Laut Taylor Monahan, Sicherheitsexperte bei MetaMask, infiltrieren nordkoreanische Spezialisten seit mindestens sieben Jahren Krypto-Unternehmen und Projekte im Bereich der dezentralen Finanzen (DeFi), viele mit dem Ziel, die Plattformen zu hacken.
Laut dem Experten haben über 40 große Krypto-Plattformen, darunter auch namhafte, zeitweise nordkoreanische Entwickler eingestellt. Nordkoreanische IT-Spezialisten verfügen über jahrelange praktische Erfahrung mit Blockchain, was es Krypto-Unternehmen erschwert, potenzielle Risiken zu erkennen, so Monahan. Er fügte hinzu, dass dies auch an der räumlichen Trennung der meisten Plattformen liege.
Der Blockchain-Forscher ZachXBT berichtete als Reaktion auf einen Tweet eines MetaMask-Vertreters, dass die Taktik der nordkoreanischen Angreifer recht einfach sei: Sie bewerben sich massenhaft auf Stellenanzeigen, senden Anfragen über LinkedIn, führen Zoom-Meetings und nehmen an Vorstellungsgesprächen teil. Ihr Hauptmerkmal, so der anonyme Krypto-Experte, sei ihre Beharrlichkeit.
Laut Tim Ahhl, Gründer von Titan Exchange, rekrutieren nordkoreanische Hacker der berüchtigten Gruppe Lazarus seit Kurzem auch Bürger anderer Länder. Sein Team hatte zuvor einen Kandidaten zu einem Vorstellungsgespräch eingeladen, der später von Lazarus eingestellt wurde; sein Name war in durchgesickerten Informationen über die Gruppe aufgetaucht. Ahhl zufolge führte der Kandidat Videogespräche und war hochqualifiziert, lehnte aber ein persönliches Treffen ab.
Die Plattform Bitrefill, die am 1. März angegriffen wurde, war Ziel eines Hackerangriffs des Angestellten Lazarus. Die Gruppe nutzte das alte Passwort eines Mitarbeiters, um auf eine Kopie vertraulicher Produktionsdaten zuzugreifen. Anschließend drang Lazarus in Datenbanken und Krypto-Wallets ein und stahl Gelder und Daten von 18.500 Nutzern.
Nordkoreanische Hacker werden auch mit einem Hack des Drift-Protokolls in Verbindung gebracht, bei dem 280 Millionen US-Dollar erbeutet wurden. Untersuchungen des Vorfalls ergaben, dass die kompromittierten Signaturen laut Protokollangaben durch eine sechsmonatige Phishing-Attacke erlangt wurden. Vertreter von Drift trafen auf einer großen Kryptokonferenz auf eine Gruppe von Personen, die behaupteten, Mitarbeiter eines Handelsunternehmens zu sein und eine Partnerschaft mit dem Protokoll anzustreben. Diese Personen verfügten über beeindruckende Lebensläufe und umfangreiche Erfahrung, interagierten mit mehreren Projektteilnehmern, führten zahlreiche Arbeitssitzungen durch, stellten detaillierte und fundierte Fragen zum Produkt und investierten laut Drift über eine Million US-Dollar ihres eigenen Kapitals.
Verschiedenen Schätzungen zufolge hat Lazarus seit 2017 Kryptowährungen im Wert von etwa 7 Milliarden Dollar gestohlen. Zahlreiche Untersuchungen deuten darauf hin, dass nordkoreanische Hacker hauptsächlich für den Staat arbeiten und dafür verantwortlich sind, den Staatshaushalt der DVRK mit für nordkoreanische Verhältnisse enormen Summen aufzustocken.
Zu den größten Angriffen, die Lazarus zugeschrieben werden, gehören der Ronin Bridge-Hack von 2022, bei dem 625 Millionen Dollar gestohlen wurden, der WazirX-Datendiebstahl von 2024, der zu Verlusten in Höhe von 235 Millionen Dollar führte, und der Bybit-Börsendiebstahl von 2025, bei dem Angreifer 1,4 Milliarden Dollar abhoben.