⚠️ Lazarus атакует macOS через фейк-созвоны — $575M+ за 18 дней

В LayerZero опубликовали разбор атаки на KelpDAO (~$292m). По их оценке, за инцидентом, вероятно, стоит северокорейская группа Lazarus. Ключевой причиной атаки названа уязвимая конфигурация безопасности самого протокола. Это снова показывает одну и ту же проблему рынка: даже на сотни миллионов часто ломают не из-за какой-то «магии», а из-за слабой базовой безопасности. 📺Крипто ТВ📺

По информации LayerZero, злоумышленники скомпрометировали два RPC-узла, на которые полагался верфикатор компании, и осуществили DDoS-атаку на остальные узлы. Атака стала возможной благодаря тому, что Kelp проигнорировал рекомендации по использованию мульти-верификаторов. @PROBLOCKCHAIN SQUAD

За взломом Kelp DAO, скорее всего, стоит северокорейская группировка Lazarus В LayerZero пояснили, что злоумышленник получил доступ к списку RPC-узлов, используемых децентрализованной верифицированной сетью (DVN) LayerZero Labs. Это независимые объекты, которые проверяют межсетевые сообщения. Затем злоумышленник заразил два из этих RPC-узлов, заставив их отправить в DVN поддельное межсетевое сообщение. Злоумышленник организовал DDoS-атаку на «чистые» узлы, чтобы заставить DVN полагаться на зараженные узлы. В LayerZero обвинили Kelp DAO в использовании единой системы DVN без резервирования, из-за чего поддельное сообщение было принято. LayerZero и другие сторонние организации ранее делились с KelpDAO рекомендациями по диверсификации DVN. Согласно отчету LayerZero, никакого заражения других активов или приложений не произошло. Атака на KeplDAO вызвала вывод средств с протокола Aave более чем на $10 млрд. При этом общий TVL DeFi снизился с $99 млрд до $86 млрд (-$13 млрд). Источник @SatoshiNews - главное о крипте канал | сайт | ❤ биржа

Circle позволила Северной Корее получить более 240 млн долларов в виде прямого финансирования в результате нескольких хакерских атак, хотя у вас было несколько часов, чтобы принять меры в этом очевидном случае. Как это соответствует требованиям к USDC? Перестаньте вести себя так, будто вы олицетворяете ценности без разрешений — вы являетесь централизованным эмитентом стейблкоина и публичной компанией, у которой есть кнопка администратора для заморозки средств. Не забывайте о тех случаях, когда правоохранительные органы США направляли вам тот же запрос, что и Paxos, Tether, Techteryx в связи с Lazarus Group, а вы отвечали на него на 5 месяцев позже. Ни один закон не запрещает вам замораживать средства, и ваши условия обслуживания говорят, что вы можете это делать. «Финансовая деятельность в Интернете» реагирует на инциденты за считанные минуты, в то время как получение судебного ордера занимает дни.  Вместо этого вы замораживаете 16 горячих кошельков для гражданского дела в США из-за временного судебного запрета (TRO), в котором содержались неверные данные о отслеживании. Ваш пост в блоге во многом противоречит сам себе, и ясно, что у вас проблема с руководством. ⭐️ - поддерживайте канал реакцией ✔️ - подпишитесь на Крипто Сливы

⭐️ - поддерживайте канал реакцией ✔️ - подпишитесь на Крипто Сливы

Почти все крупные источники (Elliptic, TRM Labs, Diverg, The Hacker News, Bitcoin.com, ForkLog и другие) с высокой или средней уверенностью вешают атаку на северокорейскую группу Lazarus (также известна как UNC4736, AppleJeus, TraderTraitor, Gleaming Pisces). Lazarus связывают с предыдущими крупными хаки: Bybit ($1.4–1.5 млрд в 2025), Мост Ронин ($625 млн в 2022), WazirX и другими. Общий объём украденного группой с 2017 года оценивают в $7 млрд. В 2026 году это уже их 18-я атака.

