Coreea de Nord extinde operațiunile RPDC de furt cripto pe măsură ce un record de 2,02 miliarde de dolari este furat în 2025

Adoptarea crescândă a blockchain-ului și prețurile mai ridicate ale activelor digitale au coincis cu o escaladare bruscă a furtului de criptomonede din RPDC, remodelând riscul global în serviciile centralizate, DeFi și portofelele personale.

Peste 3,4 miliarde de dolari furați în 2025, pe măsură ce furtul de criptomonede se schimbă

Conform unui nou raport al Chainalysis, sectorul cripto a înregistrat peste 3,4 miliarde de dolari furați între ianuarie și începutul lunii decembrie 2025, doar breșa de la Bybit din februarie fiind responsabilă pentru 1,5 miliarde de dolari. Cu toate acestea, dincolo de această cifră principală, structura criminalității cripto s-a schimbat semnificativ în doar trei ani.

Mai mult, compromiterea portofelelor personale a crescut ca pondere în totalul furturilor. Acestea au crescut de la 7,3% din valoarea furată în 2022 la 44% în 2024. În 2025, acestea ar fi reprezentat 37% din pierderile totale dacă compromiterea Bybit nu ar fi distorsionat atât de mult datele.

Serviciile centralizate, în ciuda resurselor profunde și echipelor profesionale de securitate, continuă să sufere pierderi din ce în ce mai mari cauzate de compromiterea cheilor private. Deși astfel de incidente apar rar, acestea rămân devastatoare. În primul trimestru din 2025, ele au reprezentat 88% din toate pierderile, subliniind riscul sistemic creat de punctele unice de eșec.

Cu toate acestea, persistența volumelor mari de furturi arată că, în ciuda practicilor mai bune în unele segmente, atacatorii pot încă exploata slăbiciuni pe mai mulți vectori și platforme.

Mega-hackuri extreme domină furtul de criptomonede

Furtul de criptomonede a fost întotdeauna orientat spre câteva breșe de dimensiuni mai mari, dar 2025 a stabilit un nou record. Pentru prima dată, raportul dintre cel mai mare hack și incidentul median a depășit 1 000x, pe baza valorii în dolari SUA a fondurilor la momentul furtului.

Drept urmare, primele trei hackuri din 2025 au reprezentat 69% din toate pierderile de servicii. În timp ce numărul de incidente și pierderile mediane tind să se miște odată cu prețurile activelor, amploarea valorilor extreme individuale crește și mai rapid. Acest risc de concentrare înseamnă că un singur compromis poate remodela acum statisticile anuale de pierderi pentru întreaga industrie.

Coreea de Nord conduce peisajul global al furtului de criptomonede

Republica Populară Democrată Coreană (RPDC) rămâne cel mai important actor de stat-națiune în criminalitatea cu active digitale. În 2025, hackerii nord-coreeni au furat cel puțin 2,02 miliarde de dolari în criptomonede, o creștere de 681 milioane de dolari față de 2024 și o creștere anuală de 51% în valoarea luată.

Aceste operațiuni au făcut din 2025 cel mai rău an înregistrat pentru furturile legate de RPDC în ceea ce privește valoarea. Mai mult, atacurile RPDC au reprezentat un record de 76% din toate compromiterile de servicii, ridicând totalul cumulat minim furat de actori legați de Phenian la 6,75 miliarde de dolari. De remarcat, această pradă record a venit în ciuda unei reduceri acute evaluate a incidentelor confirmate.

Operatorii nord-coreeni exploatează din ce în ce mai mult unul dintre vectorii lor de bază: integrarea lucrătorilor IT în schimburi, custodiți și companii web3.

Odată în interior, acești lucrători pot cultiva acces privilegiat, facilita mișcarea laterală și, în cele din urmă, orchestra furturi la scară largă. Atacul Bybit din februarie 2025 a probabil amplificat impactul acestui model de infiltrare.

Cu toate acestea, grupurile legate de RPDC și-au adaptat și tacticile de inginerie socială. În loc să aplice pur și simplu pentru locuri de muncă, aceștia se dau acum frecvent drept recrutori pentru firme proeminente web3 și AI, organizând procese elaborate de angajare false. Acestea se termină adesea cu „teste tehnice" care păcălesc țintele să predea acreditări, cod sursă sau acces VPN și SSO la angajatorii lor actuali.

La nivel executiv, campanii similare de inginerie socială prezintă contactări false din partea presupușilor investitori strategici sau cumpărători.

Întâlnirile de prezentare și procesele de diligență pseudo-due sunt utilizate pentru a sonda detalii sensibile ale sistemului și pentru a cartografia căile de acces în infrastructura de mare valoare. Această evoluție se bazează direct pe schemele anterioare de fraudă ale lucrătorilor IT și evidențiază o concentrare mai strânsă pe afacerile strategic importante din domeniul AI și blockchain.

