Північна Корея розширює операції КНДР з крадіжки криптовалюти, оскільки рекордні 2,02 мільярда доларів викрадено у 2025 році

Зростання впровадження блокчейну та вищі ціни на цифрові активи збіглися з різкою ескалацією крадіжок криптовалюти КНДР, що змінює глобальні ризики для централізованих сервісів, DeFi та особистих гаманців.

Понад 3,4 мільярда доларів вкрадено у 2025 році внаслідок зміни крадіжок криптовалюти

Згідно з новим звітом Chainalysis, у криптовалютному секторі було вкрадено понад 3,4 мільярда доларів між січнем та початком грудня 2025 року, при цьому лише злом Bybit у лютому становив 1,5 мільярда доларів. Однак за цією цифрою структура криптовалютних злочинів значно змінилася лише за три роки.

Більше того, компрометація особистих гаманців різко зросла як частка загальних крадіжок. Вони зросли з 7,3% вкраденої вартості у 2022 році до 44% у 2024 році. У 2025 році вони б становили 37% загальних збитків, якби компрометація Bybit не спотворила дані так сильно.

Централізовані сервіси, незважаючи на глибокі ресурси та професійні команди безпеки, продовжують зазнавати все більших збитків через компрометацію приватних ключів. Хоча такі інциденти трапляються нечасто, вони залишаються руйнівними. У першому кварталі 2025 року вони становили 88% усіх збитків, підкреслюючи системний ризик, створений єдиними точками відмови.

При цьому збереження високих обсягів крадіжок показує, що, незважаючи на кращі практики в деяких сегментах, зловмисники все ще можуть експлуатувати слабкі місця через кілька векторів та платформ.

Мега-зломи-викиди домінують у крадіжках криптовалюти

Крадіжки криптовалюти завжди були схильні до кількох великомасштабних зломів, але 2025 рік встановив новий екстрем. Вперше співвідношення між найбільшим зломом та медіанним інцидентом перевищило 1 000x, виходячи з вартості коштів у доларах США на момент крадіжки.

В результаті три найбільші зломи у 2025 році становили 69% усіх збитків сервісів. Хоча кількість інцидентів та медіанні збитки мають тенденцію рухатися разом з цінами на активи, масштаб окремих викидів зростає ще швидше. Цей ризик концентрації означає, що одна компрометація тепер може змінити річну статистику збитків для всієї індустрії.

Північна Корея лідирує у глобальному ландшафті крадіжок криптовалюти

Корейська Народно-Демократична Республіка (КНДР) залишається найбільш впливовим державним актором у злочинах з цифровими активами. У 2025 році північнокорейські хакери вкрали щонайменше 2,02 мільярда доларів криптовалюти, що на 681 мільйон доларів більше, ніж у 2024 році, та 51% зростання вкраденої вартості рік до року.

Ці операції зробили 2025 рік найгіршим роком за вартістю крадіжок, пов'язаних з КНДР. Більше того, атаки КНДР становили рекордні 76% усіх компрометацій сервісів, підштовхнувши нижню межу кумулятивного загалу, вкраденого пов'язаними з Пхеньяном акторами, до 6,75 мільярда доларів. Примітно, що цей рекордний здобуток відбувся, незважаючи на оцінене різке скорочення підтверджених інцидентів.

Північнокорейські оператори все частіше експлуатують один із своїх основних векторів: впровадження IT-працівників всередину бірж, кастодіанів та web3-компаній.

Потрапивши всередину, ці працівники можуть культивувати привілейований доступ, полегшувати латеральний рух і зрештою організовувати великомасштабні крадіжки. Атака на Bybit у лютому 2025 року, ймовірно, посилила вплив цієї моделі інфільтрації.

Однак пов'язані з КНДР групи також адаптували свою тактику соціальної інженерії. Замість того, щоб просто подавати заявки на роботу, вони тепер часто видають себе за рекрутерів відомих web3 та ШІ-компаній, влаштовуючи складні фальшиві процеси найму. Вони часто закінчуються «технічними перевірками», які обманюють цілі, змушуючи їх передавати облікові дані, вихідний код або доступ VPN та SSO до їхніх поточних роботодавців.

