sejournal.io

Вот перефразированный текст новости на русском языке:

Протоколы Kelp и Aave приступили к возврату средств после взлома в апреле, в результате которого было похищено $292 млн. Разработчики планируют в течение двух недель вернуть 117 132 токена rsETH.

Первая часть средств вскоре будет переведена в основную сеть (мейннет). Сразу после этого Kelp возобновит вывод активов — ориентировочно в течение суток. Пользователям снова станут доступны депозиты, создание токенов и кроссчейн-переводы.

Команда Kelp усилила безопасность моста LayerZero. Теперь для подтверждения операций требуется четыре независимых узла вместо одного, а количество необходимых блоков увеличено с 42 до 64. Кроме того, протокол начал переход на технологию CCIP от Chainlink.

Представители Aave подтвердили начало выплат и уничтожили токены rsETH, которые злоумышленник удерживал в сети Arbitrum.

Ранее команда кредитного протокола Aave оспорила в суде блокировку части средств, наложенную по искам жертв терроризма против Северной Кореи. Суд разрешил передать активы протоколу, но запретил их продавать до вынесения окончательного решения.

Разработчики LayerZero признали свою ответственность за инцидент. В компании отметили, что стандартные настройки безопасности оказались недостаточно надежными для протоколов с большим объемом заблокированных средств.

Напомним, в апреле Kelp подвергся атаке, за которой, предположительно, стоит группировка Lazarus Group. Этот взлом стал крупнейшим в секторе DeFi с начала года.

В мае Aave ликвидировал оставшиеся позиции хакера по rsETH в рамках утвержденного плана восстановления.

Позже сообщество Arbitrum поддержало перевод 30 765 ETH (на сумму $70 млн) в фонд DeFi United.

Вот перефразированный текст новости на русском языке:

Хакерские группировки, связанные с Северной Кореей, превратили кражу криптовалют в крупную государственную операцию. У них есть собственная система для отмывания денег и сеть IT-агентов. К такому выводу пришли эксперты компании CertiK.

По данным исследователей, с 2017 по начало 2026 года северокорейские хакеры украли цифровые активы на сумму более 6,7 миллиарда долларов в ходе 263 атак. Реальный ущерб, вероятно, еще больше, так как в статистику не вошли сотни мелких краж у частных лиц и проектов в первые годы существования криптоиндустрии.

Только в 2025 году ущерб от действий хакеров из КНДР составил 2,06 миллиарда долларов — это около 60% от всех потерь криптоотрасли за год. При этом на их долю пришлось лишь 12% от общего числа инцидентов.

Как изменилась тактика хакеров

В CertiK отметили, что северокорейские группы перешли от хаотичных атак к профессиональным операциям с четким распределением обязанностей. Одни подразделения занимаются социальной инженерией, другие — взломом инфраструктуры, а отмыванием денег занимаются отдельные специалисты.

Аналитики выделили несколько этапов эволюции атак:

1. Горячие кошельки бирж (2017–2019) — из-за слабой защиты хакерам не требовалось много ресурсов (примеры: Bithumb, Coincheck).
2. DeFi-протоколы и кроссчейн-мосты (2020–2023) — стали более уязвимыми после того, как централизованные платформы усилили защиту (примеры: Ronin Bridge, Harmony Horizon).
3. Цепочки поставок (2024–2026) — вместо прямых атак на биржи хакеры начали взламывать сторонних поставщиков услуг. Самый громкий случай — кража 1,5 миллиарда долларов у Bybit через взлом продукта Safe.
4. Физическое проникновение (с 2025 года) — атаки сочетают социальную инженерию, внедрение IT-агентов в криптокомпании, контакты под видом венчурных инвесторов и технические методы (пример: Drift Protocol с ущербом 280 миллионов долларов).

Как отмывают украденные активы

После крупнейшего взлома Bybit на 1,5 миллиарда долларов, который связывают с группой Lazarus, хакеры конвертировали около 86% украденного Ethereum в биткоин меньше чем за месяц.

Для заметания следов они использовали:
— быстрые переводы между разными блокчейнами (chain hopping);
— кроссчейн-мосты;
— криптомиксеры;
— внебиржевых брокеров;
— подпольные банковские сети в Азии.

