La Corée du Nord étend ses opérations de vol de crypto RPDC alors qu'un record de 2,02 milliards de dollars est volé en 2025

L'adoption croissante de la blockchain et la hausse des prix des actifs numériques ont coïncidé avec une escalade brutale des vols de crypto par la RPDC, redéfinissant le risque mondial à travers les services centralisés, la DeFi / Finance Décentralisée et les portefeuilles personnels.

Plus de 3,4 milliards de dollars volés en 2025 alors que le vol de crypto évolue

Selon un nouveau rapport de Chainalysis, le secteur crypto a vu plus de 3,4 milliards de dollars volés entre janvier et début décembre 2025, la violation de Bybit en février étant à elle seule responsable de 1,5 milliard de dollars. Cependant, derrière ce chiffre principal, la structure de la criminalité crypto a considérablement changé en seulement trois ans.

De plus, les compromissions de portefeuilles personnels ont explosé en tant que part du vol total. Elles sont passées de 7,3 % de la valeur volée en 2022 à 44 % en 2024. En 2025, elles auraient représenté 37 % des pertes totales si la compromission de Bybit n'avait pas autant faussé les données.

Les services centralisés, malgré des ressources importantes et des équipes de sécurité professionnelles, continuent de subir des pertes de plus en plus importantes dues aux compromissions de clés privées. Bien que de tels incidents se produisent rarement, ils restent dévastateurs. Au T1 2025, ils représentaient 88 % de toutes les pertes, soulignant le risque systémique créé par les points de défaillance uniques.

Cela dit, la persistance de volumes de vols élevés montre que malgré de meilleures pratiques dans certains segments, les attaquants peuvent encore exploiter les faiblesses à travers de multiples vecteurs et plateformes.

Les méga-piratages exceptionnels dominent le vol de crypto

Le vol de crypto a toujours été orienté vers une poignée de violations démesurées, mais 2025 a établi un nouvel extrême. Pour la première fois, le ratio entre le plus grand piratage et l'incident médian a dépassé 1 000x, sur la base de la valeur en dollars américains des fonds au moment du vol.

En conséquence, les trois principaux piratages de 2025 ont représenté 69 % de toutes les pertes de services. Alors que les nombres d'incidents et les pertes médianes ont tendance à évoluer avec les prix des actifs, l'ampleur des valeurs aberrantes individuelles augmente encore plus rapidement. Ce risque de concentration signifie qu'une seule compromission peut désormais remodeler les statistiques de pertes annuelles pour l'ensemble de l'industrie.

La Corée du Nord domine le paysage mondial du vol de crypto

La République populaire démocratique de Corée (RPDC) reste l'acteur étatique le plus important dans la criminalité des actifs numériques. En 2025, les hackers nord-coréens ont volé au moins 2,02 milliards de dollars de cryptomonnaies, soit une augmentation de 681 millions de dollars par rapport à 2024 et une hausse de 51 % en glissement annuel de la valeur prélevée.

Ces opérations ont fait de 2025 la pire année jamais enregistrée pour les vols liés à la RPDC en termes de valeur. De plus, les attaques de la RPDC ont représenté un record de 76 % de toutes les compromissions de services, portant le total cumulé minimum volé par les acteurs liés à Pyongyang à 6,75 milliards de dollars. Notamment, ce butin record a été réalisé malgré une réduction nette évaluée des incidents confirmés.

Les opérateurs nord-coréens exploitent de plus en plus l'un de leurs vecteurs principaux : l'intégration de travailleurs informatiques au sein des échanges, des dépositaires et des entreprises web3.

Une fois à l'intérieur, ces travailleurs peuvent cultiver un accès privilégié, faciliter les mouvements latéraux et finalement orchestrer des vols à grande échelle. L'attaque de Bybit en février 2025 a probablement amplifié l'impact de ce modèle d'infiltration.

Cependant, les groupes liés à la RPDC ont également adapté leurs tactiques d'ingénierie sociale. Plutôt que de simplement postuler à des emplois, ils se font maintenant fréquemment passer pour des recruteurs d'entreprises web3 et d'IA de premier plan, mettant en scène des processus d'embauche fictifs élaborés. Ceux-ci se terminent souvent par des "tests techniques" qui trompent les cibles pour qu'elles remettent des identifiants, du code source ou un accès VPN et SSO à leurs employeurs actuels.