На виконавчому рівні подібні кампанії соціальної інженерії містять фальшиві контакти від нібито стратегічних інвесторів або покупців.

Презентаційні зустрічі та псевдопроцеси комплексної юридичної перевірки використовуються для зондування чутливих системних деталей та картування шляхів доступу до високовартісної інфраструктури. Ця еволюція будується безпосередньо на попередніх схемах шахрайства IT-працівників і підкреслює більш жорсткий фокус на стратегічно важливому бізнесі ШІ та блокчейну.

Протягом 2022–2025 років зломи, приписувані КНДР, постійно займають найвищі ціннісні смуги, тоді як недержавні актори показують більш нормальний розподіл за розміром інцидентів. Цей патерн вказує на те, що коли Північна Корея атакує, вона віддає перевагу великим централізованим сервісам і прагне досягти максимального фінансового та політичного впливу.

Однією з вражаючих особливостей 2025 року є те, що цей рекордний загальний показник був досягнутий з набагато меншою кількістю відомих операцій.

Величезний злом Bybit, схоже, дозволив пов'язаним з КНДР групам виконати невелику кількість надзвичайно прибуткових атак замість більшого обсягу середніх за розміром компрометацій.

Відмітні патерни відмивання криптовалюти КНДР

Безпрецедентний приплив вкрадених активів на початку 2025 року забезпечив незвично чітку видимість того, як пов'язані з Пхеньяном актори переміщують кошти у великих масштабах. Їхні патерни відмивання криптовалюти значно відрізняються від патернів інших злочинних груп і продовжують еволюціонувати з часом.

Відтоки КНДР показують відмітну структуру розподілу. Трохи більше 60% обсягу переміщується у переказах нижче 500 000 доларів, тоді як інші актори вкрадених коштів відправляють більше 60% своїх потоків ончейн у траншах між 1 мільйоном доларів та 10 мільйонів доларів+.

Незважаючи на те, що зазвичай крадуть більші суми, групи КНДР розбивають платежі на менші сегменти, що свідчить про навмисну спробу уникнути виявлення через більш складне структурування.

Крім того, актори КНДР постійно віддають перевагу конкретним точкам відмивання.

Вони значною мірою покладаються на китайськомовні послуги переказу грошей та гарантії, часто працюючи через слабко пов'язані мережі професійних відмивачів, чиї стандарти комплаєнсу можуть бути слабкими. Вони також активно використовують кросчейн мости та міксери, разом зі спеціалізованими провайдерами, такими як Huione, щоб збільшити обфускацію та юрисдикційну складність.

Навпаки, багато інших злочинних груп віддають перевагу протоколам кредитування, біржам без KYC, Р2Р-платформам та децентралізованим біржам для ліквідності та псевдонімності. Структури КНДР демонструють обмежену інтеграцію з цими областями DeFi, підкреслюючи, що їхні обмеження та цілі відрізняються від типових фінансово мотивованих кіберзлочинців.

Ці переваги вказують на те, що мережі КНДР тісно пов'язані з незаконними операторами в регіоні Азіатсько-Тихоокеанського регіону, особливо в каналах, що базуються в Китаї, які забезпечують непрямий доступ до глобальної фінансової системи. Це відповідає ширшій історії Пхеньяна використання китайських посередників для обходу санкцій та переміщення вартості за кордон.

45-денний цикл відмивання після крадіжки криптовалюти КНДР

Ончейн аналіз крадіжок, пов'язаних з КНДР, між 2022 та 2025 роками виявляє відносно стабільний багатохвильовий цикл відмивання тривалістю близько 45 днів. Хоча не всі операції слідують цьому графіку, він повторюється, коли вкрадені кошти активно переміщуються.

Хвиля 1, що охоплює дні від 0 до 5, зосереджується на негайному нашаруванні. Протоколи DeFi бачать інтенсивні сплески потоків вкрадених коштів як початкові точки входу, тоді як міксери фіксують великі стрибки обсягу для створення першого рівня обфускації. Цей шквал руху призначений для відштовхування коштів від легко ідентифікованих адрес джерел.

