Korea Północna rozszerza operacje kradzieży kryptowalut KRLD, rekordowe 2,02 miliarda dolarów skradziono w 2025 roku

Rosnąca adopcja blockchain i wyższe ceny aktywów cyfrowych zbiegły się z gwałtowną eskalacją kradzieży kryptowalut przez KRLD, zmieniając globalny profil ryzyka w obszarze scentralizowanych usług, DeFi i portfeli osobistych.

Ponad 3,4 miliarda dolarów skradzionych w 2025 roku w ramach zmieniającego się kradziežy kryptowalut

Według nowego raportu Chainalysis, sektor kryptowalut odnotował ponad 3,4 miliarda dolarów skradzionych między styczniem a początkiem grudnia 2025 roku, przy czym samo naruszenie Bybit w lutym odpowiadało za 1,5 miliarda dolarów. Jednak za tą nagłówkową cyfrą struktura przestępczości kryptowalutowej zmieniła się znacząco w ciągu zaledwie trzech lat.

Ponadto kompromitacje portfeli osobistych gwałtownie wzrosły jako udział w całkowitych kradzieżach. Wzrosły z 7,3% skradzionej wartości w 2022 roku do 44% w 2024 roku. W 2025 roku stanowiłyby 37% całkowitych strat, gdyby kompromitacja Bybit nie zniekształciła tak mocno danych.

Scentralizowane usługi, pomimo dużych zasobów i profesjonalnych zespołów bezpieczeństwa, nadal ponoszą coraz większe straty spowodowane kompromitacjami kluczy prywatnych. Chociaż takie incydenty zdarzają się rzadko, pozostają niszczycielskie. W pierwszym kwartale 2025 roku stanowiły 88% wszystkich strat, podkreślając systemowe ryzyko stwarzane przez pojedyncze punkty awarii.

Mimo to utrzymywanie się dużych wolumenów kradzieży pokazuje, że pomimo lepszych praktyk w niektórych segmentach, atakujący nadal mogą wykorzystywać słabości w wielu wektorach i platformach.

Odstające mega-włamania dominują w kradzieżach kryptowalut

Kradzież kryptowalut zawsze była zniekształcona w kierunku kilku przesadzonych naruszeń, ale 2025 rok ustanowił nowe ekstremum. Po raz pierwszy stosunek między największym włamaniem a medianą incydentu przekroczył 1 000x, w oparciu o wartość funduszy w dolarach amerykańskich w momencie kradzieży.

W rezultacie trzy największe włamania w 2025 roku stanowiły 69% wszystkich strat usług. Podczas gdy liczby incydentów i mediany strat zazwyczaj poruszają się wraz z cenami aktywów, skala poszczególnych odstających rośnie jeszcze szybciej. To ryzyko koncentracji oznacza, że pojedyncza kompromitacja może teraz przekształcić roczne statystyki strat dla całej branży.

Korea Północna przewodzi w globalnym krajobrazie kradzieży kryptowalut

Koreańska Republika Ludowo-Demokratyczna (KRLD) pozostaje najbardziej znaczącym państwowym aktorem w przestępczości związanej z aktywami cyfrowymi. W 2025 roku hakerzy z Korei Północnej ukradli co najmniej 2,02 miliarda dolarów w kryptowalutach, co stanowi wzrost o 681 milionów dolarów w porównaniu z 2024 rokiem i 51% wzrost wartości skradzionej rok do roku.

Te operacje sprawiły, że 2025 rok był najgorszym rokiem w historii pod względem wartości kradzieży związanych z KRLD. Ponadto ataki KRLD stanowiły rekordowe 76% wszystkich kompromitacji usług, podnosząc dolną granicę skumulowanej sumy skradzionej przez podmioty powiązane z Pjongjangiem do 6,75 miliarda dolarów. Warto zauważyć, że ten rekordowy łup został osiągnięty pomimo ocenianego ostrego zmniejszenia potwierdzonych incydentów.

Operatorzy z Korei Północnej coraz częściej wykorzystują jeden ze swoich podstawowych wektorów: osadzanie pracowników IT wewnątrz giełd, depozytariuszy i firm web3.

Będąc wewnątrz, ci pracownicy mogą kultywować uprzywilejowany dostęp, ułatwiać ruch boczny i ostatecznie organizować kradzieże na dużą skalę. Atak na Bybit w lutym 2025 roku prawdopodobnie wzmocnił wpływ tego modelu infiltracji.

Jednak grupy powiązane z KRLD dostosowały również swoje taktyki inżynierii społecznej. Zamiast po prostu aplikować o pracę, obecnie często podszywają się pod rekruterów dla prominentnych firm web3 i AI, inscenizując skomplikowane fałszywe procesy rekrutacyjne. Często kończą się one „testami technicznymi", które nakłaniają cele do przekazania poświadczeń, kodu źródłowego lub dostępu VPN i SSO do ich obecnych pracodawców.

