⚠️ Lazarus атакует macOS через фейк-созвоны — $575M+ за 18 дней

Северокорейская группировка Lazarus раскрутила новую схему — её назвали Mach-O Man. Жертве шлют приглашение на Zoom/Teams в Telegram, во время "созвона" просят ввести "одну команду в терминал для фикса бага". Эта команда сама ставит бэкдор. Почему это работает: - Цель — крипто-CEO, CTO, DeFi-разработчики, крупные трейдеры на Mac - Звонок выглядит как обычное собеседование или партнёрский митинг - Техника называется ClickFix — пользователь сам копипастит вредонос - Малварь самоудаляется после вывода — расследование почти невозможно За одной группой Lazarus в апреле уже стоят: $285M (Drift, 1 апр) + $292M (KelpDAO, 18 апр) + Mach-O Man как третий вектор. Ключи к серьёзным суммам не должны жить там же где Zoom и почта. #security #lazarus #selfcustody 🛡 Ryder: кошелёк без seed-фразы — моё хранение по умолчанию. 📲 Мои каналы: Youtube • X • TikTok

😐 Ранее писали про утилизацию рынков на 100%. Теперь хак KelpDAO закрывают коллективно. Aave запустил DeFi United - общий фонд чтобы залатать обеспечение rsETH. Дыра 112к токенов (~$258кк). Первый раз в крипте когда конкуренты скидываются на чужую проблему. Кто сколько закинул: 🟢Стани Кулечов (основатель Aave) - 5,000 ETH из личных 🟢EtherFi - 5,000 ETH (governance vote) 🟢Lido - 2,500 stETH (~$5.75 млн) 🟢Golem Foundation - 1,000 ETH 🟢Mantle - предлагает одолжить 30,000 ETH Ethena и LayerZero тоже пообещали, суммы не раскрыли. Анонс набрал 46к просмотров. Что с хакером: Arbitrum Security Council заморозил 30,766 ETH ($71кк). 12 человек приняли решение без голосования комьюнити. LayerZero подтвердил - это Lazarus Group из КНДР. DeFi спасает DeFi, но "децентрализованная" сеть заморозила $71кк решением 12 человек. CoinDesk написал что "рынок переоценил DeFi за 48 часов". 🗒 Сигнал правильный, но дыра $258кк а собрали ~$30кк. Пока это 12% проблемы. Slavik | Updates | Инстаграм | ИИ Клуб

Хакеры, предположительно связанные с Lazarus Group, начали активно отмывать средства через блокчейн-мосты. Среди них оказался и LayerZero, из которого изначально и были похищены активы, сообщил аналитик Specter. Для рынка это еще один неприятный сигнал: после крупных взломов деньги все быстрее уходят через ту же инфраструктуру, на которой и произошла атака. Это снова бьет по доверию не только к отдельному протоколу, но и к самим мостам как классу. 📺Крипто ТВ📺

Protos: LayerZero - один из мостов, который северокорейская хакерская группировка Lazarus активно использует для отмывания украденной криптовалюты. Источник @SatoshiNews - главное о крипте канал | сайт | ❤ биржа

@DeCenter

Хакеры не просто нашли баг, они разыграли шахматную партию: отравили RPC-узлы, завалили сеть DDoS-атакой и подсунули вредоносную инструкцию через LayerZero. Итог: 116 500 rsETH испарились, а протокол теперь ищет крайних, перекидывая вину на партнеров. Рынок отреагировал мгновенно: из DeFi за 48 часов утекло $13 млрд, а в Aave дыра в депозитах выросла до $8.5 млрд из-за попыток хакеров отмыть украденное. Пока KelpDAO и LayerZero спорят, чья конфигурация хуже, ликвидность продолжает бежать из рынка. Похоже, безопасный рестейкинг оказался безопасным только до первой серьезной проверки северокорейцами.