Хвиля 2, що охоплює дні від 6 до 10, знаменує початок інтеграції в ширшу екосистему. Біржі з обмеженими контролями KYC, деякі централізовані платформи та вторинні міксери починають отримувати потоки, часто за сприяння кросчейн мостів, які фрагментують та ускладнюють сліди транзакцій. Ця фаза є критичною, оскільки кошти переходять до потенційних виходів.

Хвиля 3, що охоплює дні від 20 до 45, характеризується довгим хвостом інтеграції. Біржі без KYC, сервіси миттєвих свопів та китайськомовні сервіси відмивання з'являються як основні кінцеві точки. Централізовані біржі також все частіше отримують депозити, що відображає зусилля змішати незаконні доходи з легітимними торговими потоками, часто через операторів у менш регульованих юрисдикціях.

Це широке 45-денне вікно надає цінну інформацію для правоохоронних органів та команд комплаєнсу, які прагнуть перервати потоки в режимі реального часу. Однак аналітики відзначають важливі сліпі зони: перекази приватних ключів, певні позабіржові угоди обміну криптовалюти на фіат або повністю офчейн домовленості можуть залишатися невидимими, якщо не поєднані з додатковою розвідкою.

Компрометація особистих гаманців зростає в обсязі

Поряд з гучними зломами сервісів, атаки на окремих осіб різко посилилися. Нижні оцінки показують, що компрометація особистих гаманців становила близько 20% загальної вкраденої вартості у 2025 році, що менше від 44% у 2024 році, але все ще відображає великомасштабні збитки.

Кількість інцидентів майже потроїлася з 54 000 у 2022 році до 158 000 у 2025 році. За той самий період кількість унікальних жертв подвоїлася приблизно з 40 000 до щонайменше 80 000. Це зростання, ймовірно, відображає ширше впровадження користувачами активів з самостійним зберіганням. Наприклад, Solana, один із ланцюгів з найбільш активними особистими гаманцями, зафіксувала близько 26 500 постраждалих користувачів, набагато більше, ніж інші мережі.

Однак загальна доларова вартість, втрачена окремими особами, впала з 1,5 мільярда доларів у 2024 році до 713 мільйонів доларів у 2025 році. Це свідчить про те, що зловмисники розподіляють зусилля на набагато більшу кількість жертв, одночасно витягуючи менші суми на акаунт, потенційно для зменшення ризику виявлення та експлуатації менш досвідчених користувачів.

Метрики злочинності на рівні мережі висвітлюють, які ланцюги наразі представляють найбільший ризик для користувачів. У 2025 році, при вимірюванні крадіжок на 100 000 гаманців, Ethereum та Tron показують найвищі рівні злочинності. Величезний масштаб Ethereum поєднує високу кількість інцидентів з підвищеним ризиком на гаманець, тоді як Tron демонструє відносно високий рівень крадіжок, незважаючи на меншу активну базу. Навпаки, Base та Solana показують нижчі показники, хоча їхні спільноти користувачів є значними.

Ці відмінності вказують на те, що компрометація особистих гаманців не рівномірно розподілена по екосистемі. Фактори, такі як демографія користувачів, домінуючі типи додатків, місцева злочинна інфраструктура та рівні освіти, ймовірно, впливають на те, куди шахраї та оператори зловмисного програмного забезпечення зосереджують свої зусилля.

Зломи DeFi розходяться з тенденціями загальної заблокованої вартості

Сектор децентралізованих фінансів демонструє помітну розбіжність між зростанням ринку та результатами безпеки. Дані з 2020 по 2025 рік підтверджують три чіткі фази у взаємозв'язку між загальною заблокованою вартістю DeFi (TVL) та збитками, пов'язаними зі зломами.

У фазі 1, з 2020 по 2021 рік, TVL та збитки зростали в тандемі, оскільки ранній бум DeFi привернув як капітал, так і досвідчених зловмисників. Фаза 2, що охоплює 2022–2023 роки, побачила відступ як TVL, так і збитків у міру охолодження ринків. Однак фаза 3, що охоплює 2024 та 2025 роки, позначає структурний злам: TVL відновився з мінімумів 2023 року, але обсяги зломів залишаються порівняно приглушеними.