Na poziomie kadry kierowniczej podobne kampanie inżynierii społecznej obejmują fałszywe kontakty od rzekomych strategicznych inwestorów lub nabywców.

Spotkania prezentacyjne i pseudo-procesy due diligence są wykorzystywane do badania wrażliwych szczegółów systemu i mapowania ścieżek dostępu do wartościowej infrastruktury. Ta ewolucja buduje bezpośrednio na wcześniejszych schematach oszustw pracowników IT i podkreśla ściślejsze skupienie na strategicznie ważnych firmach AI i blockchain.

W latach 2022–2025 włamania przypisywane KRLD konsekwentnie zajmują najwyższe przedziały wartości, podczas gdy podmioty niebędące państwami narodowymi wykazują bardziej normalne rozkłady w zakresie wielkości incydentów. Ten wzorzec wskazuje, że gdy Korea Północna uderza, preferuje duże scentralizowane usługi i dąży do maksymalnego wpływu finansowego i politycznego.

Jedną z uderzających cech 2025 roku jest to, że ta rekordowa suma została osiągnięta przy znacznie mniejszej liczbie znanych operacji.

Ogromne naruszenie Bybit wydaje się pozwolić grupom powiązanym z KRLD na wykonanie niewielkiej liczby niezwykle lukratywnych ataków zamiast większej liczby kompromisów średniej wielkości.

Charakterystyczne wzorce prania kryptowalut KRLD

Bezprecedensowy napływ skradzionych aktywów na początku 2025 roku zapewnił niezwykle wyraźną widoczność tego, jak podmioty powiązane z Pjongjangiem przenoszą fundusze na dużą skalę. Ich wzorce prania kryptowalut znacznie różnią się od tych innych grup przestępczych i nadal ewoluują w czasie.

Odpływy KRLD wykazują charakterystyczną strukturę przedziałową. Nieco ponad 60% wolumenu przemieszcza się w przelewach poniżej 500 000 dolarów, podczas gdy inne podmioty zajmujące się skradzionymi funduszami wysyłają ponad 60% swoich przepływów w łańcuchu w transzach między 1 milionem a 10 milionami+ dolarów.

Pomimo zazwyczaj kradzieży większych sum, grupy KRLD dzielą płatności na mniejsze segmenty, sugerując celową próbę uniknięcia wykrycia poprzez bardziej wyrafinowane strukturyzowanie.

Ponadto podmioty KRLD konsekwentnie preferują określone punkty styku prania.

Polegają w dużym stopniu na chińskojęzycznych usługach przepływu pieniędzy i gwarancji, często działając przez luźno połączone sieci profesjonalnych piorących, których standardy zgodności mogą być słabe. Szeroko wykorzystują również usługi mostków międzyłańcuchowych i miksowania, wraz ze specjalistycznymi dostawcami takimi jak Huione, w celu zwiększenia zaciemnienia i złożoności jurysdykcyjnej.

W przeciwieństwie do tego wiele innych grup przestępczych preferuje protokoły pożyczkowe, giełdy bez KYC, platformy P2P i zdecentralizowane giełdy dla płynności i pseudonimowości. Podmioty KRLD wykazują ograniczoną integrację z tymi obszarami DeFi, podkreślając, że ich ograniczenia i cele różnią się od typowych motywowanych finansowo cyberprzestępców.

Te preferencje wskazują, że sieci KRLD są ściśle powiązane z nielegalnymi operatorami w regionie Azji i Pacyfiku, szczególnie w kanałach opartych w Chinach, które zapewniają pośredni dostęp do globalnego systemu finansowego. To odpowiada szerszej historii Pjongjangu wykorzystywania chińskich pośredników w celu obchodzenia sankcji i przenoszenia wartości za granicę.

45-dniowy cykl prania po kradzieży kryptowalut przez KRLD

Analiza w łańcuchu kradzieży powiązanych z KRLD między 2022 a 2025 rokiem ujawnia stosunkowo stabilny, wielofalowy cykl prania trwający około 45 dni. Chociaż nie wszystkie operacje są zgodne z tym harmonogramem, pojawia się on wielokrotnie, gdy skradzione fundusze są aktywnie przemieszczane.

Fala 1, obejmująca dni od 0 do 5, koncentruje się na natychmiastowym warstwowaniu. Protokoły DeFi odnotowują intensywne skoki w przepływach skradzionych funduszy jako początkowe punkty wejścia, podczas gdy usługi miksowania rejestrują duże skoki wolumenu, aby stworzyć pierwszą warstwę zaciemnienia. Ta fala ruchów ma na celu odsunięcie funduszy od łatwo identyfikowanych adresów źródłowych.

