Ежегодные кражи криптовалюты Северной Кореей ускоряются: киберпреступники под руководством Ким Чен Ына в 2025 году похитили цифровых активов на сумму чуть более 2 миллиардов долларов.
Об этом свидетельствуют исследования компании Chainalysis, специализирующейся на блокчейне. Ее эксперты отмечают, что эта сумма на 51 процент превышает показатель предыдущего года и составляет значительную часть от общих мировых хищений, достигших 3,4 миллиарда долларов.
«Это самый серьезный год в истории краж криптовалюты, совершаемых КНДР, с точки зрения украденной стоимости. Атаки, связанные с КНДР, также привели к рекордному числу компрометаций сервисов — 76 процентов», — говорится в отчете компании.
Одним из ключевых факторов резкого роста стала февральская атака на биржу Bybit, в результате которой было похищено цифровых активов примерно на 1,5 миллиарда долларов.
Еще одной причиной роста является увеличение числа атак на личные кошельки, на которые приходится почти половина (44 процента) общей украденной суммы. В 2022 году этот показатель составлял всего 7,3 процента.
Северная Корея осуществила около 158 000 атак на индивидуальные кошельки в этом году, затронув 80 000 уникальных пользователей.
Chainalysis полагает, что это связано с возросшим интересом к инвестициям в криптовалюту. В качестве примера компания приводит Solana: атаки на кошельки, связанные с этой сетью, затронули 26 500 жертв.
В целом, соратники Ким Чен Ына утвердились в 2025 году как доминирующая сила в сфере краж криптовалюты, доведя общий объем их рейдов до оценочных 6,75 миллиарда долларов с момента начала отслеживания исследователями.
Chainalysis отмечает: «Рекордные показатели страны в 2025 году, достигнутые при сокращении известных атак на 74 процента, позволяют предположить, что мы видим лишь наиболее заметную часть их деятельности. Задача на 2026 год — выявление и предотвращение этих высокоэффективных операций до того, как связанные с КНДР злоумышленники осуществят очередной инцидент масштаба Bybit».
Подрыв модели IT-специалиста
Северная Корея ответственна за рекордные 76 процентов атак на централизованные сервисы в этом году. Этого удалось достичь за счет компрометации приватных ключей и продолжающихся попыток внедрить квалифицированных специалистов в компании, предоставляющие услуги в сфере криптовалют.
Усилия страны по проникновению в западные компании под видом фальшивых IT-специалистов хорошо известны, однако в этом году IT-армия Северной Кореи сместила фокус с получения должностей на роль рекрутеров для крипто- и других Web3-бизнесов.
Таким образом, они получили возможность проводить фальшивые технические собеседования, в ходе которых получают доступ к учетным данным и исходному коду, а также удаленный доступ к сетям, в которых работают соискатели.
В отчете добавляется: «На уровне руководства схожий сценарий социальной инженерии проявляется в виде ложных обращений от предполагаемых стратегических инвесторов или приобретателей, которые используют встречи для презентаций и псевдо-дью-дилидженс для получения информации о конфиденциальных системах и потенциальных путях доступа к высокоценной инфраструктуре. Это развитие напрямую основано на мошеннических операциях КНДР с IT-специалистами и их нацеленности на стратегически важные AI и блокчейн-компании».
DeFi больше нет?
Наблюдения исследователей свидетельствуют о том, что новый фокус страны на личные кошельки и централизованные сервисы сменяет предыдущие рейды на протоколы децентрализованных финансов (DeFi).
Для тех, кто не знаком с Web3-терминологией, DeFi-протоколы существуют на блокчейнах и позволяют осуществлять такие действия, как кредитование и заимствование, с использованием смарт-контрактов, без посредников.
Эти смарт-контракты обычно хранят огромные объемы активов блокчейна. Эксплуатация уязвимости в одном из них может предоставить злоумышленникам полный контроль над общим пулом средств и позволить им вывести их через необратимую транзакцию.
Еще один термин для понимания — «общая заблокированная стоимость» (TVL). Он относится к сумме всех активов, депонированных пользователями. Чем выше TVL, тем больше потенциальный пул активов, которые злоумышленники могут похитить, например, через уязвимости смарт-контрактов, и тем более привлекательным он становится.
Однако Chainalysis отмечает, что активность в 2024 и 2025 годах начала демонстрировать отклонение от этой тенденции. TVL в этот период росли, но атаки на протоколы сократились, что указывает на улучшение стандартов безопасности DeFi и, как следствие, отпугивание злоумышленников.
Атаки на DeFi по-прежнему вызывают проблемы в Web3-пространстве. Среди прибыльных рейдов прошлого года были атаки на Garden и Balancer, но соотношение TVL к общему объему потерь значительно снизилось. ®
Автор – Connor Jones