Ця розбіжність означає, що покращення безпеки DeFi починають мати вимірний ефект. Більше того, одночасне зростання атак на особисті гаманці та зломів централізованих бірж натякає на заміну цілей, при цьому загрозливі актори переміщують ресурси в області, які сприймаються як легші для компрометації.

Кейс: Venus Protocol підкреслює оборонний прогрес

Інцидент з Venus Protocol у вересні 2025 року підкреслює, як багаторівнева оборона може значуще змінити результати. Зловмисники використали скомпрометований клієнт Zoom для отримання точки опори та маніпулювали користувачем, щоб надати делегований контроль над акаунтом, що містить 13 мільйонів доларів активів.

За попередніх умов DeFi такий доступ міг призвести до незворотних збитків. Однак Venus інтегрував платформу моніторингу безпеки лише за місяць до цього. Ця платформа позначила підозрілу активність приблизно за 18 годин до атаки та видала ще одне попередження, коли зловмисна транзакція була подана.

Протягом 20 хвилин Venus призупинив свій протокол, зупинивши рух коштів. Часткова функціональність повернулася приблизно через 5 годин, і протягом 7 годин протокол примусово ліквідував гаманець зловмисника. До 12-годинної відмітки всі вкрадені кошти були повернені, і нормальні операції відновилися.

У подальшому кроці управління Venus схвалило пропозицію заморозити приблизно 3 мільйони доларів активів, які все ще перебувають під контролем зловмисника. Супротивник зрештою не зміг отримати прибуток і замість цього зазнав чистих збитків, демонструючи зростаючу силу ончейн управління, моніторингу та структур реагування на інциденти.

При цьому цей випадок не повинен породжувати самовдоволення. Він демонструє, що можливо, коли протоколи рано інвестують у моніторинг та відпрацьовані сценарії дій, але багато платформ DeFi все ще не мають порівнянних можливостей або чітких планів на випадок надзвичайних ситуацій.

Наслідки для 2026 року та майбутнього середовища загроз

Дані за 2025 рік зображають високо адаптивну екосистему КНДР, в якій менша кількість операцій все ще може забезпечити рекордні результати. Інцидент з Bybit у поєднанні з іншими великомасштабними компрометаціями показує, як одна успішна кампанія може підтримувати потреби у фінансуванні протягом тривалих періодів, поки групи зосереджуються на відмиванні та операційній безпеці.

Більше того, унікальний профіль крадіжки криптовалюти КНДР відносно іншої незаконної діяльності пропонує цінні можливості виявлення. Їхня перевага щодо конкретних розмірів переказів, сильна залежність від певних китайськомовних мереж та характерний 45-денний цикл відмивання можуть допомогти біржам, аналітичним фірмам та регуляторам позначати підозрілу поведінку раніше.

Оскільки хакери криптовалюти Північної Кореї продовжують використовувати цифрові активи для фінансування державних пріоритетів та обходу санкцій, індустрія повинна прийняти, що цей супротивник діє за різними стимулами, ніж звичайні фінансово мотивовані злочинці. Рекордні досягнення режиму у 2025 році, досягнуті за оціночними 74% меншою кількістю відомих атак, свідчать про те, що багато операцій все ще можуть залишатися невиявленими.

Дивлячись у майбутнє до 2026 року, центральним викликом буде ідентифікація та переривання цих високовпливових операцій до того, як відбудеться ще один злом масштабу Bybit. Посилення контролю у централізованих місцях, укріплення особистих гаманців та поглиблення співпраці з правоохоронними органами будуть критичними для стримування як державних кампаній, так і ширшої хвилі криптовалютних злочинів.

Підсумовуючи, 2025 рік підтвердив, що, хоча захист покращується в таких областях, як DeFi, досвідчені актори, такі як КНДР та великомасштабні крадії гаманців, продовжують експлуатувати структурні слабкості, роблячи скоординовані глобальні відповіді більш терміновими, ніж будь-коли.