Эксперты подчеркнули, что инфраструктура для отмывания денег стала для хакеров не менее важной, чем сами атаки.

«Армия IT-работников»

Отдельную угрозу представляют северокорейские IT-специалисты, которые под видом удаленных сотрудников устраиваются в западные компании. Такие агенты могут:
— получать доступ к внутренним системам;
— участвовать в разработке кода;
— внедрять вредоносные компоненты;
— собирать данные для будущих атак.

В некоторых случаях для прохождения собеседований они используют ИИ-инструменты и дипфейки.

Напомним, что МИД КНДР отверг обвинения в причастности к кражам криптовалют, назвав их «абсурдной клеветой» и «политическим инструментом» США.

Вот перефразированный текст новости на русском языке:

Согласно отчету группы Google Threat Intelligence (GTIG), киберпреступники начали активно применять искусственный интеллект для поиска и использования уязвимостей, а также для автоматизации своих атак и получения доступа к сетям.

Специалисты GTIG впервые зафиксировали хакера, который создал с помощью ИИ эксплойт для уязвимости нулевого дня. Злоумышленник планировал масштабную атаку, но сотрудникам Google удалось ее предотвратить.

Кибергруппировки, связанные с КНДР, также проявили большой интерес к использованию нейросетей для обнаружения брешей в системах безопасности.

Применение ИИ в программировании ускорило создание инструментов для атак и полиморфных вирусов, которые меняют свой код. Это помогает хакерам обходить защиту и внедрять обманные алгоритмы. В Google связывают такие разработки с Россией.

Искусственный интеллект теперь используется для автономных операций. Аналитики отмечают, что вредоносное ПО вроде PROMPTSPY знаменует переход к полностью независимому управлению атаками. Модели ИИ сами анализируют систему жертвы и генерируют команды для манипуляции средой.

В отчете подчеркивается, что такой подход позволяет злоумышленникам переложить операционные задачи на ИИ, делая их деятельность более масштабной и гибкой.

Хакеры продолжают использовать нейросети как высокоскоростных помощников на всех этапах атаки и постепенно переходят к полностью автоматизированным процессам.

Кроме того, злоумышленники пытаются получить анонимный доступ к премиум-моделям ИИ, чтобы обходить лимиты и массово злоупотреблять сервисами.

В GTIG также заметили, что такие группы, как TeamPCP (известная как UNC6780), начали использовать среды разработки ИИ и программные зависимости для первоначального проникновения в инфраструктуру жертв.

Эксперты киберподразделения Google заявили, что принимают активные меры, чтобы идти на шаг впереди постоянно меняющихся угроз.

Напомним, что в сентябре 2025 года команда Anthropic уже пресекла первую в истории кампанию по кибершпионажу, полностью организованную искусственным интеллектом.

Команда LayerZero принесла публичные извинения за свою реакцию на взлом протокола Kelp и признала, что использование конфигурации с единственным верификатором для защиты крупных транзакций было ошибочным.

«Мы ужасно справились с коммуникацией за последние три недели — хотели отдать приоритет полноте в виде всестороннего анализа, а следовало начать с откровенности», — говорится в заявлении.

17 апреля злоумышленники вывели из протокола ликвидного рестейкинга Kelp около $292 млн в rsETH через кроссчейн-мост на платформе LayerZero. Согласно расследованиям, атака была связана не со смарт-контрактом, а с компрометацией инфраструктуры и использованием схемы с одним верификатором (1/1 DVN).

После инцидента в LayerZero изначально возложили ответственность на Kelp, заявив, что проблема была локальной. Однако критики указали, что конфигурация 1/1 DVN фактически была стандартной рекомендацией при интеграции протокола. По данным Dune, около 47% приложений LayerZero использовали аналогичную схему на момент атаки.

«Мы допустили ошибку, позволив нашему DVN действовать как 1/1 для транзакций с высокой стоимостью. Мы не контролировали безопасность решения, что создавало риск, который мы просто не увидели», — признали в LayerZero.

Платформа анонсировала ряд изменений, включая:
— отказ от конфигурации единственного верификатора — по умолчанию применяется схема 5/5 и не менее 3/3;
— разработку второго DVN-клиента;
— запуск Console — единой платформы для мониторинга безопасности и аномалий для эмитентов активов;
— повышение порога мультиподписи с 5/3 до 7/10 для всех блокчейнов.

