Хакеры, связанные с Северной Кореей, установили рекорд по объему краж криптовалюты за год, превратив 2025 год в предостережение: несколько государственных атак способны подорвать даже хорошо финансируемую оборону.
Согласно отчету Chainalysis Crypto Crime Report, опубликованному в четверг, с января по начало декабря 2025 года отрасль потеряла более 3,4 миллиарда долларов из-за краж. При этом на один только инцидент в марте с компрометацией Bybit пришлось 1,5 миллиарда долларов.
В рамках общей суммы Демократическая Республика Корея (КНДР) оставалась доминирующей угрозой по объему ущерба. Chainalysis оценивает кражи, связанные с КНДР, как минимум в 2,02 миллиарда долларов в 2025 году, что на 51% больше по сравнению с предыдущим годом. Атаки, связанные с КНДР, составили рекордные 76% всех компрометаций сервисов.
Нижняя граница совокупной оценки краж криптовалюты КНДР теперь составляет 6,75 миллиарда долларов.
Источник изображения: Chainalysis
Этот скачок произошел даже при меньшем количестве подтвержденных инцидентов, что указывает на то, что небольшое число крупных атак теперь наносит больший ущерб, чем длинный список мелких взломов.
Внедренные IT-специалисты обеспечивают высокоэффективные взломы
Chainalysis сообщает, что три крупнейших взлома в 2025 году составили 69% всех потерь сервисов, а самый крупный инцидент впервые превысил медианную сумму кражи в 1000 раз.
Одной из причин является доступ. Chainalysis отмечает, что связанные с КНДР злоумышленники все чаще внедряют IT-специалистов в криптовалютные сервисы для получения привилегированного доступа, а затем используют эту позицию для осуществления высокоэффективных компрометаций на биржах, у кастодианов и в Web3-компаниях.
Отчет также указывает на компрометацию приватных ключей как на повторяющуюся уязвимость централизованных платформ, где редкие сбои по-прежнему доминируют в статистике потерь, когда они случаются.
Chainalysis сообщает, что компрометация приватных ключей привела к 88% потерь в первом квартале 2025 года, даже в компаниях с институциональными ресурсами и профессиональными командами по безопасности.
В то же время проблема личных кошельков становилась все более масштабной, хотя средний ущерб от одной атаки уменьшился.
Расследование в Южной Корее связывает взлом кошелька Solana с акторами из КНДР
Официальные лица Южной Кореи и несколько фирм по кибербезопасности считают, что ноябрьский взлом горячего кошелька Upbit на Solana был осуществлен Lazarus — государственной хакерской группой Северной Кореи. В результате атаки было похищено примерно 44,5 миллиарда вон, или около 30-36 миллионов долларов, в токенах на базе Solana.
Chainalysis оценивает всплеск инцидентов краж до 158 000 в 2025 году с как минимум 80 000 пострадавших. При этом общий объем украденного у частных лиц снизился до 713 миллионов долларов, что предполагает, что злоумышленники нацеливались на большее количество пользователей, но с меньшей суммой с каждого.
Когда средства, связанные с КНДР, перемещаются, они часто делают это дисциплинированно. Chainalysis описывает структурированный, многоволновой путь отмывания, который обычно разворачивается в течение примерно 45 дней после крупных взломов, начиная с быстрого наслоения, затем интеграции через выбранные площадки и заканчивая точками конвертации.
Отмечаются также отличительные операционные решения, включая активное использование услуг по переводу денег и гарантированию на китайском языке, а также сильную зависимость от мостов и микширующих сервисов, при этом проявлен меньший интерес к кредитным протоколам и P2P-площадкам по сравнению с другими акторами, занимающимися крадеными средствами.
Даже “форма” ончейн-операций выглядит иначе. Chainalysis сообщает, что отмывание средств КНДР концентрируется чуть более чем на 60% объема ниже 500 000 долларов за транзакцию, в то время как другие акторы чаще отправляют средства траншами от 1 до 10 миллионов долларов и более. Этот паттерн рассматривается как признак сложной структуризации.
Автор – Shalini nagarajan
