کره شمالی عملیات سرقت ارز دیجیتال DPRK را گسترش می‌دهد؛ رکورد ۲.۰۲ میلیارد دلار در سال ۲۰۲۵ سرقت شد

افزایش پذیرش بلاک چین و قیمت‌های بالاتر دارایی‌های دیجیتال با تشدید شدید سرقت کریپتو توسط کره شمالی همزمان شده است که ریسک جهانی را در سراسر خدمات متمرکز، دیفای و کیف پول‌های شخصی تغییر داده است.

بیش از 3.4 میلیارد دلار در سال 2025 سرقت شد زیرا سرقت کریپتو تغییر کرد

طبق گزارش جدید Chainalysis، بخش کریپتو بیش از 3.4 میلیارد دلار بین ژانویه و اوایل دسامبر 2025 سرقت شد، که تنها نقض Bybit در فوریه مسئول 1.5 میلیارد دلار بود. با این حال، پشت این رقم اصلی، ساختار جرم کریپتو در طی سه سال به طور قابل توجهی تغییر کرده است.

علاوه بر این، نقض کیف پول شخصی به عنوان سهمی از سرقت کلی افزایش یافته است. آن‌ها از 7.3% ارزش سرقت شده در سال 2022 به 44% در سال 2024 افزایش یافتند. در سال 2025، اگر نقض Bybit به شدت داده‌ها را تحریف نمی‌کرد، آن‌ها 37% از کل زیان‌ها را تشکیل می‌دادند.

خدمات متمرکز، علی‌رغم منابع عمیق و تیم‌های امنیتی حرفه‌ای، همچنان متحمل زیان‌های فزاینده‌ای ناشی از نقض کلید خصوصی می‌شوند. در حالی که چنین حوادثی به ندرت رخ می‌دهند، اما ویرانگر باقی می‌مانند. در سه ماهه اول 2025، آن‌ها 88% از کل زیان‌ها را تشکیل دادند که ریسک سیستماتیک ایجاد شده توسط نقاط شکست واحد را نشان می‌دهد.

با این حال، تداوم حجم بالای سرقت نشان می‌دهد که علی‌رغم شیوه‌های بهتر در برخی بخش‌ها، مهاجمان همچنان می‌توانند از نقاط ضعف در بردارهای متعدد و پلتفرم‌ها سوء استفاده کنند.

هک‌های مگا پرت سرقت کریپتو را تسلط می‌بخشند

سرقت کریپتو همیشه به سمت تعداد معدودی از نقض‌های بزرگ متمایل بوده است، اما سال 2025 یک حد افراطی جدید را تعیین کرد. برای اولین بار، نسبت بین بزرگترین هک و حادثه متوسط از 1,000 برابر فراتر رفت، بر اساس ارزش دلار آمریکا از وجوه در زمان سرقت.

در نتیجه، سه هک برتر در سال 2025 69% از کل زیان‌های خدمات را تشکیل دادند. در حالی که تعداد حوادث و زیان‌های متوسط تمایل دارند با قیمت دارایی‌ها حرکت کنند، مقیاس پرت‌های فردی حتی سریع‌تر در حال افزایش است. این ریسک تمرکز به این معنی است که یک نقض واحد اکنون می‌تواند آمار زیان سالانه را برای کل صنعت تغییر دهد.

کره شمالی چشم‌انداز سرقت کریپتو جهانی را رهبری می‌کند

جمهوری دموکراتیک خلق کره (DPRK) مهم‌ترین بازیگر دولت-ملت در جرم دارایی دیجیتال باقی می‌ماند. در سال 2025، هکرهای کره شمالی حداقل 2.02 میلیارد دلار ارز دیجیتال سرقت کردند، افزایش 681 میلیون دلار نسبت به سال 2024 و افزایش 51% سال به سال در ارزش گرفته شده.

این عملیات‌ها سال 2025 را بدترین سال ثبت شده برای سرقت مرتبط با DPRK بر اساس ارزش کردند. علاوه بر این، حملات DPRK رکورد 76% از کل نقض‌های خدمات را نشان دادند که کل تجمعی حد پایین سرقت شده توسط بازیگران مرتبط با پیونگ‌یانگ را به 6.75 میلیارد دلار رساند. قابل توجه است که این غارت رکورد علی‌رغم کاهش شدید ارزیابی شده در حوادث تایید شده به دست آمد.

اپراتورهای کره شمالی به طور فزاینده‌ای از یکی از بردارهای اصلی خود سوء استفاده می‌کنند: جاسازی کارگران IT در داخل صرافی‌ها، متولیان امانی و شرکت‌های وب3.

