sejournal.io

Вот перефразированный текст новости на русском языке:

Хакерские группировки, связанные с Северной Кореей, превратили кражу криптовалют в крупную государственную операцию. У них есть собственная система для отмывания денег и сеть IT-агентов. К такому выводу пришли эксперты компании CertiK.

По данным исследователей, с 2017 по начало 2026 года северокорейские хакеры украли цифровые активы на сумму более 6,7 миллиарда долларов в ходе 263 атак. Реальный ущерб, вероятно, еще больше, так как в статистику не вошли сотни мелких краж у частных лиц и проектов в первые годы существования криптоиндустрии.

Только в 2025 году ущерб от действий хакеров из КНДР составил 2,06 миллиарда долларов — это около 60% от всех потерь криптоотрасли за год. При этом на их долю пришлось лишь 12% от общего числа инцидентов.

Как изменилась тактика хакеров

В CertiK отметили, что северокорейские группы перешли от хаотичных атак к профессиональным операциям с четким распределением обязанностей. Одни подразделения занимаются социальной инженерией, другие — взломом инфраструктуры, а отмыванием денег занимаются отдельные специалисты.

Аналитики выделили несколько этапов эволюции атак:

1. Горячие кошельки бирж (2017–2019) — из-за слабой защиты хакерам не требовалось много ресурсов (примеры: Bithumb, Coincheck).
2. DeFi-протоколы и кроссчейн-мосты (2020–2023) — стали более уязвимыми после того, как централизованные платформы усилили защиту (примеры: Ronin Bridge, Harmony Horizon).
3. Цепочки поставок (2024–2026) — вместо прямых атак на биржи хакеры начали взламывать сторонних поставщиков услуг. Самый громкий случай — кража 1,5 миллиарда долларов у Bybit через взлом продукта Safe.
4. Физическое проникновение (с 2025 года) — атаки сочетают социальную инженерию, внедрение IT-агентов в криптокомпании, контакты под видом венчурных инвесторов и технические методы (пример: Drift Protocol с ущербом 280 миллионов долларов).

Как отмывают украденные активы

После крупнейшего взлома Bybit на 1,5 миллиарда долларов, который связывают с группой Lazarus, хакеры конвертировали около 86% украденного Ethereum в биткоин меньше чем за месяц.

Для заметания следов они использовали:
— быстрые переводы между разными блокчейнами (chain hopping);
— кроссчейн-мосты;
— криптомиксеры;
— внебиржевых брокеров;
— подпольные банковские сети в Азии.

Эксперты подчеркнули, что инфраструктура для отмывания денег стала для хакеров не менее важной, чем сами атаки.

«Армия IT-работников»

Отдельную угрозу представляют северокорейские IT-специалисты, которые под видом удаленных сотрудников устраиваются в западные компании. Такие агенты могут:
— получать доступ к внутренним системам;
— участвовать в разработке кода;
— внедрять вредоносные компоненты;
— собирать данные для будущих атак.

В некоторых случаях для прохождения собеседований они используют ИИ-инструменты и дипфейки.

Напомним, что МИД КНДР отверг обвинения в причастности к кражам криптовалют, назвав их «абсурдной клеветой» и «политическим инструментом» США.

Вот перефразированная новость на русском языке:

Адвокаты пострадавших от действий Северной Кореи изменили свою правовую позицию в споре о 30 766 ETH, которые команда Arbitrum заблокировала после взлома протокола Kelp.

Юристы теперь утверждают, что атакующий не просто украл активы, а взял ETH в долг на платформе Aave, предоставив в залог необеспеченные токены rsETH, и не вернул средства.

«Фактически КНДР заняла активы у пользователей Aave и не вернула их. Когда Aave попытался ликвидировать залог, оказалось, что он ничего не стоит», — говорится в новом документе.

Истцы ссылаются на норму американского права: даже имущество, полученное обманом, временно переходит в законную собственность мошенника, пока это не оспорено в суде. Дополнительно они опираются на Закон о страховании рисков терроризма, принятый после терактов 11 сентября, который позволяет жертвам терроризма взыскивать средства из имущества государств-спонсоров.

Если похищенные при атаке на Kelp средства хотя бы временно принадлежали КНДР, их можно изъять в рамках исполнения судебных решений по делам о терроризме, считают адвокаты.

Аргументы против Aave

В начале мая суд Нью-Йорка запретил Arbitrum размораживать украденные ETH. Децентрализованная автономная организация (ДАО) L2-сети планировала передать их фонду DeFi United, созданному для восстановления экосистемы.