Au niveau des cadres, des campagnes d'ingénierie sociale similaires comportent de fausses approches de prétendus investisseurs stratégiques ou acquéreurs.

Des réunions de présentation et des processus de diligence raisonnable factices sont utilisés pour sonder les détails sensibles du système et cartographier les chemins d'accès vers les infrastructures de grande valeur. Cette évolution s'appuie directement sur les anciennes fraudes de travailleurs informatiques et met en évidence une concentration plus étroite sur les entreprises stratégiquement importantes d'IA et de blockchain.

De 2022 à 2025, les piratages attribués à la RPDC occupent systématiquement les bandes de valeur les plus élevées, tandis que les acteurs non étatiques montrent des distributions plus normales selon les tailles d'incidents. Ce schéma indique que lorsque la Corée du Nord frappe, elle préfère les grands services centralisés et vise un impact financier et politique maximal.

Une caractéristique frappante de 2025 est que ce total record a été atteint avec beaucoup moins d'opérations connues.

L'énorme violation de Bybit semble avoir permis aux groupes liés à la RPDC d'exécuter un petit nombre d'attaques extrêmement lucratives au lieu d'un volume plus important de compromissions de taille moyenne.

Schémas distinctifs de blanchiment de cryptomonnaies de la RPDC

L'afflux sans précédent d'actifs volés début 2025 a fourni une visibilité inhabituellement claire sur la façon dont les acteurs liés à Pyongyang déplacent des fonds à grande échelle. Leurs schémas de blanchiment de cryptomonnaies sont significativement différents de ceux d'autres groupes criminels et continuent d'évoluer au fil du temps.

Les sorties de la RPDC montrent une structure de segmentation distinctive. Légèrement plus de 60 % du volume transite dans des transferts inférieurs à 500 000 dollars, alors que d'autres acteurs de fonds volés envoient plus de 60 % de leurs flux on-chain dans des tranches entre 1 million de dollars et 10 millions de dollars+.

Malgré des totaux généralement plus importants volés, les groupes de la RPDC divisent les paiements en segments plus petits, suggérant une tentative délibérée d'échapper à la détection grâce à une structuration plus sophistiquée.

De plus, les acteurs de la RPDC favorisent systématiquement des points de contact de blanchiment spécifiques.

Ils s'appuient fortement sur des services de mouvement d'argent et de garantie en langue chinoise, opérant souvent à travers des réseaux vaguement connectés de blanchisseurs professionnels dont les normes de conformité peuvent être faibles. Ils utilisent également largement les services de bridge cross-chain et de mixing, ainsi que des fournisseurs spécialisés tels que Huione, pour augmenter l'obfuscation et la complexité juridictionnelle.

En revanche, de nombreux autres groupes criminels préfèrent les protocoles de prêt, les échanges sans KYC, les plateformes P2P et les échanges décentralisées pour la liquidité et le pseudonymat. Les entités de la RPDC montrent une intégration limitée avec ces domaines de la DeFi / Finance Décentralisée, soulignant que leurs contraintes et objectifs diffèrent de ceux des cybercriminels typiquement motivés financièrement.

Ces préférences indiquent que les réseaux de la RPDC sont étroitement liés aux opérateurs illicites de la région Asie-Pacifique, en particulier dans les canaux basés en Chine qui fournissent un accès indirect au système financier mondial. Cela correspond à l'histoire plus large de Pyongyang d'utiliser des intermédiaires chinois pour contourner les sanctions et déplacer de la valeur à l'étranger.

Le cycle de blanchiment de 45 jours après un vol de crypto par la RPDC

L'analyse on-chain des vols liés à la RPDC entre 2022 et 2025 révèle un cycle de blanchiment multi-vagues relativement stable durant environ 45 jours. Bien que toutes les opérations ne suivent pas ce calendrier, il apparaît de manière répétée lorsque les fonds volés sont activement déplacés.

La vague 1, s'étendant du jour 0 au jour 5, se concentre sur la stratification immédiate. Les protocoles DeFi / Finance Décentralisée voient des pics intenses de flux de fonds volés comme points d'entrée initiaux, tandis que les services de mixing enregistrent de grandes augmentations de volume pour créer la première couche d'obfuscation. Cette avalanche de mouvements est conçue pour éloigner les fonds des adresses sources facilement identifiables.