Fala 2, obejmująca dni od 6 do 10, oznacza początek integracji z szerszym ekosystemem. Giełdy z ograniczonymi kontrolami KYC, niektóre scentralizowane platformy i wtórne miksery zaczynają otrzymywać przepływy, często ułatwiane przez mosty międzyłańcuchowe, które fragmentują i komplikują ścieżki transakcji. Ta faza jest kluczowa, ponieważ fundusze przechodzą w kierunku potencjalnych punktów wyjścia.

Fala 3, trwająca od dni 20 do 45, charakteryzuje się długim ogonem integracji. Giełdy bez KYC, natychmiastowe usługi wymiany i chińskojęzyczne usługi prania pojawiają się jako główne punkty końcowe. Scentralizowane giełdy również coraz częściej otrzymują depozyty, odzwierciedlając wysiłki mające na celu mieszanie nielegalnych dochodów z legalnymi przepływami handlowymi, często przez operatorów w mniej regulowanych jurysdykcjach.

To szerokie 45-dniowe okno zapewnia cenne informacje dla organów ścigania i zespołów zgodności dążących do zakłócenia przepływów w czasie rzeczywistym. Jednak analitycy zauważają ważne martwe punkty: transfery kluczy prywatnych, niektóre transakcje OTC krypto na fiat lub całkowicie poza łańcuchem mogą pozostać niewidoczne, chyba że są sparowane z dodatkowymi informacjami wywiadowczymi.

Kompromitacje portfeli osobistych gwałtownie rosną w wolumenie

Obok głośnych naruszeń usług ataki na osoby fizyczne gwałtownie eskalowały. Dolne oszacowania pokazują, że kompromitacje portfeli osobistych stanowiły około 20% całkowitej wartości skradzionej w 2025 roku, w dół z 44% w 2024 roku, ale nadal odzwierciedlając szkody na dużą skalę.

Liczby incydentów prawie potroiły się z 54 000 w 2022 roku do 158 000 w 2025 roku. W tym samym okresie liczba unikalnych ofiar podwoiła się z około 40 000 do co najmniej 80 000. Te wzrosty prawdopodobnie odzwierciedlają szerszą adopcję aktywów samodzielnie przechowywanych. Na przykład Solana, jeden z łańcuchów z najbardziej aktywnymi portfelami osobistymi, odnotował około 26 500 dotkniętych użytkowników, znacznie więcej niż inne sieci.

Jednak całkowita wartość dolarowa stracona przez osoby fizyczne spadła z 1,5 miliarda dolarów w 2024 roku do 713 milionów dolarów w 2025 roku. To sugeruje, że atakujący rozpraszają wysiłki na znacznie więcej ofiar, jednocześnie wydobywając mniejsze sumy na konto, potencjalnie w celu zmniejszenia ryzyka wykrycia i wykorzystania mniej wyrafinowanych użytkowników.

Metryki przestępczości na poziomie sieci oświetlają, które łańcuchy obecnie przedstawiają największe ryzyko dla użytkowników. W 2025 roku, mierząc kradzież na 100 000 portfeli, Ethereum i Tron wykazują najwyższe wskaźniki przestępczości. Ogromna skala Ethereum łączy wysokie liczby incydentów z podwyższonym ryzykiem na portfel, podczas gdy Tron wykazuje stosunkowo wysoki wskaźnik kradzieży pomimo mniejszej aktywnej bazy. W przeciwieństwie do tego Base i Solana wykazują niższe wskaźniki, mimo że ich społeczności użytkowników są znaczne.

Te różnice wskazują, że kompromitacje portfeli osobistych nie są równomiernie rozproszone w ekosystemie. Czynniki takie jak demografia użytkowników, dominujące typy aplikacji, lokalna infrastruktura przestępcza i poziomy edukacji prawdopodobnie wpływają na to, gdzie oszuści i operatorzy złośliwego oprogramowania koncentrują swoje wysiłki.

Włamania DeFi odbiegają od trendów całkowitej zablokowanej wartości

Sektor zdecentralizowanych finansów wykazuje zauważalną rozbieżność między wzrostem rynku a wynikami bezpieczeństwa. Dane z lat 2020–2025 potwierdzają trzy wyraźne fazy w relacji między całkowitą zablokowaną wartością DeFi (TVL) a stratami związanymi z włamaniami.

W fazie 1, od 2020 do 2021 roku, TVL i straty rosły równolegle, ponieważ wczesny boom DeFi przyciągnął zarówno kapitał, jak i wyrafinowanych atakujących. Faza 2, obejmująca lata 2022–2023, odnotowała wycofanie zarówno TVL, jak i strat, gdy rynki się ochłodziły. Jednak faza 3, obejmująca lata 2024 i 2025, oznacza strukturalne przełamanie: TVL odzyskał poziom z najniższych punktów 2023 roku, ale wolumeny włamań pozostają stosunkowo stłumione.