پس از ورود، این کارگران می‌توانند دسترسی ممتاز را پرورش دهند، حرکت جانبی را آسان کنند و در نهایت سرقت‌های مقیاس بزرگ را سازماندهی کنند. حمله Bybit در فوریه 2025 احتمالاً تأثیر این مدل نفوذ را تقویت کرد.

با این حال، گروه‌های مرتبط با DPRK تاکتیک‌های مهندسی اجتماعی خود را نیز تطبیق داده‌اند. آن‌ها به جای درخواست ساده برای مشاغل، اکنون اغلب خود را به عنوان استخدام کنندگان برای شرکت‌های برجسته وب3 و هوش مصنوعی جعل می‌کنند و فرآیندهای استخدام جعلی پیچیده را به صحنه می‌آورند. این‌ها اغلب با "صفحه‌های فنی" پایان می‌یابند که اهداف را فریب می‌دهند تا اعتبارنامه‌ها، کد منبع یا دسترسی VPN و SSO را به کارفرمایان فعلی خود تحویل دهند.

در سطح اجرایی، کمپین‌های مهندسی اجتماعی مشابه دارای تماس جعلی از سرمایه‌گذاران یا خریداران استراتژیک فرضی هستند.

جلسات ارائه و فرآیندهای شبه-دقت لازم برای بررسی جزئیات حساس سیستم و نقشه‌برداری مسیرهای دسترسی به زیرساخت با ارزش بالا استفاده می‌شوند. این تکامل مستقیماً بر روی طرح‌های تقلب کارگر IT قبلی ساخته شده است و تمرکز محکم‌تری بر کسب‌وکارهای استراتژیک مهم هوش مصنوعی و بلاک چین را برجسته می‌کند.

در طول سال‌های 2022 تا 2025، هک‌های منتسب به DPRK به طور مداوم بالاترین باندهای ارزشی را اشغال می‌کنند، در حالی که بازیگران غیر دولت-ملت توزیع‌های عادی‌تری را در اندازه‌های حادثه نشان می‌دهند. این الگو نشان می‌دهد که وقتی کره شمالی حمله می‌کند، خدمات متمرکز بزرگ را ترجیح می‌دهد و هدف حداکثر تأثیر مالی و سیاسی را دارد.

یک ویژگی چشمگیر سال 2025 این است که این کل رکورد با عملیات شناخته شده بسیار کمتری به دست آمد.

نقض عظیم Bybit به نظر می‌رسد به گروه‌های مرتبط با DPRK اجازه داده است تا تعداد کمی از حملات بسیار سودآور را به جای حجم بیشتری از نقض‌های متوسط اجرا کنند.

الگوهای متمایز پولشویی ارز دیجیتال DPRK

جریان بی‌سابقه دارایی‌های سرقت شده در اوایل سال 2025 دید واضحی از نحوه انتقال وجوه در مقیاس توسط بازیگران مرتبط با پیونگ‌یانگ فراهم کرد. الگوهای پولشویی ارز دیجیتال آن‌ها به طور قابل توجهی با سایر گروه‌های جنایی متفاوت است و با گذشت زمان همچنان در حال تکامل است.

جریان‌های خروجی DPRK ساختار براکت‌بندی متمایزی را نشان می‌دهند. کمی بیش از 60% از حجم در انتقالات زیر 500,000 دلار سفر می‌کند، در حالی که سایر بازیگران وجوه سرقت شده بیش از 60% از جریان‌های خود را در زنجیره در بخش‌های بین 1 میلیون دلار و بیش از 10 میلیون دلار ارسال می‌کنند.

علی‌رغم سرقت معمولاً کل‌های بزرگتر، گروه‌های DPRK پرداخت‌ها را به بخش‌های کوچک‌تر تقسیم می‌کنند که نشان‌دهنده تلاش عمدی برای فرار از تشخیص از طریق ساختاربندی پیچیده‌تر است.

علاوه بر این، بازیگران DPRK به طور مداوم نقاط تماس خاص پولشویی را ترجیح می‌دهند.

آن‌ها به شدت بر خدمات حرکت پول و تضمین به زبان چینی تکیه می‌کنند که اغلب از طریق شبکه‌های متصل شل از پولشوی‌های حرفه‌ای عمل می‌کنند که استانداردهای انطباق آن‌ها می‌تواند ضعیف باشد. آن‌ها همچنین استفاده گسترده‌ای از خدمات پل میان زنجیره‌ای و میکس به همراه ارائه‌دهندگان تخصصی مانند Huione می‌کنند تا ابهام و پیچیدگی صلاحیتی را افزایش دهند.