Через несколько дней команда Aave подала срочное ходатайство с требованием снять арест с активов. Представители проекта назвали логику суда юридически необоснованной.

«Вор не владеет тем, что украл. Эти средства принадлежат пользователям, у которых их похитили, и никому больше», — заявил основатель протокола Стани Кулечов.

Адвокаты истцов поставили под сомнение право Aave оспаривать заморозку. Они указали на условия использования платформы, согласно которым она «владеет, хранит и контролирует» активы клиентов. По мнению юристов, это делает проект ответственным за произошедшее и может ослабить его позицию в суде.

Адвокаты также отметили, что пострадавшие вряд ли остро нуждаются в этих 30 766 ETH: DeFi United уже привлек $327,95 млн, что в четыре раза больше обсуждаемой суммы.

Слушание по делу назначено на 6 мая и пройдет в федеральном суде Манхэттена.

Конфликт Kelp и LayerZero

Разработчики Kelp заявили, что причиной апрельского взлома стала уязвимость в инфраструктуре LayerZero. Проект планирует перезапустить кроссчейн-систему на базе Chainlink.

Суть спора — в конфигурации 1-of-1 DVN (децентрализованной сети верификаторов), при которой кроссчейн-сообщения подтверждает один верификатор. Kelp утверждает, что LayerZero одобрила такую настройку и не предупредила о рисках, а после взлома переложила вину.

LayerZero настаивает, что проблема была изолирована на уровне rsETH и возникла из-за опасной конфигурации Kelp. Команда пострадавшего проекта возражает: настройка 1-of-1 широко применялась в экосистеме омничейн-протокола, а решение отказаться от таких настроек подтверждает системный характер уязвимости.

Напомним, в конце апреля LayerZero присоединился к инициативе DeFi United и пожертвовал 10 000 ETH (~$23 млн).

Вот перефразированный текст новости на русском языке:

Команда крупного протокола кредитования Aave срочно обратилась в федеральный суд США с просьбой снять арест с 30 766 ETH (около $73 млн). Эти средства были заблокированы Советом безопасности Arbitrum после взлома платформы Kelp.

В начале мая децентрализованная автономная организация (ДАО) сети второго уровня (L2) Arbitrum начала голосование за передачу этих средств в фонд DeFi United. Однако суд Южного округа Нью-Йорка по требованию истцов, связанных с более ранними делами о террористической деятельности Северной Кореи, запретил использовать эти активы.

Истцы утверждают, что ETH должны быть частью возможной реституции, так как, по их мнению, за атакой на Kelp стоит группировка Lazarus.

Позиция Aave

В Aave назвали решение суда юридически необоснованным.

«Вор не становится законным владельцем украденного. Эти средства принадлежат только тем пользователям, у которых их похитили», — заявил основатель протокола Стани Кулечов.

Он пояснил, что даже временный контроль над украденными активами не делает их собственностью злоумышленника или КНДР.

Проект требует либо полностью отменить запрет на использование средств, либо обязать истцов внести обеспечительный залог не менее $300 млн на случай ущерба от дальнейшей блокировки.

В Aave считают, что длительное удержание монет под арестом ставит под угрозу процесс восстановления после взлома и задерживает выплаты компенсаций пострадавшим пользователям.

Голосование в ДАО Arbitrum завершится 7 мая. На момент публикации более 99% участников поддерживают передачу активов фонду DeFi United.

Напомним, в апреле участник технического совета Arbitrum Грифф Грин призвал к бойкоту USDC из-за слабой системы безопасности.

Вот перефразированный текст новости на русском языке:

Министерство иностранных дел Северной Кореи опровергло обвинения в том, что страна причастна к хищениям криптовалют. Представитель ведомства назвал публикации в СМИ «нелепой клеветой» и «политическим инструментом» США, о чём сообщает государственное агентство KCNA.

В Пхеньяне заявили, что таким образом Вашингтон продвигает «враждебную политику» в отношении КНДР. Представитель МИДа также отметил нелогичность ситуации, когда Соединённые Штаты, обладая «лучшей в мире кибермощью», представляют себя «главной жертвой».

«Наша принципиальная позиция — защищать киберпространство, общее достояние человечества, от любых злонамеренных действий. Мы решительно против попыток использовать киберпроблемы как политический инструмент для нарушения суверенитета и вмешательства во внутренние дела других стран», — говорится в заявлении.

Масштаб потерь

Ранее эксперты TRM Labs подсчитали, что связанные с КНДР хакеры за первые четыре месяца 2026 года похитили около $577 млн. Это составляет 76% всех потерь криптовалютных проектов за указанный период.