В LayerZero опубликовали разбор атаки на KelpDAO (~$292m). По их оценке, за инцидентом, вероятно, стоит северокорейская группа Lazarus. Ключевой причиной атаки названа уязвимая конфигурация безопасности самого протокола. Это снова показывает одну и ту же проблему рынка: даже на сотни миллионов часто ломают не из-за какой-то «магии», а из-за слабой базовой безопасности. 📺Крипто ТВ📺

По информации LayerZero, злоумышленники скомпрометировали два RPC-узла, на которые полагался верфикатор компании, и осуществили DDoS-атаку на остальные узлы. Атака стала возможной благодаря тому, что Kelp проигнорировал рекомендации по использованию мульти-верификаторов. @PROBLOCKCHAIN SQUAD

За взломом Kelp DAO, скорее всего, стоит северокорейская группировка Lazarus В LayerZero пояснили, что злоумышленник получил доступ к списку RPC-узлов, используемых децентрализованной верифицированной сетью (DVN) LayerZero Labs. Это независимые объекты, которые проверяют межсетевые сообщения. Затем злоумышленник заразил два из этих RPC-узлов, заставив их отправить в DVN поддельное межсетевое сообщение. Злоумышленник организовал DDoS-атаку на «чистые» узлы, чтобы заставить DVN полагаться на зараженные узлы. В LayerZero обвинили Kelp DAO в использовании единой системы DVN без резервирования, из-за чего поддельное сообщение было принято. LayerZero и другие сторонние организации ранее делились с KelpDAO рекомендациями по диверсификации DVN. Согласно отчету LayerZero, никакого заражения других активов или приложений не произошло. Атака на KeplDAO вызвала вывод средств с протокола Aave более чем на $10 млрд. При этом общий TVL DeFi снизился с $99 млрд до $86 млрд (-$13 млрд). Источник @SatoshiNews - главное о крипте канал | сайт | ❤ биржа

Circle позволила Северной Корее получить более 240 млн долларов в виде прямого финансирования в результате нескольких хакерских атак, хотя у вас было несколько часов, чтобы принять меры в этом очевидном случае. Как это соответствует требованиям к USDC? Перестаньте вести себя так, будто вы олицетворяете ценности без разрешений — вы являетесь централизованным эмитентом стейблкоина и публичной компанией, у которой есть кнопка администратора для заморозки средств. Не забывайте о тех случаях, когда правоохранительные органы США направляли вам тот же запрос, что и Paxos, Tether, Techteryx в связи с Lazarus Group, а вы отвечали на него на 5 месяцев позже. Ни один закон не запрещает вам замораживать средства, и ваши условия обслуживания говорят, что вы можете это делать. «Финансовая деятельность в Интернете» реагирует на инциденты за считанные минуты, в то время как получение судебного ордера занимает дни.  Вместо этого вы замораживаете 16 горячих кошельков для гражданского дела в США из-за временного судебного запрета (TRO), в котором содержались неверные данные о отслеживании. Ваш пост в блоге во многом противоречит сам себе, и ясно, что у вас проблема с руководством. ⭐️ - поддерживайте канал реакцией ✔️ - подпишитесь на Крипто Сливы

⭐️ - поддерживайте канал реакцией ✔️ - подпишитесь на Крипто Сливы

Почти все крупные источники (Elliptic, TRM Labs, Diverg, The Hacker News, Bitcoin.com, ForkLog и другие) с высокой или средней уверенностью вешают атаку на северокорейскую группу Lazarus (также известна как UNC4736, AppleJeus, TraderTraitor, Gleaming Pisces). Lazarus связывают с предыдущими крупными хаки: Bybit ($1.4–1.5 млрд в 2025), Мост Ронин ($625 млн в 2022), WazirX и другими. Общий объём украденного группой с 2017 года оценивают в $7 млрд. В 2026 году это уже их 18-я атака.

