🇰🇵 76% всех крипто-хаков 2026 года — это две атаки от Северной Кореи

Хакеры, предположительно связанные с Lazarus Group, начали активно отмывать средства через блокчейн-мосты. Среди них оказался и LayerZero, из которого изначально и были похищены активы, сообщил аналитик Specter. Для рынка это еще один неприятный сигнал: после крупных взломов деньги все быстрее уходят через ту же инфраструктуру, на которой и произошла атака. Это снова бьет по доверию не только к отдельному протоколу, но и к самим мостам как классу. 📺Крипто ТВ📺

Protos: LayerZero - один из мостов, который северокорейская хакерская группировка Lazarus активно использует для отмывания украденной криптовалюты. Источник @SatoshiNews - главное о крипте канал | сайт | ❤ биржа

@DeCenter

Хакеры не просто нашли баг, они разыграли шахматную партию: отравили RPC-узлы, завалили сеть DDoS-атакой и подсунули вредоносную инструкцию через LayerZero. Итог: 116 500 rsETH испарились, а протокол теперь ищет крайних, перекидывая вину на партнеров. Рынок отреагировал мгновенно: из DeFi за 48 часов утекло $13 млрд, а в Aave дыра в депозитах выросла до $8.5 млрд из-за попыток хакеров отмыть украденное. Пока KelpDAO и LayerZero спорят, чья конфигурация хуже, ликвидность продолжает бежать из рынка. Похоже, безопасный рестейкинг оказался безопасным только до первой серьезной проверки северокорейцами.

В LayerZero опубликовали разбор атаки на KelpDAO (~$292m). По их оценке, за инцидентом, вероятно, стоит северокорейская группа Lazarus. Ключевой причиной атаки названа уязвимая конфигурация безопасности самого протокола. Это снова показывает одну и ту же проблему рынка: даже на сотни миллионов часто ломают не из-за какой-то «магии», а из-за слабой базовой безопасности. 📺Крипто ТВ📺

KelpDAO взломали примерно на $290 млн — и здесь важно понять, что это был не обычный баг в коде, а куда более сложная история, сообщает LayerZero. Атака шла не напрямую на протокол, а через инфраструктуру — так называемые RPC-ноды (это серверы, через которые блокчейн “общается” с внешним миром). Хакеры, предположительно из Lazarus Group, смогли подменить данные, которые эти ноды отправляют системе проверки транзакций. 👀 Дальше схема выглядела так: часть нод взломали и начали передавать фейковые данные, а остальные ноды просто “вырубили” через DDoS-атаку. В итоге система осталась без нормальной проверки и начала подтверждать операции, которых на самом деле не было. Почему пострадал KelpDAO? 💬 У них была максимально уязвимая конфигурация: всего один проверяющий узел (1/1 DVN). Это как если бы у вас был один охранник на весь банк — если его обманули, дальше никто уже ничего не проверяет. Во всех нормальных сценариях должно быть несколько независимых проверок (multi-DVN), чтобы даже при взломе одного элемента система не ломалась. И именно поэтому: ➖ весь удар пришёлся только на rsETH от KelpDAO ➖ никакие другие проекты и активы не пострадали ➖ сам протокол LayerZero не был взломан Но самое интересное началось дальше — уже в Aave. 💬 Атакующий занёс в систему “фейковые” rsETH и под них занял реальные активы. Когда это вскрылось, крупные игроки начали срочно выводить деньги — за сутки из протокола ушло более $6 млрд ликвидности. Пулы ETH, USDT и USDC фактически опустели и ушли в 100% загрузку. Это создало парадоксальную ситуацию: деньги вроде есть, но вывести их нельзя. И пользователи начали занимать под собственные депозиты, просто чтобы вытащить хоть какую-то ликвидность. За сутки таких “вынужденных займов” набралось примерно на $300 млн — по сути, люди брали кредиты под свои же деньги с убытком. 📉 На этом фоне токен AAVE упал примерно на 15%, а на биржи зашло более 355 тыс. токенов (~$32 млн), что усилило давление продаж. И это важный момент: сам Aave не был взломан. Но один внешний актив смог вызвать эффект домино и заморозить ликвидность внутри системы. Это хороший пример того, что главный риск в DeFi сегодня — это не только код, а взаимосвязи между протоколами. #новости_рынок 📲 IF Crypto — MAX

По информации LayerZero, злоумышленники скомпрометировали два RPC-узла, на которые полагался верфикатор компании, и осуществили DDoS-атаку на остальные узлы. Атака стала возможной благодаря тому, что Kelp проигнорировал рекомендации по использованию мульти-верификаторов. @PROBLOCKCHAIN SQUAD

За взломом Kelp DAO, скорее всего, стоит северокорейская группировка Lazarus В LayerZero пояснили, что злоумышленник получил доступ к списку RPC-узлов, используемых децентрализованной верифицированной сетью (DVN) LayerZero Labs. Это независимые объекты, которые проверяют межсетевые сообщения. Затем злоумышленник заразил два из этих RPC-узлов, заставив их отправить в DVN поддельное межсетевое сообщение. Злоумышленник организовал DDoS-атаку на «чистые» узлы, чтобы заставить DVN полагаться на зараженные узлы. В LayerZero обвинили Kelp DAO в использовании единой системы DVN без резервирования, из-за чего поддельное сообщение было принято. LayerZero и другие сторонние организации ранее делились с KelpDAO рекомендациями по диверсификации DVN. Согласно отчету LayerZero, никакого заражения других активов или приложений не произошло. Атака на KeplDAO вызвала вывод средств с протокола Aave более чем на $10 млрд. При этом общий TVL DeFi снизился с $99 млрд до $86 млрд (-$13 млрд). Источник @SatoshiNews - главное о крипте канал | сайт | ❤ биржа

