Minder dan drie weken nadat Noord-Korea-gelinkte hackers social engineering gebruikten om cryptohandelsfirma Drift aan te vallen, lijken hackers die aan de natie zijn verbonden nog een grote exploit met Kelp te hebben uitgevoerd.
De aanval op Kelp, een restaking-protocol dat verbonden is met LayerZero's cross-chain infrastructuur, suggereert een evolutie in hoe Noord-Korea-gelinkte hackers opereren, niet alleen op zoek naar bugs of gestolen inloggegevens, maar het exploiteren van de basisaannames die in gedecentraliseerde systemen zijn ingebouwd.
Samen genomen wijzen de twee incidenten op iets meer georganiseerds dan een reeks eenmalige hacks, terwijl Noord-Korea zijn inspanningen blijft opvoeren om fondsen uit de cryptosector te kapen.
"Dit is geen reeks incidenten; het is een ritme," zei Alexander Urbelis, chief information security officer en algemeen juridisch adviseur bij ENS Labs. "Je kunt niet uit een aanschaffingsschema patchen."
Meer dan $500 miljoen werd weggezogen via de Drift- en Kelp-exploits in iets meer dan twee weken.
Hoe Kelp werd geschonden
In de kern omvatte de Kelp-exploit geen het breken van encryptie of het kraken van sleutels. Het systeem werkte eigenlijk zoals het was ontworpen. In plaats daarvan manipuleerden aanvallers de gegevens die in het systeem werden ingevoerd en dwongen het om op die gecompromitteerde invoer te vertrouwen, waardoor het transacties goedkeurde die nooit daadwerkelijk plaatsvonden.
"Het beveiligingsfalen is simpel: een ondertekende leugen is nog steeds een leugen," zei Urbelis. "Handtekeningen garanderen auteurschap; ze garanderen geen waarheid."
In eenvoudiger bewoordingen controleerde het systeem wie het bericht verzond, niet of het bericht zelf correct was. Voor beveiligingsexperts maakt dit het minder over een slimme nieuwe hack en meer over het exploiteren van hoe het systeem was opgezet.
"Deze aanval ging niet over het breken van cryptografie," zei David Schwed, COO van blockchainbeveiligingsfirma SVRN. "Het ging over het exploiteren van hoe het systeem was opgezet."
Een belangrijk probleem was een configuratiekeuze. Kelp vertrouwde op een enkele verifier, in wezen één controleur, om cross-chain berichten goed te keuren. Dat komt omdat het sneller en eenvoudiger is om op te zetten, maar het verwijdert een kritieke veiligheidslaag.
LayerZero heeft sindsdien aanbevolen om meerdere onafhankelijke verifiers te gebruiken om transacties goed te keuren als gevolg, vergelijkbaar met het vereisen van meerdere handtekeningen bij een bankoverschrijving. Sommigen in het ecosysteem hebben dit frame teruggeduwd, zeggend dat LayerZero's standaardinstelling was om een enkele verifier te hebben.
"Als je een configuratie als onveilig hebt geïdentificeerd, lever het dan niet als optie," zei Schwed. "Beveiliging die afhankelijk is van iedereen die de documenten leest en het goed doet, is niet realistisch."
De nasleep is niet beperkt gebleven tot Kelp. Zoals veel DeFi-systemen worden zijn activa op meerdere platforms gebruikt, wat betekent dat problemen zich kunnen verspreiden.
"Deze activa zijn een keten van schuldbekentenissen," zei Schwed. "En de keten is slechts zo sterk als de controles op elke schakel."
Wanneer één schakel breekt, worden anderen beïnvloed. In dit geval hebben leenplatforms zoals Aave die de getroffen activa als onderpand accepteerden nu te maken met verliezen, waardoor een enkele exploit verandert in een breder stress-evenement.
Decentralisatiemarketing
De aanval legt ook een kloof bloot tussen hoe decentralisatie wordt gemarkt en hoe het daadwerkelijk werkt.
"Een enkele verifier is niet gedecentraliseerd," zei Schwed. "Het is een gecentraliseerde gedecentraliseerde verifier."
Urbelis stelt het breder.
"Decentralisatie is geen eigenschap die een systeem heeft. Het is een reeks keuzes," zei hij. "En de stack is slechts zo sterk als zijn meest gecentraliseerde laag."
In de praktijk betekent dit dat zelfs systemen die gedecentraliseerd lijken zwakke punten kunnen hebben, vooral in de minder zichtbare lagen zoals gegevensleveranciers of infrastructuur. Dat zijn steeds meer waar aanvallers zich op richten.
Die verschuiving kan Lazarus' recente targeting verklaren.
De groep is begonnen zich te richten op cross-chain en restaking-infrastructuur, zei Urbelis, de delen van crypto die activa tussen systemen verplaatsen of toestaan dat ze opnieuw worden gebruikt.
Deze lagen zijn kritiek maar complex, vaak zittend onder meer zichtbare applicaties. Ze hebben ook de neiging grote hoeveelheden waarde vast te houden, waardoor ze aantrekkelijke doelen zijn.
Als eerdere golven van cryptohacks zich richtten op exchanges of voor de hand liggende codefouten, suggereert recente activiteit een verschuiving naar wat de loodgieterswerk van de industrie zou kunnen worden genoemd, de systemen die alles met elkaar verbinden, maar moeilijker te monitoren en gemakkelijker verkeerd te configureren zijn.
Terwijl Lazarus zich blijft aanpassen, is het grootste risico misschien niet onbekende kwetsbaarheden, maar bekende die niet volledig worden aangepakt.
De Kelp-exploit introduceerde geen nieuw soort zwakte. Het toonde hoe blootgesteld het ecosysteem blijft aan bekende, vooral wanneer beveiliging wordt behandeld als een aanbeveling in plaats van een vereiste.
En naarmate aanvallers sneller bewegen, wordt die kloof zowel gemakkelijker te exploiteren als veel duurder om te negeren.
Lees meer: Noord-Koreaanse hackers voeren massale door de staat gesponsorde overvallen uit om hun economie en nucleair programma te runnen
Bron: https://www.coindesk.com/tech/2026/04/20/north-korea-s-crypto-heist-playbook-is-expanding-and-defi-keeps-getting-hit