😐 Ранее писали про кражу $285кк из Drift. Появились детали - это не просто хак, а шестимесячная разведоперация Северной Кореи. Как это было: Осень 2025, крипто-конференция. К команде Drift подходят ребята из "квантового трейдингового фонда". Технически грамотные, с проверяемыми биографиями. Дальше - встречи вживую в нескольких странах, рабочие сессии, переписка в Telegram. В декабре заносят $1 млн своих денег в экосистему. Полгода - уже свои люди. Вектор атаки: 🟢Уязвимость в VSCode/Cursor - достаточно было открыть файл из "рабочего" репозитория 🟢Через соц.инженерию получили 2/5 подписей мультисига Security Council 🟢Юзали Durable Nonces - подписали транзакции заранее, активировали в нужный момент 🟢Drift сам убрал таймлок на миграции - последнюю линию защиты В момент срабатывания эксплойта вся переписка в Telegram и следы малвари зачищены автоматически. 31 транзакция за 12 минут - $280 млн ушли. Кто такие Lazarus: Это не кучка рандомных хакеров. КНДР отбирает талантливых детей с 8-10 лет, забирает из семей и 12 часов в день учит математике и программированию. Позже дают интернет для изучения финансовой культуры. Отправляют за рубеж жить под чужими личностями годами - обычные IT-шники, ноль подозрений. Последствия: 🟠Крупнейший DeFi взлом 2026 | второй в истории Solana 🟠DRIFT -40% | TVL с $550кк до $240кк 🟠Circle под хейтом за бездействие пока $230кк USDC уходили 🗒 Самый дорогой нетворкинг в истории крипты. Не баг, не эксплойт смарт-контракта, а полгода терпения и доверия. Показывает что в DeFi слабое звено это люди, а не код. И от Lazarus не спасёт ни аудит ни мультисиг. Slavik | Updates | Инстаграм | ИИ Клуб

Инструкция для крипто-фаундеров: нанимайте анонимных разработчиков без видеозвонков, ведь главное — чтобы код писал! Именно так более 40 проектов приютили спецов из КНДР. Эти ребята — профи. Они не факапят дедлайны, они просто ждут команды от Lazarus Group. Как только доступ к критическим узлам получен, проект превращается в донорскую помощь для Пхеньяна. Помните: если ваш разработчик слишком идеален и никогда не включает камеру — возможно, он просто очень ценит приватность... или живет в закрытом городе. Крипто Вестник | Bybit

Выяснилось, что десятки криптопроектов нанимали сотрудников из Северной Кореи. Часто это были ключевые разработчики с глубоким пониманием продукта. На деле эти люди — часть масштабной сети по сбору данных и доступов для последующих атак. Они выглядят как обычные «гребцы» на галере, но их истинная цель — инфраструктура для хаков Lazarus. Это новый уровень социальной инженерии, где враг не ломится в дверь, а пишет для вас смарт-контракты за зарплату. Денни про крипту | Bybit

Инструкция для крипто-фаундеров: нанимайте анонимных разработчиков без видеозвонков, ведь главное — чтобы код писал! Именно так более 40 проектов приютили спецов из КНДР. Эти ребята — профи. Они не факапят дедлайны, они просто ждут команды от Lazarus Group. Как только доступ к критическим узлам получен, проект превращается в донорскую помощь для Пхеньяна. Помните: если ваш разработчик слишком идеален и никогда не включает камеру — возможно, он просто очень ценит приватность... или живет в закрытом городе. Крипто Вестник | Bybit

История, достойная Netflix: минимум 40 криптопроектов наняли разработчиков из Северной Кореи, сами того не подозревая. Это не просто фрилансеры, а опытные спецы, которые годами строили безупречное резюме. Проблема в том, что их зарплата идет не на пиццу, а в бюджет Lazarus Group. Получив доступ к коду и мультисигам, такие «сотрудники» превращаются в троянских коней. И когда наступает час X, проект выносят за считанные минуты. Будьте аккуратнее с наймом в Discord — возможно, ваш «Senior Solidity Dev» сейчас отдает честь портрету вождя. Азбука │ ByВit

Северокорейские хакеры уже 7 лет внедряются в DeFi По меньшей мере 40 DeFi-проектов, вероятно, были взломаны северокорейскими IT-экспертами на каком-то этапе их существования. Они устраиваются на работу в криптопроекты, но на деле действуют в интересах таких группировок как Lazarus Group. Источник @SatoshiNews - главное о крипте канал | сайт | ❤ биржа

Это часть более широкой активности, связанной с группировкой Lazarus Group, которую связывают с кражей около $7 млрд в крипте. Такие сотрудники могут выглядеть как обычные разработчики, но используются для доступа к инфраструктуре и последующих атак, включая недавние крупные взломы. МИР НФТ . World NFT 📱

Это часть более широкой активности, связанной с группировкой Lazarus Group, которую связывают с кражей около $7 млрд в крипте. Такие сотрудники могут выглядеть как обычные разработчики, но используются для доступа к инфраструктуре и последующих атак, включая недавние крупные взломы. МИР НФТ . World NFT 📱