Хакеры из Северной Кореи украли более $2 миллиардов в криптовалюте в 2025 году

Хакеры, связанные с Демократической Народной Республикой Корея, украли в 2025 году 2,02 миллиарда долларов в криптовалюте, согласно отчету Chainalysis. Эта цифра на 51% превышает показатель прошлого года и является крупнейшей за всю историю ежегодной кражи криптовалют, связанной с КНДР.

КНДР составляет большинство глобальных краж криптовалют

Общий объем краж криптовалют в 2025 году достиг 3,4 миллиарда долларов, при этом атаки, связанные с Северной Кореей, составляют 59% от всех украденных средств. Chainalysis отмечает, что это доминирование подчеркивает растущую сложность и масштаб киберопераций КНДР.

Сдвиг в сторону меньшего количества, но более разрушительных атак

В отчете отмечается эволюция тактики Северной Кореи, которая смещается от частых мелких атак к меньшему количеству операций, наносящих значительно больший ущерб. Взлом платформы Bybit на сумму 1,5 миллиарда долларов в феврале, который ФБР приписывает КНДР, служит ярким примером этого сдвига.

Выявлены характерные схемы отмывания денег

Chainalysis сообщает, что хакеры из КНДР следуют узнаваемой трехфазной схеме отмывания денег, которая длится около 45 дней. В нее входит частое использование сервисов на китайском языке, сильная зависимость от межцепочечных мостов для сокрытия транзакционных следов и увеличение использования сервисов крипто-микшинга. По данным компании, эти поведения остаются стабильными на протяжении нескольких лет и предоставляют возможности для обнаружения.

Долгосрочная тенденция показывает быстрый рост украденных средств

Данные Chainalysis показывают резкий рост краж, связанных с Северной Кореей, за последние годы. В 2023 году связанные хакеры украли около $660 миллионов долларов в 20 инцидентах. В 2024 году эта цифра выросла до 1,34 миллиарда долларов в 47 инцидентах, что более чем вдвое увеличило их стоимость по сравнению с предыдущим годом.

Внутренние угрозы и внедрение через найм растут

Все больше атак связаны с операторами из КНДР, пытающимися получить работу в криптокомпаниях. Binance ранее сообщала, что хакеры из Северной Кореи пытаются устраиваться на работу в биржу ежедневно, иногда используя ИИ-сгенерированные видео и голосовые инструменты для прохождения собеседований и получения привилегированного доступа.

Атаки через открытые источники расширяют охват

Хакеры из КНДР также связаны с заражением библиотек открытого исходного кода, включая пакеты NPM, широко используемые разработчиками. Эти вредоносные библиотеки предназначены для внедрения в проекты и распространения вредоносного ПО, что вынуждает Binance проводить обширные аудиты зависимостей.

Стратегия, поддерживаемая государством, повышает ставки на 2026 год

Chainalysis предупреждает, что Северная Корея действует под другими стимулами, чем обычные киберпреступники, используя кражу криптовалют для финансирования государственных приоритетов и обхода международных санкций. Несмотря на на 74% меньше известных атак в 2025 году, страна достигла рекордных результатов, что говорит о том, что большая часть ее деятельности остается незамеченной.

Индустрия сталкивается с задачей предотвращения следующего крупного взлома

В отчете делается вывод, что основной задачей на 2026 год станет обнаружение и предотвращение операций высокого воздействия, прежде чем связанные с КНДР акторы осуществят очередной инцидент масштаба взлома Bybit.