La vague 2, couvrant les jours 6 à 10, marque le début de l'intégration dans l'écosystème plus large. Les échanges avec des contrôles KYC limités, certaines plateformes centralisées et des mixers secondaires commencent à recevoir des flux, souvent facilités par des bridges cross-chain qui fragmentent et compliquent les traces de transactions. Cette phase est critique, car les fonds transitent vers des sorties potentielles.

La vague 3, s'étendant des jours 20 à 45, présente la longue traîne de l'intégration. Les échanges sans KYC, les services d'échange instantané et les services de blanchiment en langue chinoise émergent comme points finaux majeurs. Les échanges centralisées reçoivent également de plus en plus de dépôts, reflétant les efforts pour mélanger les produits illicites avec les flux commerciaux légitimes, souvent via des opérateurs dans des juridictions moins réglementées.

Cette large fenêtre de 45 jours fournit des renseignements précieux pour les forces de l'ordre et les équipes de conformité cherchant à perturber les flux en temps réel. Cependant, les analystes notent des angles morts importants : les transferts de clés privées, certains échanges crypto contre fiat OTC, ou des arrangements entièrement hors chaîne peuvent rester invisibles sans être associés à des renseignements supplémentaires.

Les compromissions de portefeuilles personnels explosent en volume

Parallèlement aux violations de services très médiatisées, les attaques contre les individus ont fortement augmenté. Les estimations minimales montrent que les compromissions de portefeuilles personnels représentaient environ 20 % de la valeur totale volée en 2025, contre 44 % en 2024, tout en reflétant encore des dommages à grande échelle.

Le nombre d'incidents a presque triplé, passant de 54 000 en 2022 à 158 000 en 2025. Au cours de la même période, le nombre de victimes uniques a doublé, passant d'environ 40 000 à au moins 80 000. Ces augmentations reflètent probablement une adoption plus large par les utilisateurs d'actifs en auto-garde. Par exemple, Solana, l'une des chaînes avec les portefeuilles personnels les plus actifs, a enregistré environ 26 500 utilisateurs affectés, bien plus que les autres réseaux.

Cependant, la valeur totale en dollars perdue par les individus est tombée de 1,5 milliard de dollars en 2024 à 713 millions de dollars en 2025. Cela suggère que les attaquants répartissent leurs efforts sur beaucoup plus de victimes tout en extrayant des sommes plus petites par compte, potentiellement pour réduire le risque de détection et exploiter les utilisateurs moins sophistiqués.

Les métriques de criminalité au niveau du réseau éclairent quelles chaînes présentent actuellement le plus grand risque pour les utilisateurs. En 2025, en mesurant le vol pour 100 000 portefeuilles, Ethereum et Tron affichent les taux de criminalité les plus élevés. L'échelle massive d'Ethereum combine des nombres d'incidents élevés avec un risque élevé par portefeuille, tandis que Tron affiche un taux de vol relativement élevé malgré une base active plus petite. En revanche, Base et Solana affichent des taux plus faibles même si leurs communautés d'utilisateurs sont importantes.

Ces différences indiquent que les compromissions de portefeuilles personnels ne sont pas uniformément réparties dans l'écosystème. Des facteurs tels que la démographie des utilisateurs, les types d'applications dominants, l'infrastructure criminelle locale et les niveaux d'éducation influencent probablement l'endroit où les escrocs et les opérateurs de logiciels malveillants concentrent leurs efforts.

Les piratages DeFi divergent des tendances de la valeur totale verrouillée

Le secteur de la finance décentralisée présente une divergence notable entre la croissance du marché et les résultats de sécurité. Les données de 2020 à 2025 confirment trois phases claires dans la relation entre la valeur totale verrouillée (TVL) de la DeFi / Finance Décentralisée et les pertes liées aux piratages.

Dans la phase 1, de 2020 à 2021, la TVL et les pertes ont augmenté en tandem alors que le boom précoce de la DeFi / Finance Décentralisée attirait à la fois du capital et des attaquants sophistiqués. La phase 2, couvrant 2022 à 2023, a vu la TVL et les pertes reculer alors que les marchés se refroidissaient. Cependant, la phase 3, s'étendant sur 2024 et 2025, marque une rupture structurelle : la TVL s'est redressée des creux de 2023, mais les volumes de piratages restent comparativement modérés.

