सप्ताहांत में केल्पडीएओ के क्रॉस-चेन ब्रिज से लगभग $292 मिलियन निकालने वाला हमला उत्तर कोरिया के लाजरस ग्रुप, विशेष रूप से उसकी ट्रेडरट्रेटर उप-इकाई का काम "संभवतः" था, लेयरज़ीरो ने सोमवार को एक प्रारंभिक विश्लेषण में कहा।
हमलावरों ने शनिवार को केल्पडीएओ ब्रिज से 116,500 rsETH, जो स्टेक्ड ईथर द्वारा समर्थित एक तरल रीस्टेकिंग टोकन है, निकाले, जिससे विकेन्द्रीकृत वित्त क्षेत्र में निकासी शुरू हो गई, जिसने ऋण प्रोटोकॉल एवे से $10 बिलियन से अधिक राशि खींच ली।
लेयरज़ीरो ने कहा कि यह हमला "एक अत्यधिक परिष्कृत राज्य अभिनेता, संभवतः डीपीआरके के लाजरस ग्रुप" के निशान लिए हुए था, जिसमें ग्रुप की ट्रेडरट्रेटर उप-इकाई का उल्लेख किया गया था।
पैराडिग्म शोधकर्ता सैमक्ज़सन के एक विश्लेषण के अनुसार, उत्तर कोरिया के साइबर संचालन रिकॉनिसेंस जनरल ब्यूरो के तहत चलते हैं, जिसमें ट्रेडरट्रेटर, एप्पलजियस, एपीटी38 और डेंजरसपासवर्ड सहित कई विशिष्ट इकाइयाँ शामिल हैं।
https://t.co/3vIHs3Xgs4
— LayerZero (@LayerZero_Core) April 20, 2026
इन उप-इकाइयों में, ट्रेडरट्रेटर को क्रिप्टो को लक्षित करने वाले सबसे परिष्कृत डीपीआरके अभिनेता के रूप में चिह्नित किया गया है, जो पहले एक्सी इन्फिनिटी रोनिन ब्रिज और वज़ीरएक्स उल्लंघनों से जुड़ा था।
लेयरज़ीरो ने कहा कि केल्पडीएओ ने ब्रिज से अंदर और बाहर स्थानांतरणों को मंज़ूरी देने के लिए एक एकल सत्यापनकर्ता का उपयोग किया था, साथ ही यह भी कहा कि उसने केल्पडीएओ से इसके बजाय कई सत्यापनकर्ताओं का उपयोग करने का बार-बार आग्रह किया था।
आगे चलकर, लेयरज़ीरो ने कहा कि वह उस सेटअप पर चल रहे किसी भी एप्लिकेशन के लिए संदेशों को मंज़ूरी देना बंद कर देगा।
पर्यवेक्षकों का कहना है कि इस हमले ने उजागर किया कि ब्रिज को एक एकल सत्यापनकर्ता पर भरोसा करने के लिए कैसे बनाया गया था।
यह "विफलता का एक एकल बिंदु था, चाहे मार्केटिंग इसे कुछ भी कहे," क्रिप्टोग्राफिक सुरक्षा फर्म सोदोट के सह-संस्थापक शालेव केरेन ने डिक्रिप्ट को बताया।
केरेन ने कहा कि एक एकल समझौता किया गया चेकपॉइंट धन को ब्रिज से बाहर निकालने देने के लिए पर्याप्त था, और "वास्तुकला से एकतरफा विश्वास को हटाए बिना" कोई भी ऑडिट या सुरक्षा समीक्षा उस कमी को ठीक नहीं कर सकती थी।
इस राय को ग्रवट के ब्लॉकचेन प्रमुख हाओज़े किउ ने भी दोहराया, जिन्होंने तर्क दिया कि, "केल्प डीएओ ने इस पैमाने की संपत्ति के लिए बहुत कम अतिरेक के साथ एक ब्रिज सुरक्षा सेटअप स्वीकार किया है," यह जोड़ते हुए कि लेयरज़ीरो की "भी जवाबदेही है" यह देखते हुए कि "समझौते में इसके सत्यापनकर्ता स्टैक से जुड़ा बुनियादी ढांचा शामिल था, भले ही इसे मुख्य प्रोटोकॉल बग के रूप में वर्णित नहीं किया गया हो।"
हमलावर एक और $100 मिलियन निकालने से तीन मिनट के भीतर ही थे, इससे पहले कि एक तेज ब्लैकलिस्ट ने उन्हें रोक दिया, ब्लॉकचेन सुरक्षा फर्म साइवर्स के एक विश्लेषण के अनुसार। यह ऑपरेशन संचार के एक ही चैनल को धोखा देने पर आधारित था, साइवर्स के सीटीओ मेयर डोलेव ने डिक्रिप्ट को बताया।
हमलावरों ने उन दो लाइनों का उपयोग किया जिनका सत्यापनकर्ता यह जाँचने के लिए उपयोग करता था कि क्या यूनिचेन पर वास्तव में निकासी हुई थी, उन लाइनों पर उन्हें एक नकली "हाँ" दिया, फिर शेष लाइनों को ऑफ़लाइन कर दिया ताकि सत्यापनकर्ता को समझौता किए गए लोगों पर निर्भर रहने के लिए मजबूर किया जा सके।
“तिजोरी ठीक थी। गार्ड ईमानदार था। दरवाजे की प्रणाली ने सही ढंग से काम किया,” डोलेव ने कहा। “झूठ सीधे उसी पक्ष को फुसफुसाया गया जिसके कहने पर दरवाजा खुलता था।”
लेकिन जहाँ लेयरज़ीरो, जिसका बुनियादी ढाँचा निकाले गए ब्रिज को शक्ति प्रदान करता था, ने लाजरस को संभावित अपराधी बताया, वहीं साइवर्स ने अपने विश्लेषण में उसी आरोप से परहेज किया।
डोलेव ने कहा कि परिष्कार, पैमाने और समन्वित निष्पादन में कुछ पैटर्न डीपीआरके-से जुड़े संचालन से मिलते जुलते हैं, लेकिन समूह से जुड़ा कोई वॉलेट क्लस्टरिंग की पुष्टि नहीं हुई है।
दुर्भावनापूर्ण नोड सॉफ्टवेयर को हमले समाप्त होने के बाद खुद को मिटाने के लिए इंजीनियर किया गया था, वास्तविक समय में और बाद की जाँच में हमलावरों के निशान को अस्पष्ट करने के लिए बाइनरी और लॉग मिटा दिए गए, उन्होंने कहा।
इस महीने की शुरुआत में, हमलावरों ने सोलाना-आधारित पर्पेचुअल प्रोटोकॉल ड्रिफ्ट से लगभग $285 मिलियन निकाले, एक हमला जिसे बाद में उत्तर कोरियाई गुर्गों से जोड़ा गया।
डोलेव ने उल्लेख किया कि ड्रिफ्ट हैक "तैयारियों और निष्पादन के मामले में बहुत अलग" था, लेकिन दोनों हमलों को सफल बनाने के लिए लंबे समय, गहरी विशेषज्ञता और महत्वपूर्ण संसाधनों की आवश्यकता थी।
साइवर्स को संदेह है कि चुराए गए फंड इस एथेरियम पते पर स्थानांतरित किए गए हैं, जो ऑन-चेन अन्वेषक ZachXBT की एक अलग रिपोर्ट के अनुरूप है जिसने इसे चार अन्य के साथ चिह्नित किया था। ZachXBT के अनुसार, हमलावर पतों को कॉइन मिक्सर टोरनेडो कैश के माध्यम से वित्त पोषित किया गया था।