Ta rozbieżność sugeruje, że ulepszenia bezpieczeństwa DeFi zaczynają mieć mierzalny efekt. Ponadto jednoczesny wzrost ataków na portfele osobiste i włamań na scentralizowane giełdy sugeruje substytucję celów, przy czym podmioty zagrażające przenoszą zasoby w kierunku obszarów postrzeganych jako łatwiejsze do naruszenia.

Studium przypadku: Protokół Venus podkreśla postęp obronny

Incydent Venus Protocol we wrześniu 2025 roku podkreśla, jak warstwowe obrony mogą znacząco zmienić wyniki. Atakujący wykorzystali zainfekowanego klienta Zoom, aby zdobyć przyczółek i zmanipulowali użytkownika do przyznania kontroli delegata nad kontem posiadającym 13 milionów dolarów w aktywach.

W innych warunkach DeFi taki dostęp mógł skutkować nieodwracalnymi stratami. Jednak Venus zintegrowała platformę monitorowania bezpieczeństwa zaledwie miesiąc wcześniej. Ta platforma oznaczyła podejrzaną aktywność około 18 godzin przed atakiem i wydała kolejny alert, gdy złośliwa transakcja została przesłana.

W ciągu 20 minut Venus wstrzymał swój protokół, zatrzymując ruchy funduszy. Częściowa funkcjonalność powróciła po około 5 godzinach, a w ciągu 7 godzin protokół przymusowo zlikwidował portfel atakującego. Do godziny 12 wszystkie skradzione fundusze zostały odzyskane i normalne operacje zostały wznowione.

W dalszym kroku zarządzanie Venus zatwierdziło propozycję zamrożenia około 3 milionów dolarów w aktywach nadal pod kontrolą atakującego. Przeciwnik ostatecznie nie odniósł zysku i zamiast tego poniósł straty netto, pokazując rosnącą moc zarządzania w łańcuchu, monitorowania i ram reagowania na incydenty.

Należy jednak podkreślić, że ten przypadek nie powinien rodzić samozadowolenia. Pokazuje, co jest możliwe, gdy protokoły inwestują wcześnie w monitorowanie i przećwiczone scenariusze, ale wiele platform DeFi nadal nie posiada porównywalnych możliwości ani jasnych planów awaryjnych.

Implikacje dla 2026 roku i przyszłego środowiska zagrożeń

Dane z 2025 roku przedstawiają wysoce adaptacyjny ekosystem KRLD, w którym mniejsza liczba operacji może nadal dostarczać rekordowych wyników. Incydent Bybit, w połączeniu z innymi kompromisami na dużą skalę, pokazuje, jak jedna udana kampania może utrzymać potrzeby finansowania przez dłuższy czas, podczas gdy grupy skupiają się na praniu i bezpieczeństwie operacyjnym.

Ponadto unikalny profil kradzieży kryptowalut KRLD w stosunku do innej nielegalnej działalności oferuje cenne możliwości wykrywania. Ich preferencja dla określonych rozmiarów przelewów, duże poleganie na niektórych sieciach chińskojęzycznych i charakterystyczny 45-dniowy cykl prania mogą pomóc giełdom, firmom analitycznym i regulatorom oznaczyć podejrzane zachowania wcześniej.

Ponieważ hakerzy kryptowalut z Korei Północnej nadal wykorzystują aktywa cyfrowe do finansowania priorytetów państwowych i obchodzenia sankcji, branża musi zaakceptować, że ten przeciwnik działa pod innymi zachętami niż zwykli przestępcy motywowani finansowo. Rekordowy wynik reżimu w 2025 roku, osiągnięty przy szacowanym 74% mniejszej liczbie znanych ataków, sugeruje, że wiele operacji może nadal pozostawać niewykrytych.

Patrząc w przyszłość na 2026 rok, głównym wyzwaniem będzie identyfikacja i zakłócenie tych operacji o dużym wpływie, zanim dojdzie do kolejnego naruszenia na skalę Bybit. Wzmocnienie kontroli w scentralizowanych miejscach, utwardzanie portfeli osobistych i pogłębianie współpracy z organami ścigania będą kluczowe dla powstrzymania zarówno kampanii państw narodowych, jak i szerszej fali przestępczości kryptowalutowej.

Podsumowując, 2025 rok potwierdził, że chociaż obrony ulegają poprawie w obszarach takich jak DeFi, wyrafinowani aktorzy, tacy jak KRLD i kradnący portfele na dużą skalę, nadal wykorzystują strukturalne słabości, czyniąc skoordynowane globalne reakcje pilniejszymi niż kiedykolwiek.