در مقابل، بسیاری از گروه‌های جنایی دیگر پروتکل‌های وام‌دهی، صرافی‌های بدون KYC، پلتفرم‌های P2P و صرافی‌های غیرمتمرکز را برای نقدینگی و ناشناسی ترجیح می‌دهند. نهادهای DPRK ادغام محدودی با این مناطق از دیفای نشان می‌دهند که نشان می‌دهد محدودیت‌ها و اهداف آن‌ها با مجرمان سایبری معمولی با انگیزه مالی متفاوت است.

این ترجیحات نشان می‌دهند که شبکه‌های DPRK با اپراتورهای غیرقانونی در سراسر منطقه آسیا-اقیانوسیه ارتباط تنگاتنگی دارند، به ویژه در کانال‌های مبتنی بر چین که دسترسی غیرمستقیم به سیستم مالی جهانی را فراهم می‌کنند. این با تاریخ گسترده‌تر پیونگ‌یانگ در استفاده از واسطه‌های چینی برای دور زدن تحریم‌ها و انتقال ارزش به خارج از کشور مطابقت دارد.

چرخه پولشویی 45 روزه پس از سرقت کریپتو DPRK

تجزیه و تحلیل زنجیره‌ای سرقت‌های مرتبط با DPRK بین سال‌های 2022 و 2025 یک چرخه پولشویی نسبتاً پایدار و چند موجی را نشان می‌دهد که حدود 45 روز طول می‌کشد. در حالی که همه عملیات این جدول زمانی را دنبال نمی‌کنند، اما به طور مکرر زمانی که وجوه سرقت شده به طور فعال منتقل می‌شوند ظاهر می‌شود.

موج 1، که روزهای 0 تا 5 را در بر می‌گیرد، بر لایه‌بندی فوری تمرکز دارد. پروتکل‌های دیفای افزایش شدید در جریان‌های وجوه سرقت شده را به عنوان نقاط ورود اولیه می‌بینند، در حالی که خدمات میکس جهش‌های حجم بزرگ را برای ایجاد اولین لایه ابهام ثبت می‌کنند. این هجوم حرکت برای دور نگه داشتن وجوه از آدرس‌های منبع به راحتی قابل شناسایی طراحی شده است.

موج 2، که روزهای 6 تا 10 را پوشش می‌دهد، شروع ادغام در اکوسیستم گسترده‌تر را نشان می‌دهد. صرافی‌ها با کنترل‌های محدود KYC، برخی از پلتفرم‌های متمرکز و میکسرهای ثانویه شروع به دریافت جریان‌ها می‌کنند که اغلب توسط پل‌های میان زنجیره‌ای تسهیل می‌شوند که مسیرهای معاملاتی را تکه‌تکه و پیچیده می‌کنند. این مرحله بحرانی است زیرا وجوه به سمت خروجی‌های بالقوه انتقال می‌یابند.

موج 3، که از روزهای 20 تا 45 اجرا می‌شود، دم بلند ادغام را نشان می‌دهد. صرافی‌های بدون KYC، خدمات توکن سواپ فوری و خدمات پولشویی به زبان چینی به عنوان نقاط پایانی اصلی ظاهر می‌شوند. صرافی‌های متمرکز نیز به طور فزاینده‌ای سپرده دریافت می‌کنند که منعکس کننده تلاش‌ها برای ترکیب عواید غیرقانونی با جریان‌های تجاری قانونی است که اغلب از طریق اپراتورها در حوزه‌های قضایی کمتر تنظیم شده انجام می‌شود.

این پنجره گسترده 45 روزه اطلاعات ارزشمندی را برای تیم‌های اجرای قانون و انطباق که به دنبال مختل کردن جریان‌ها در زمان واقعی هستند فراهم می‌کند. با این حال، تحلیلگران نقاط کور مهمی را یادداشت می‌کنند: انتقالات کلید خصوصی، برخی معاملات OTC ارز دیجیتال به فیات یا ترتیبات کاملاً خارج از زنجیره می‌توانند نامرئی بمانند مگر اینکه با اطلاعات اضافی جفت شوند.

نقض کیف پول شخصی در حجم افزایش می‌یابد

در کنار نقض‌های خدمات با پروفایل بالا، حملات به افراد به شدت تشدید شده است. تخمین‌های حد پایین نشان می‌دهند که نقض کیف پول شخصی حدود 20% از کل ارزش سرقت شده در سال 2025 را نشان داد که از 44% در سال 2024 کاهش یافته است، اما همچنان منعکس کننده آسیب مقیاس بزرگ است.