В начале мая команда Kelp на фоне разногласий с LayerZero по поводу причин взлома приняла решение мигрировать на протокол интероперабельности CCIP от Chainlink.

Напомним, биткоин-проект Solv Protocol также отказался от кроссчейн-инфраструктуры LayerZero в пользу CCIP.

Ведущий протокол кредитования Aave завершил ликвидацию оставшихся позиций хакера Kelp по токенам rsETH. Это было сделано в рамках утверждённого плана восстановления.

Изъятые средства переведены на мультиподписной кошелёк, управляемый фондом DeFi United. Эти активы будут использованы для восстановления обеспечения rsETH и выплаты компенсаций пострадавшим пользователям.

Как проходила ликвидация

Позиции злоумышленника находились в версиях Aave на Ethereum и Arbitrum. Для их ликвидации потребовалось одобрение сообщества — более 90% пользователей поддержали это решение.

Децентрализованная автономная организация (ДАО) временно изменила цену оракула rsETH, чтобы создать дефицит в позиции хакера. После завершения процедуры параметры были возвращены к исходным значениям.

Борьба за 30 000 ETH

На момент публикации инициатива DeFi United привлекла более $320 млн от участников индустрии и пользователей. Самый крупный вклад внесла сеть второго уровня Arbitrum, которая после атаки заморозила 30 766 ETH.

В начале мая ДАО проекта запустила голосование о передаче этих средств в фонд. Этот шаг поддерживает 90,5% сообщества.

Окончательное решение ожидалось 7 мая, однако суд Нью-Йорка запретил Arbitrum распоряжаться заблокированными монетами. На них претендуют жертвы террористов из КНДР, пострадавшие в ходе похищений 2015 года.

В Aave назвали логику суда юридически несостоятельной и потребовали снять ограничения. Адвокаты истцов поставили под сомнение право проекта оспаривать заморозку.

Напомним, 7 мая хакеры атаковали маркетмейкера TrustedVolumes и похитили $6 млн. Это стало пятым взломом с начала месяца.

Вот перефразированная новость на русском языке:

Адвокаты пострадавших от действий Северной Кореи изменили свою правовую позицию в споре о 30 766 ETH, которые команда Arbitrum заблокировала после взлома протокола Kelp.

Юристы теперь утверждают, что атакующий не просто украл активы, а взял ETH в долг на платформе Aave, предоставив в залог необеспеченные токены rsETH, и не вернул средства.

«Фактически КНДР заняла активы у пользователей Aave и не вернула их. Когда Aave попытался ликвидировать залог, оказалось, что он ничего не стоит», — говорится в новом документе.

Истцы ссылаются на норму американского права: даже имущество, полученное обманом, временно переходит в законную собственность мошенника, пока это не оспорено в суде. Дополнительно они опираются на Закон о страховании рисков терроризма, принятый после терактов 11 сентября, который позволяет жертвам терроризма взыскивать средства из имущества государств-спонсоров.

Если похищенные при атаке на Kelp средства хотя бы временно принадлежали КНДР, их можно изъять в рамках исполнения судебных решений по делам о терроризме, считают адвокаты.

Аргументы против Aave

В начале мая суд Нью-Йорка запретил Arbitrum размораживать украденные ETH. Децентрализованная автономная организация (ДАО) L2-сети планировала передать их фонду DeFi United, созданному для восстановления экосистемы.

Через несколько дней команда Aave подала срочное ходатайство с требованием снять арест с активов. Представители проекта назвали логику суда юридически необоснованной.

«Вор не владеет тем, что украл. Эти средства принадлежат пользователям, у которых их похитили, и никому больше», — заявил основатель протокола Стани Кулечов.

Адвокаты истцов поставили под сомнение право Aave оспаривать заморозку. Они указали на условия использования платформы, согласно которым она «владеет, хранит и контролирует» активы клиентов. По мнению юристов, это делает проект ответственным за произошедшее и может ослабить его позицию в суде.

Адвокаты также отметили, что пострадавшие вряд ли остро нуждаются в этих 30 766 ETH: DeFi United уже привлек $327,95 млн, что в четыре раза больше обсуждаемой суммы.

