Noord-Koreaanse hackers stelen 3,2 miljoen dollar via Solana

De beruchte Lazarus Group uit Noord-Korea heeft opnieuw toegeslagen. Dit keer hebben ze 3,2 miljoen dollar buitgemaakt via het Solana-netwerk. De aanval werd op 29 juni bekend gemaakt door analist ZachXBT, die vaker cybercriminelen in de crypto-wereld ontmaskert.

Solana-fraude met slimme trucjes

De diefstal vond plaats op 16 mei. De hackers slaagden erin om het geld van één persoon te stelen. Daarna zetten ze de buit snel om van Solana naar Ethereum. In totaal ging er zo’n 800 ETH (Ethereum) door de mixer Tornado Cash, een dienst die transacties onzichtbaar maakt.

Dat maakt het voor onderzoekers lastig om het spoor van het geld te volgen.

Op het moment van schrijven zit er nog ongeveer 1,25 miljoen dollar vast in een wallet. Daarin staan ETH en DAI, een stabiele cryptomunt.

Reeks hacks van Lazarus

Deze aanval staat niet op zichzelf. Volgens ZachXBT is het onderdeel van een hele reeks hacks die allemaal terug te leiden zijn naar de Lazarus Group. Op 27 juni ontdekte hij bijvoorbeeld dat de groep ook betrokken was bij een grote aanval op meerdere NFT-projecten. Daar zaten onder andere projecten tussen van Matt Furie, de maker Pepe.

1/ Multiple projects tied to Pepe creator Matt Furie & ChainSaw as well as another project Favrr were exploited in the past week which resulted in ~$1M stolen

My analysis links both attacks to the same cluster of DPRK IT workers who were likely accidentally hired as developers. pic.twitter.com/85JRm5kLQO

— ZachXBT (@zachxbt) June 27, 2025

In die aanval wisten de hackers controle te krijgen over smart contracts. Daarmee konden ze zelf NFT’s aanmaken en verkopen, wat naar schatting 1 miljoen dollar opleverde. Het gestolen geld werd verspreid over drie wallets en deels omgezet naar stabiele munten. Die werden daarna doorgestuurd naar MEXC, een grote crypto-beurs.

Verdachte profielen en Koreaanse sporen

ZachXBT vond tijdens zijn onderzoek ook opvallende patronen. Zo gebruikte een van de betrokken ontwikkelaars GitHub-accounts met Koreaanse taalinstellingen en werkte hij in een tijdzone die overeenkomt met Noord-Korea of Rusland. Ook bleek deze persoon een VPN te gebruiken die zijn locatie moest verbergen.

In één geval ging het om iemand die zich voordeed als een Amerikaanse developer, maar volgens de analist hoogstwaarschijnlijk een Noord-Koreaanse IT’er is. Zijn naam is Alex Hong en hij stond op papier als CTO van het Favrr-project, maar zijn LinkedIn-profiel is inmiddels verdwenen en zijn werkverleden blijkt niet te controleren.