Circle позволила Северной Корее получить более 240 млн долларов в виде прямого финансирования в результате нескольких хакерских атак, хотя у вас было несколько часов, чтобы принять меры в этом очевидном случае. Как это соответствует требованиям к USDC? Перестаньте вести себя так, будто вы олицетворяете ценности без разрешений — вы являетесь централизованным эмитентом стейблкоина и публичной компанией, у которой есть кнопка администратора для заморозки средств. Не забывайте о тех случаях, когда правоохранительные органы США направляли вам тот же запрос, что и Paxos, Tether, Techteryx в связи с Lazarus Group, а вы отвечали на него на 5 месяцев позже. Ни один закон не запрещает вам замораживать средства, и ваши условия обслуживания говорят, что вы можете это делать. «Финансовая деятельность в Интернете» реагирует на инциденты за считанные минуты, в то время как получение судебного ордера занимает дни.  Вместо этого вы замораживаете 16 горячих кошельков для гражданского дела в США из-за временного судебного запрета (TRO), в котором содержались неверные данные о отслеживании. Ваш пост в блоге во многом противоречит сам себе, и ясно, что у вас проблема с руководством. ⭐️ - поддерживайте канал реакцией ✔️ - подпишитесь на Крипто Сливы

⭐️ - поддерживайте канал реакцией ✔️ - подпишитесь на Крипто Сливы

Почти все крупные источники (Elliptic, TRM Labs, Diverg, The Hacker News, Bitcoin.com, ForkLog и другие) с высокой или средней уверенностью вешают атаку на северокорейскую группу Lazarus (также известна как UNC4736, AppleJeus, TraderTraitor, Gleaming Pisces). Lazarus связывают с предыдущими крупными хаки: Bybit ($1.4–1.5 млрд в 2025), Мост Ронин ($625 млн в 2022), WazirX и другими. Общий объём украденного группой с 2017 года оценивают в $7 млрд. В 2026 году это уже их 18-я атака.

😐 Ранее писали про кражу $285кк из Drift. Появились детали - это не просто хак, а шестимесячная разведоперация Северной Кореи. Как это было: Осень 2025, крипто-конференция. К команде Drift подходят ребята из "квантового трейдингового фонда". Технически грамотные, с проверяемыми биографиями. Дальше - встречи вживую в нескольких странах, рабочие сессии, переписка в Telegram. В декабре заносят $1 млн своих денег в экосистему. Полгода - уже свои люди. Вектор атаки: 🟢Уязвимость в VSCode/Cursor - достаточно было открыть файл из "рабочего" репозитория 🟢Через соц.инженерию получили 2/5 подписей мультисига Security Council 🟢Юзали Durable Nonces - подписали транзакции заранее, активировали в нужный момент 🟢Drift сам убрал таймлок на миграции - последнюю линию защиты В момент срабатывания эксплойта вся переписка в Telegram и следы малвари зачищены автоматически. 31 транзакция за 12 минут - $280 млн ушли. Кто такие Lazarus: Это не кучка рандомных хакеров. КНДР отбирает талантливых детей с 8-10 лет, забирает из семей и 12 часов в день учит математике и программированию. Позже дают интернет для изучения финансовой культуры. Отправляют за рубеж жить под чужими личностями годами - обычные IT-шники, ноль подозрений. Последствия: 🟠Крупнейший DeFi взлом 2026 | второй в истории Solana 🟠DRIFT -40% | TVL с $550кк до $240кк 🟠Circle под хейтом за бездействие пока $230кк USDC уходили 🗒 Самый дорогой нетворкинг в истории крипты. Не баг, не эксплойт смарт-контракта, а полгода терпения и доверия. Показывает что в DeFi слабое звено это люди, а не код. И от Lazarus не спасёт ни аудит ни мультисиг. Slavik | Updates | Инстаграм | ИИ Клуб

Инструкция для крипто-фаундеров: нанимайте анонимных разработчиков без видеозвонков, ведь главное — чтобы код писал! Именно так более 40 проектов приютили спецов из КНДР. Эти ребята — профи. Они не факапят дедлайны, они просто ждут команды от Lazarus Group. Как только доступ к критическим узлам получен, проект превращается в донорскую помощь для Пхеньяна. Помните: если ваш разработчик слишком идеален и никогда не включает камеру — возможно, он просто очень ценит приватность... или живет в закрытом городе. Крипто Вестник | Bybit

Выяснилось, что десятки криптопроектов нанимали сотрудников из Северной Кореи. Часто это были ключевые разработчики с глубоким пониманием продукта. На деле эти люди — часть масштабной сети по сбору данных и доступов для последующих атак. Они выглядят как обычные «гребцы» на галере, но их истинная цель — инфраструктура для хаков Lazarus. Это новый уровень социальной инженерии, где враг не ломится в дверь, а пишет для вас смарт-контракты за зарплату. Денни про крипту | Bybit