😐 Ранее писали про кражу $285кк из Drift. Появились детали - это не просто хак, а шестимесячная разведоперация Северной Кореи. Как это было: Осень 2025, крипто-конференция. К команде Drift подходят ребята из "квантового трейдингового фонда". Технически грамотные, с проверяемыми биографиями. Дальше - встречи вживую в нескольких странах, рабочие сессии, переписка в Telegram. В декабре заносят $1 млн своих денег в экосистему. Полгода - уже свои люди. Вектор атаки: 🟢Уязвимость в VSCode/Cursor - достаточно было открыть файл из "рабочего" репозитория 🟢Через соц.инженерию получили 2/5 подписей мультисига Security Council 🟢Юзали Durable Nonces - подписали транзакции заранее, активировали в нужный момент 🟢Drift сам убрал таймлок на миграции - последнюю линию защиты В момент срабатывания эксплойта вся переписка в Telegram и следы малвари зачищены автоматически. 31 транзакция за 12 минут - $280 млн ушли. Кто такие Lazarus: Это не кучка рандомных хакеров. КНДР отбирает талантливых детей с 8-10 лет, забирает из семей и 12 часов в день учит математике и программированию. Позже дают интернет для изучения финансовой культуры. Отправляют за рубеж жить под чужими личностями годами - обычные IT-шники, ноль подозрений. Последствия: 🟠Крупнейший DeFi взлом 2026 | второй в истории Solana 🟠DRIFT -40% | TVL с $550кк до $240кк 🟠Circle под хейтом за бездействие пока $230кк USDC уходили 🗒 Самый дорогой нетворкинг в истории крипты. Не баг, не эксплойт смарт-контракта, а полгода терпения и доверия. Показывает что в DeFi слабое звено это люди, а не код. И от Lazarus не спасёт ни аудит ни мультисиг. Slavik | Updates | Инстаграм | ИИ Клуб

Инструкция для крипто-фаундеров: нанимайте анонимных разработчиков без видеозвонков, ведь главное — чтобы код писал! Именно так более 40 проектов приютили спецов из КНДР. Эти ребята — профи. Они не факапят дедлайны, они просто ждут команды от Lazarus Group. Как только доступ к критическим узлам получен, проект превращается в донорскую помощь для Пхеньяна. Помните: если ваш разработчик слишком идеален и никогда не включает камеру — возможно, он просто очень ценит приватность... или живет в закрытом городе. Крипто Вестник | Bybit

Выяснилось, что десятки криптопроектов нанимали сотрудников из Северной Кореи. Часто это были ключевые разработчики с глубоким пониманием продукта. На деле эти люди — часть масштабной сети по сбору данных и доступов для последующих атак. Они выглядят как обычные «гребцы» на галере, но их истинная цель — инфраструктура для хаков Lazarus. Это новый уровень социальной инженерии, где враг не ломится в дверь, а пишет для вас смарт-контракты за зарплату. Денни про крипту | Bybit

Инструкция для крипто-фаундеров: нанимайте анонимных разработчиков без видеозвонков, ведь главное — чтобы код писал! Именно так более 40 проектов приютили спецов из КНДР. Эти ребята — профи. Они не факапят дедлайны, они просто ждут команды от Lazarus Group. Как только доступ к критическим узлам получен, проект превращается в донорскую помощь для Пхеньяна. Помните: если ваш разработчик слишком идеален и никогда не включает камеру — возможно, он просто очень ценит приватность... или живет в закрытом городе. Крипто Вестник | Bybit

История, достойная Netflix: минимум 40 криптопроектов наняли разработчиков из Северной Кореи, сами того не подозревая. Это не просто фрилансеры, а опытные спецы, которые годами строили безупречное резюме. Проблема в том, что их зарплата идет не на пиццу, а в бюджет Lazarus Group. Получив доступ к коду и мультисигам, такие «сотрудники» превращаются в троянских коней. И когда наступает час X, проект выносят за считанные минуты. Будьте аккуратнее с наймом в Discord — возможно, ваш «Senior Solidity Dev» сейчас отдает честь портрету вождя. Азбука │ ByВit

Северокорейские хакеры уже 7 лет внедряются в DeFi По меньшей мере 40 DeFi-проектов, вероятно, были взломаны северокорейскими IT-экспертами на каком-то этапе их существования. Они устраиваются на работу в криптопроекты, но на деле действуют в интересах таких группировок как Lazarus Group. Источник @SatoshiNews - главное о крипте канал | сайт | ❤ биржа

Это часть более широкой активности, связанной с группировкой Lazarus Group, которую связывают с кражей около $7 млрд в крипте. Такие сотрудники могут выглядеть как обычные разработчики, но используются для доступа к инфраструктуре и последующих атак, включая недавние крупные взломы. МИР НФТ . World NFT 📱

Это часть более широкой активности, связанной с группировкой Lazarus Group, которую связывают с кражей около $7 млрд в крипте. Такие сотрудники могут выглядеть как обычные разработчики, но используются для доступа к инфраструктуре и последующих атак, включая недавние крупные взломы. МИР НФТ . World NFT 📱