с помощью ИИ для кражи около $100 000 в отдельном инциденте.
Северная Корея редко реагирует на подобные обвинения, хотя в мае 2020 года её министерство иностранных дел выпустило заявление, отрицая причастность к кибератакам и обвинив Соединённые Штаты в попытках запятнать её репутацию.
Всплеск розничных крипто-мошенничеств по мере распространения тактик КНДР
Федеральное бюро расследований (ФБР) зафиксировало рост числа жалоб на преступления, связанные с криптовалютой, на 21% в своём докладе Центра по жалобам на интернет-преступления (IC3) за 2025 год. ФБР запустило IC3 в 2000 году как портал для жертв в США для сообщения об интернет-мошенничестве.
С делами о криптовалюте было связано 181 565 жалоб в 2025 году, что привело к убыткам в $11,37 миллиарда — более половины от общей суммы.
Больше всего жалоб, связанных с криптовалютой, в 2025 году поступило от инвесторов в возрасте 60 лет и старше. Источник: ФБР
По теме: Северокорейский шпион оступился и раскрыл связи на фиктивном собеседовании
Наибольшее количество жалоб, связанных с криптовалютой, подали американцы в возрасте 60 лет и старше. Инвестиционные мошенничества стали крупнейшей категорией — 61 559 жалоб, из которых 13 685 поступили от людей в возрасте 60 лет и старше.
Это не означает, что розничный сектор не затронут предполагаемыми северокорейскими операциями. Расследование, опубликованное в прошлом ноябре, показало, что оперативники, связанные с КНДР, также вербуют людей для поддержки схем с удалёнными IT-работниками.
На протяжении 2025 года Хайнер Гарсия, эксперт по киберугрозам в Telefónica, вступал в контакт с предполагаемым северокорейским оперативником.
Гарсия ранее рассказал Cointelegraph, что этот человек пытался использовать его в качестве посредника для обхода ограничений VPN, установленных платформами для фриланса. Тактика заключается в использовании устройства жертвы в местной юрисдикции путём установки программного обеспечения для удалённого доступа, такого как AnyDesk.
В августе 2024 года Министерство юстиции США арестовало Мэтью Айзека Кнута за организацию «фермы ноутбуков», которая позволяла IT-работникам из КНДР выглядеть как сотрудники из США, используя похищенные личные данные. В июле 2025 года Кристина Чэпмен была приговорена к более чем восьми годам заключения за помощь северокорейским IT-работникам в заработке более $17 миллионов.
Компромисс, стоящий за заморозкой средств, похищенных предполагаемыми акторами КНДР
Уникальным элементом взлома Kelp DAO стало решение Совета безопасности Arbitrum заморозить 30 766 ETH, связанных с эксплойтом.
Этос криптовалюты — децентрализация, однако реакции на крупные взломы продолжают раскалывать индустрию. Одни проекты склоняются к минимальному вмешательству, даже когда эксперты по безопасности призывают к действиям, что оставляет мало консенсуса относительно того, когда уместно вмешиваться.
Эмитент USDC Circle подвергся критике со стороны участников отрасли за бездействие в ходе взлома Drift. Источник: James Seyffart
Технический директор Ledger Шарль Гийеме во вторник заявил, что результат был «вероятно» хорошим, но не комфортным. Заморозка средств, по всей видимости, предотвратила дальнейшие потери. Дискомфорт связан с тем, что это действие делает явным.
Совет безопасности Arbitrum не использовал уязвимость и не обнаружил бэкдор. Он воспользовался своими предусмотренными полномочиями для изменения состояния. Эти полномочия существуют по замыслу и вступают в противоречие с идеей достоверно нейтральной инфраструктуры. На практике активы в современных роллапах всё ещё могут быть затронуты управленческими решениями при определённых условиях.
Гийеме связывает этот компромисс с угрозной средой. Эксплойт Kelp DAO не опирался на новую уязвимость смарт-контракта. Он выявил слабые места в инфраструктуре и конфигурации, показывая, как атаки выходят за рамки кода в системы, его поддерживающие.
В то же время группы, связанные с Северной Кореей, превратились в хорошо оснащённых, настойчивых противников, способных зондировать эти системы сразу на нескольких фронтах.
Это оставляет индустрию разделённой между принятием вмешательства или принятием потерь, которые нельзя отменить.
Журнал: Адам Бэк говорит, что текущий спрос «почти» достаточен, чтобы отправить Bitcoin к $1 млн
- #Криптовалюты
- #Хакеры
- #СевернаяКорея
- #Кибербезопасность
- #DeFi
- #Материалы
- #Индустрия