Специалисты подчеркнули, что доля Северной Кореи в объёме украденных цифровых активов выросла с менее чем 10% в 2020–2021 годах до 64% в 2025 году. Общая сумма ущерба превысила $6 млрд.

Основной вклад в показатель за текущий год внесли две апрельские атаки. В TRM Labs связали взлом Kelp на $292 млн с группировкой TraderTraitor, аффилированной с Lazarus. Эксплойт Drift на $285 млн аналитики отнесли к отдельной северокорейской подгруппе, однако её причастность ещё проверяется.

В ООН считают, что все украденные средства Северная Корея направляет на развитие ядерных программ.

Напомним, исследователи неоднократно заявляли, что хакеры из КНДР активно устраиваются в криптопроекты. В середине апреля стипендиат Ethereum Foundation обнаружил 100 северокорейских IT-агентов в Web3-компаниях. Сеть связанных с Пхеньяном разработчиков в криптоиндустрии также раскрыл ончейн-детектив ZachXBT.

Северокорейские хакеры полгода готовили атаку на Drift Protocol, украв $280 млн

Команда проекта Drift Protocol заявила, что за масштабную хакерскую атаку 1 апреля, в результате которой было похищено около $280 млн, ответственна северокорейская группировка. На подготовку этой сложной операции у злоумышленников ушло шесть месяцев.

Внедрение в проект
По данным Drift, осенью 2025 года на конференции к ним обратились люди, представившиеся сотрудниками торговой компании, с предложением о сотрудничестве. Преступники целенаправленно искали контакты с участниками проекта и входили к ним в доверие. Они продемонстрировали технические знания и опыт, после чего начались месяцы обсуждений в Telegram о потенциальной интеграции.

Под видом интеграции «компания» подключила к протоколу свои хранилища, вложив в экосистему более $1 млн собственных средств. Активное общение продолжалось до конца марта, а после атаки все чаты и контакты были удалены.

Механизм взлома
Хакеры получили доступ к средствам, создав поддельные транзакции. Команда Drift выделяет три возможных способа компрометации:
1. Взлом устройства сотрудника через клонированный репозиторий кода.
2. Убеждение другого члена команды установить вредоносное приложение под видом кошелька.
3. Использование уязвимости в репозиториях, позволяющей выполнить произвольный код.

Расследование с участием экспертов SEALS 911 и правоохранительных органов продолжается. Работа протокола временно приостановлена.

Причастная группировка
Следствие связывает атаку с северокорейской государственной группировкой UNC4736 (также известной как AppleJeus или Citrine Sleet). Эту же организацию подозревают во взломе Radiant Capital на $50 млн в 2024 году. Для внедрения в Drift хакеры использовали поддельные документы и личности, а для личных встреч привлекали посредников, не являющихся гражданами КНДР.

Напомним, в марте 2026 года группировку Lazarus из КНДР уже подозревали в атаке на криптосервис Bitrefill.

Северокорейские хакеры из группы Lazarus взломали протокол Drift и похитили 280 миллионов долларов. Эксперты компаний Diverg, TRM Labs и Elliptic установили, что за атакой стоит та же команда (известная как TraderTraitor), которая ранее атаковала Bybit (на 1,5 млрд долларов) и Ronin (на 625 млн долларов).

В отличие от первоначальных предположений разработчиков Drift, злоумышленник не просто один раз скомпрометировал мультиподпись. 27 марта протокол обновил правила безопасности, но всего через три дня хакер снова взломал новую мультиподпись и использовал механизм отложенного выполнения транзакции.

Подготовка к атаке началась 11 марта, когда хакер вывел 10 ETH через Tornado Cash. Средства прошли через цепочку одноразовых кошельков и кроссчейн-мостов. 12 марта злоумышленник создал 750 миллионов поддельных токенов CVT.

После взлома хакер конвертировал похищенные средства — 14,6 млн USDC и 99,8 WBTC — в примерно 13 150 ETH через протокол CoW Swap за 30 минут.

Все действия хакера были привязаны к рабочим часам в Пхеньяне и совершались только по будням, что соответствует поведенческому профилю Lazarus. В этой атаке группировка применила новую тактику: выпуск фальшивых токенов и манипуляцию данными оракула для завышения стоимости залога.

По данным Elliptic, это уже 18-я атака Lazarus с начала 2026 года. Напомним, что в марте эту группировку также подозревали во взломе криптовалютного сервиса Bitrefill.