Слушание по делу назначено на 6 мая и пройдет в федеральном суде Манхэттена.

Конфликт Kelp и LayerZero

Разработчики Kelp заявили, что причиной апрельского взлома стала уязвимость в инфраструктуре LayerZero. Проект планирует перезапустить кроссчейн-систему на базе Chainlink.

Суть спора — в конфигурации 1-of-1 DVN (децентрализованной сети верификаторов), при которой кроссчейн-сообщения подтверждает один верификатор. Kelp утверждает, что LayerZero одобрила такую настройку и не предупредила о рисках, а после взлома переложила вину.

LayerZero настаивает, что проблема была изолирована на уровне rsETH и возникла из-за опасной конфигурации Kelp. Команда пострадавшего проекта возражает: настройка 1-of-1 широко применялась в экосистеме омничейн-протокола, а решение отказаться от таких настроек подтверждает системный характер уязвимости.

Напомним, в конце апреля LayerZero присоединился к инициативе DeFi United и пожертвовал 10 000 ETH (~$23 млн).

Вот перефразированный текст новости на русском языке:

Министерство иностранных дел Северной Кореи опровергло обвинения в том, что страна причастна к хищениям криптовалют. Представитель ведомства назвал публикации в СМИ «нелепой клеветой» и «политическим инструментом» США, о чём сообщает государственное агентство KCNA.

В Пхеньяне заявили, что таким образом Вашингтон продвигает «враждебную политику» в отношении КНДР. Представитель МИДа также отметил нелогичность ситуации, когда Соединённые Штаты, обладая «лучшей в мире кибермощью», представляют себя «главной жертвой».

«Наша принципиальная позиция — защищать киберпространство, общее достояние человечества, от любых злонамеренных действий. Мы решительно против попыток использовать киберпроблемы как политический инструмент для нарушения суверенитета и вмешательства во внутренние дела других стран», — говорится в заявлении.

Масштаб потерь

Ранее эксперты TRM Labs подсчитали, что связанные с КНДР хакеры за первые четыре месяца 2026 года похитили около $577 млн. Это составляет 76% всех потерь криптовалютных проектов за указанный период.

Специалисты подчеркнули, что доля Северной Кореи в объёме украденных цифровых активов выросла с менее чем 10% в 2020–2021 годах до 64% в 2025 году. Общая сумма ущерба превысила $6 млрд.

Основной вклад в показатель за текущий год внесли две апрельские атаки. В TRM Labs связали взлом Kelp на $292 млн с группировкой TraderTraitor, аффилированной с Lazarus. Эксплойт Drift на $285 млн аналитики отнесли к отдельной северокорейской подгруппе, однако её причастность ещё проверяется.

В ООН считают, что все украденные средства Северная Корея направляет на развитие ядерных программ.

Напомним, исследователи неоднократно заявляли, что хакеры из КНДР активно устраиваются в криптопроекты. В середине апреля стипендиат Ethereum Foundation обнаружил 100 северокорейских IT-агентов в Web3-компаниях. Сеть связанных с Пхеньяном разработчиков в криптоиндустрии также раскрыл ончейн-детектив ZachXBT.

30 апреля проект Wasabi был взломан. По оценкам экспертов PeckShield, ущерб составил более $5 млн.

Специалисты CertiK оценили потери в $5,5 млн. Атака затронула средства в нескольких сетях: Ethereum, Base, Berachain и Blast.

Как сообщает Blockaid, злоумышленник получил доступ к административному ключу и через специальный кошелек Wasabi назначил свою версию контракта управляющей. Затем с помощью UUPS-апгрейда он подменил внутреннюю логику хранилищ платформы и вывел активы.

Основатель SlowMist под псевдонимом Cos обратил внимание на слабые механизмы защиты протокола. По его словам, управление хранилищами осуществлялось одним EOA без мультиподписи, временной блокировки или DAO. Это позволило хакеру без труда скомпрометировать приватный ключ и вызвало вопросы у сообщества.

В BlockSec добавили, что административные роли получили кошельки, профинансированные через криптомиксер Tornado Cash.

По данным Cyvers, киберпреступник похитил WETH, PEPE, MOG, USDC, ZYN, REKT, cbBTC, AERO, VIRTUAL и уже конвертировал активы в ETH, распределив их по нескольким адресам.