تعداد حوادث تقریباً سه برابر از 54,000 در سال 2022 به 158,000 در سال 2025 شد. در همان دوره، تعداد قربانیان منحصر به فرد از حدود 40,000 به حداقل 80,000 دو برابر شد. این افزایش‌ها احتمالاً منعکس کننده پذیرش گسترده‌تر کاربر از دارایی‌های خود-حضانتی است. به عنوان مثال، Solana، یکی از زنجیره‌ها با بیشترین کیف پول‌های شخصی فعال، حدود 26,500 کاربر تحت تأثیر را ثبت کرد که بسیار بیشتر از سایر شبکه‌ها است.

با این حال، کل ارزش دلاری از دست رفته توسط افراد از 1.5 میلیارد دلار در سال 2024 به 713 میلیون دلار در سال 2025 کاهش یافت. این نشان می‌دهد که مهاجمان تلاش‌ها را در میان قربانیان بسیار بیشتری پخش می‌کنند در حالی که مبالغ کوچک‌تری را در هر حساب استخراج می‌کنند، احتمالاً برای کاهش ریسک تشخیص و بهره‌برداری از کاربران کمتر پیچیده.

معیارهای جرم در سطح شبکه روشن می‌کنند که کدام زنجیره‌ها در حال حاضر بیشترین ریسک کاربر را نشان می‌دهند. در سال 2025، هنگام اندازه‌گیری سرقت به ازای هر 100,000 کیف پول، اتریوم و ترون بالاترین نرخ‌های جرم را نشان می‌دهند. مقیاس وسیع اتریوم تعداد حوادث بالا را با ریسک افزایش یافته به ازای هر کیف پول ترکیب می‌کند، در حالی که ترون نرخ سرقت نسبتاً بالایی را علی‌رغم پایگاه فعال کوچک‌تر نشان می‌دهد. در مقابل، Base و Solana نرخ‌های کمتری را نشان می‌دهند حتی اگر جوامع کاربری آن‌ها قابل توجه باشند.

این تفاوت‌ها نشان می‌دهند که نقض کیف پول شخصی به طور یکسان در سراسر اکوسیستم توزیع نشده است. عوامل مانند جمعیت‌شناسی کاربر، انواع برنامه غالب، زیرساخت جنایی محلی و سطوح آموزش احتمالاً تأثیر می‌گذارند که کجا کلاهبرداران و اپراتورهای بدافزار تلاش‌های خود را متمرکز می‌کنند.

هک‌های دیفای از روندهای ارزش کل قفل شده منحرف می‌شوند

بخش امور مالی غیر متمرکز یک واگرایی قابل توجه بین رشد بازار و نتایج امنیتی را نشان می‌دهد. داده‌ها از سال 2020 تا 2025 سه مرحله واضح را در رابطه بین ارزش کل قفل شده (TVL) دیفای و زیان‌های مرتبط با هک تأیید می‌کنند.

در مرحله 1، از سال 2020 تا 2021، TVL و زیان‌ها همزمان افزایش یافتند زیرا رونق اولیه دیفای هم سرمایه و هم مهاجمان پیچیده را جذب کرد. مرحله 2، که 2022 تا 2023 را پوشش می‌دهد، هم TVL و هم زیان‌ها را با سرد شدن بازارها عقب نشینی کرد. با این حال، مرحله 3، که سال‌های 2024 و 2025 را در بر می‌گیرد، یک شکست ساختاری را نشان می‌دهد: TVL از پایین‌ترین سطح سال 2023 بهبود یافته است، اما حجم‌های هک نسبتاً مهار شده باقی می‌مانند.

این واگرایی دلالت بر این دارد که بهبودهای امنیتی دیفای شروع به تأثیر قابل اندازه‌گیری کرده‌اند. علاوه بر این، افزایش همزمان حملات به کیف پول شخصی و هک‌های صرافی متمرکز نشان‌دهنده جایگزینی هدف است که بازیگران تهدید منابع را به سمت مناطقی که آسان‌تر برای نقض درک می‌شوند منتقل می‌کنند.

مطالعه موردی: پروتکل Venus پیشرفت دفاعی را برجسته می‌کند

حادثه پروتکل Venus در سپتامبر 2025 نشان می‌دهد که چگونه دفاع‌های لایه‌ای می‌توانند نتایج را به طور معنی‌داری تغییر دهند. مهاجمان از یک کلاینت Zoom نقض شده برای به دست آوردن جایگاه استفاده کردند و یک کاربر را به اعطای کنترل نماینده بر روی یک حساب با 13 میلیون دلار دارایی دستکاری کردند.