Cette divergence implique que les améliorations de sécurité DeFi commencent à avoir un effet mesurable. De plus, la montée simultanée des attaques de portefeuilles personnels et des piratages d'échanges centralisées suggère une substitution de cibles, les acteurs de menace déplaçant leurs ressources vers des zones perçues comme plus faciles à compromettre.

Étude de cas : Venus Protocol met en évidence les progrès défensifs

L'incident du Venus Protocol en septembre 2025 souligne comment des défenses en couches peuvent changer significativement les résultats. Les attaquants ont utilisé un client Zoom compromis pour prendre pied et ont manipulé un utilisateur pour qu'il accorde un contrôle délégué sur un compte détenant 13 millions de dollars d'actifs.

Dans les conditions DeFi / Finance Décentralisée antérieures, un tel accès aurait pu entraîner des pertes irréversibles. Cependant, Venus avait intégré une plateforme de surveillance de la sécurité seulement un mois auparavant. Cette plateforme a signalé une activité suspecte environ 18 heures avant l'attaque et a émis une autre alerte lorsque la transaction malveillante a été soumise.

En 20 minutes, Venus a mis en pause son protocole, arrêtant les mouvements de fonds. La fonctionnalité partielle est revenue après environ 5 heures, et en 7 heures le protocole a liquidé de force le portefeuille de l'attaquant. À la marque de 12 heures, tous les fonds volés avaient été récupérés et les opérations normales ont repris.

Dans une étape supplémentaire, la gouvernance de Venus a approuvé une proposition de gel d'environ 3 millions de dollars d'actifs toujours sous le contrôle de l'attaquant. L'adversaire n'a finalement pas réussi à tirer profit et a plutôt subi des pertes nettes, démontrant le pouvoir croissant de la gouvernance on-chain, de la surveillance et des cadres de réponse aux incidents.

Cela dit, ce cas ne devrait pas engendrer la complaisance. Il démontre ce qui est possible lorsque les protocoles investissent tôt dans la surveillance et les plans d'action répétés, mais de nombreuses plateformes DeFi / Finance Décentralisée manquent encore de capacités comparables ou de plans de contingence clairs.

Implications pour 2026 et l'environnement de menace futur

Les données de 2025 dépeignent un écosystème RPDC hautement adaptatif, dans lequel moins d'opérations peuvent encore produire des résultats records. L'incident de Bybit, combiné à d'autres compromissions à grande échelle, montre comment une campagne réussie peut soutenir les besoins de financement pendant des périodes prolongées pendant que les groupes se concentrent sur le blanchiment et la sécurité opérationnelle.

De plus, le profil unique du vol de crypto par la RPDC par rapport à d'autres activités illicites offre de précieuses opportunités de détection. Leur préférence pour des tailles de transfert spécifiques, leur forte dépendance à certains réseaux en langue chinoise et leur cycle de blanchiment caractéristique de 45 jours peuvent aider les échanges, les entreprises d'analyse et les régulateurs à signaler les comportements suspects plus tôt.

Alors que les hackers crypto de Corée du Nord continuent d'utiliser les actifs numériques pour financer les priorités de l'État et contourner les sanctions, l'industrie doit accepter que cet adversaire opère sous des incitations différentes de celles des criminels ordinaires motivés financièrement. La performance record du régime en 2025, réalisée avec environ 74 % d'attaques connues en moins, suggère que de nombreuses opérations peuvent encore passer inaperçues.

Pour 2026, le défi central sera d'identifier et de perturber ces opérations à fort impact avant qu'une autre violation à l'échelle de Bybit ne se produise. Le renforcement des contrôles dans les lieux centralisés, le durcissement des portefeuilles personnels et l'approfondissement de la coopération avec les forces de l'ordre seront essentiels pour contenir à la fois les campagnes des États-nations et la vague plus large de criminalité crypto.

En résumé, 2025 a confirmé que bien que les défenses s'améliorent dans des domaines comme la DeFi / Finance Décentralisée, des acteurs sophistiqués tels que la RPDC et les voleurs de portefeuilles à grande échelle continuent d'exploiter les faiblesses structurelles, rendant les réponses mondiales coordonnées plus urgentes que jamais.