Команда Wasabi подтвердила взлом и рекомендовала пользователям не взаимодействовать с контрактами протокола до дальнейшего уведомления.

«Мы предоставим обновленную информацию, как только появятся новые данные», — отметили разработчики.

Напомним, 28 апреля хакерской атаке подвергся инфраструктурный Ethereum-проект Syndicate. Специалисты по кибербезопасности оценили потери в $330 000.

Тогда же злоумышленники взломали биржу Aftermath Finance в экосистеме Sui и вывели около $900 000 в USDC.

Днем ранее пострадала L1-сеть ZetaChain. Разработчики заявили, что инцидент затронул только внутренние кошельки команды. Ущерб составил $333 868.

Северокорейские хакеры полгода готовили атаку на Drift Protocol, украв $280 млн

Команда проекта Drift Protocol заявила, что за масштабную хакерскую атаку 1 апреля, в результате которой было похищено около $280 млн, ответственна северокорейская группировка. На подготовку этой сложной операции у злоумышленников ушло шесть месяцев.

Внедрение в проект
По данным Drift, осенью 2025 года на конференции к ним обратились люди, представившиеся сотрудниками торговой компании, с предложением о сотрудничестве. Преступники целенаправленно искали контакты с участниками проекта и входили к ним в доверие. Они продемонстрировали технические знания и опыт, после чего начались месяцы обсуждений в Telegram о потенциальной интеграции.

Под видом интеграции «компания» подключила к протоколу свои хранилища, вложив в экосистему более $1 млн собственных средств. Активное общение продолжалось до конца марта, а после атаки все чаты и контакты были удалены.

Механизм взлома
Хакеры получили доступ к средствам, создав поддельные транзакции. Команда Drift выделяет три возможных способа компрометации:
1. Взлом устройства сотрудника через клонированный репозиторий кода.
2. Убеждение другого члена команды установить вредоносное приложение под видом кошелька.
3. Использование уязвимости в репозиториях, позволяющей выполнить произвольный код.

Расследование с участием экспертов SEALS 911 и правоохранительных органов продолжается. Работа протокола временно приостановлена.

Причастная группировка
Следствие связывает атаку с северокорейской государственной группировкой UNC4736 (также известной как AppleJeus или Citrine Sleet). Эту же организацию подозревают во взломе Radiant Capital на $50 млн в 2024 году. Для внедрения в Drift хакеры использовали поддельные документы и личности, а для личных встреч привлекали посредников, не являющихся гражданами КНДР.

Напомним, в марте 2026 года группировку Lazarus из КНДР уже подозревали в атаке на криптосервис Bitrefill.

Северокорейские хакеры из группы Lazarus взломали протокол Drift и похитили 280 миллионов долларов. Эксперты компаний Diverg, TRM Labs и Elliptic установили, что за атакой стоит та же команда (известная как TraderTraitor), которая ранее атаковала Bybit (на 1,5 млрд долларов) и Ronin (на 625 млн долларов).

В отличие от первоначальных предположений разработчиков Drift, злоумышленник не просто один раз скомпрометировал мультиподпись. 27 марта протокол обновил правила безопасности, но всего через три дня хакер снова взломал новую мультиподпись и использовал механизм отложенного выполнения транзакции.

Подготовка к атаке началась 11 марта, когда хакер вывел 10 ETH через Tornado Cash. Средства прошли через цепочку одноразовых кошельков и кроссчейн-мостов. 12 марта злоумышленник создал 750 миллионов поддельных токенов CVT.

После взлома хакер конвертировал похищенные средства — 14,6 млн USDC и 99,8 WBTC — в примерно 13 150 ETH через протокол CoW Swap за 30 минут.

Все действия хакера были привязаны к рабочим часам в Пхеньяне и совершались только по будням, что соответствует поведенческому профилю Lazarus. В этой атаке группировка применила новую тактику: выпуск фальшивых токенов и манипуляцию данными оракула для завышения стоимости залога.

По данным Elliptic, это уже 18-я атака Lazarus с начала 2026 года. Напомним, что в марте эту группировку также подозревали во взломе криптовалютного сервиса Bitrefill.