تحت شرایط قبلی دیفای، چنین دسترسی ممکن بود منجر به زیان‌های غیرقابل برگشت شود. با این حال، Venus تنها یک ماه قبل یک پلتفرم نظارت امنیتی را یکپارچه کرده بود. آن پلتفرم فعالیت مشکوک را تقریباً 18 ساعت قبل از حمله علامت‌گذاری کرد و هشدار دیگری را زمانی که تراکنش مخرب ارسال شد صادر کرد.

در عرض 20 دقیقه، Venus پروتکل خود را متوقف کرد و حرکات وجوه را متوقف کرد. عملکرد جزئی پس از حدود 5 ساعت بازگشت و در عرض 7 ساعت پروتکل به طور اجباری کیف پول مهاجم را لیکویید کرد. تا علامت 12 ساعت، تمام وجوه سرقت شده بازیابی شد و عملیات عادی از سر گرفته شد.

در یک قدم بعدی، حکمرانی Venus پیشنهادی را برای انجماد تقریباً 3 میلیون دلار دارایی که هنوز تحت کنترل مهاجم بود تأیید کرد. دشمن در نهایت موفق به کسب سود نشد و در عوض متحمل زیان‌های خالص شد که قدرت رو به رشد حکمرانی زنجیره‌ای، نظارت و چارچوب‌های واکنش به حادثه را به نمایش گذاشت.

با این حال، این مورد نباید رضایت را ایجاد کند. این نشان می‌دهد که چه چیزی ممکن است زمانی که پروتکل‌ها زود در نظارت و دفترچه راهنمای تمرین شده سرمایه‌گذاری می‌کنند، اما بسیاری از پلتفرم‌های دیفای هنوز فاقد قابلیت‌های قابل مقایسه یا برنامه‌های اضطراری واضح هستند.

پیامدها برای سال 2026 و محیط تهدید آینده

داده‌های سال 2025 یک اکوسیستم DPRK بسیار سازگار را به تصویر می‌کشند که در آن عملیات کمتر همچنان می‌توانند نتایج رکورد را ارائه دهند. حادثه Bybit، همراه با سایر نقض‌های مقیاس بزرگ، نشان می‌دهد که چگونه یک کمپین موفق می‌تواند نیازهای تأمین مالی را برای دوره‌های طولانی حفظ کند در حالی که گروه‌ها بر پولشویی و امنیت عملیاتی تمرکز می‌کنند.

علاوه بر این، پروفایل منحصر به فرد سرقت کریپتو DPRK نسبت به سایر فعالیت‌های غیرقانونی فرصت‌های تشخیص ارزشمندی را ارائه می‌دهد. ترجیح آن‌ها برای اندازه‌های انتقال خاص، اتکای شدید بر شبکه‌های خاص به زبان چینی و چرخه پولشویی مشخصه 45 روزه می‌تواند به صرافی‌ها، شرکت‌های تحلیلی و تنظیم کنندگان کمک کند تا رفتار مشکوک را زودتر علامت‌گذاری کنند.

همانطور که هکرهای کریپتو کره شمالی به استفاده از دارایی‌های دیجیتال برای تأمین مالی اولویت‌های دولتی و دور زدن تحریم‌ها ادامه می‌دهند، صنعت باید بپذیرد که این دشمن تحت انگیزه‌های متفاوتی نسبت به مجرمان معمولی با انگیزه مالی عمل می‌کند. عملکرد رکوردشکنی رژیم در سال 2025، که با تخمین 74% حملات شناخته شده کمتر به دست آمده است، نشان می‌دهد که بسیاری از عملیات ممکن است هنوز تشخیص داده نشوند.

با نگاه به آینده به سال 2026، چالش اصلی شناسایی و مختل کردن این عملیات با تأثیر بالا قبل از وقوع نقض دیگری در مقیاس Bybit خواهد بود. تقویت کنترل‌ها در محل‌های متمرکز، سخت کردن کیف پول‌های شخصی و عمیق کردن همکاری با اجرای قانون برای مهار هم کمپین‌های دولت-ملت و هم موج گسترده‌تر جرم کریپتو حیاتی خواهد بود.

به طور خلاصه، سال 2025 تأیید کرد که در حالی که دفاع‌ها در مناطقی مانند دیفای در حال بهبود هستند، بازیگران پیچیده مانند DPRK و دزدان کیف پول مقیاس بزرگ همچنان به بهره‌برداری از نقاط ضعف ساختاری ادامه می‌دهند که پاسخ‌های هماهنگ جهانی را فوری‌تر از همیشه می‌کند.