Pe parcursul perioadei 2022–2025, hackurile atribuite RPDC ocupă în mod constant benzile de valoare cele mai ridicate, în timp ce actorii care nu sunt state-națiune prezintă distribuții mai normale pe dimensiunile incidentelor. Acest model indică faptul că atunci când Coreea de Nord lovește, preferă servicii centralizate mari și urmărește impact financiar și politic maxim.

O caracteristică izbitoare a anului 2025 este că acest total record a fost realizat cu mult mai puține operațiuni cunoscute.

Breșa enormă Bybit pare să fi permis grupurilor legate de RPDC să execute un număr mic de atacuri extrem de profitabile în loc de un volum mai mare de compromisuri de dimensiuni medii.

Modele distinctive de spălare a criptomonedelor din RPDC

Afluxul fără precedent de active furate la începutul anului 2025 a oferit o vizibilitate neobișnuit de clară asupra modului în care actorii legați de Phenian mută fonduri la scară largă. Modelele lor de spălare a criptomonedelor sunt semnificativ diferite de cele ale altor grupuri criminale și continuă să evolueze în timp.

Fluxurile de ieșire din RPDC prezintă o structură distinctivă de segmentare. Puțin peste 60% din volum călătorește în transferuri sub 500 000 de dolari, în timp ce alți actori de fonduri furate trimit peste 60% din fluxurile lor on-chain în tranșe între 1 milion de dolari și 10 milioane de dolari+.

În ciuda faptului că fură de obicei totaluri mai mari, grupurile RPDC împart plățile în segmente mai mici, sugerând o încercare deliberată de a evita detectarea prin structurare mai sofisticată.

În plus, actorii RPDC favorizează în mod constant puncte de contact specifice de spălare.

Aceștia se bazează în mare măsură pe servicii de mișcare a banilor și garanție în limba chineză, adesea operând prin rețele slab conectate de spălători profesioniști ale căror standarde de conformitate pot fi slabe. De asemenea, fac uz extensiv de servicii de punte și mixare cross-chain, împreună cu furnizori specializați precum Huione, pentru a crește obfuscarea și complexitatea jurisdicțională.

În schimb, multe alte grupuri criminale preferă protocoale de împrumut, schimburi fără KYC, platforme P2P și schimburi descentralizate pentru lichiditate și pseudonimitate. Entitățile RPDC arată integrare limitată cu aceste zone ale DeFi, subliniind că constrângerile și obiectivele lor diferă de cele ale infractorilor cibernetici tipic motivați financiar.

Aceste preferințe indică faptul că rețelele RPDC sunt strâns legate de operatori iliciți din regiunea Asia-Pacific, în special în canalele bazate în China care oferă acces indirect la sistemul financiar global. Acest lucru corespunde istoriei mai largi a Phenianului de utilizare a intermediarilor chinezi pentru a ocoli sancțiunile și a muta valoarea offshore.

Ciclul de spălare de 45 de zile după furtul cripto din RPDC

Analiza on-chain a furturilor legate de RPDC între 2022 și 2025 relevă un ciclu de spălare relativ stabil, cu mai multe valuri, care durează aproximativ 45 de zile. Deși nu toate operațiunile urmează acest calendar, acesta apare în mod repetat atunci când fondurile furate sunt mutate activ.

Valul 1, care se întinde pe zilele 0 până la 5, se concentrează pe stratificare imediată. Protocoalele DeFi văd creșteri intense ale fluxurilor de fonduri furate ca puncte de intrare inițiale, în timp ce serviciile de mixare înregistrează creșteri mari de volum pentru a crea primul strat de obfuscare. Această avalanșă de mișcare este concepută pentru a împinge fondurile departe de adresele sursă ușor de identificat.

Valul 2, care acoperă zilele 6 până la 10, marchează începutul integrării în ecosistemul mai larg. Schimburile cu controale KYC limitate, unele platforme centralizate și mixerele secundare încep să primească fluxuri, adesea facilitate de punțile cross-chain care fragmentează și complică urmele de tranzacții. Această fază este critică, deoarece fondurile trec către potențiale puncte de ieșire.

Valul 3, care se desfășoară de la zilele 20 până la 45, prezintă coada lungă a integrării. Schimburile fără KYC, serviciile de schimb instantaneu și serviciile de spălare în limba chineză apar ca puncte finale majore. Schimburile centralizate primesc, de asemenea, din ce în ce mai multe depozite, reflectând eforturile de a amesteca produsele ilicite cu fluxurile comerciale legitime, adesea prin operatori din jurisdicții mai puțin reglementate.

Această fereastră largă de 45 de zile oferă informații valoroase pentru forțele de ordine și echipele de conformitate care caută să perturbe fluxurile în timp real. Cu toate acestea, analiștii observă puncte oarbe importante: transferurile de chei private, anumite tranzacții OTC cripto-pentru-fiat sau aranjamentele complet off-chain pot rămâne invizibile decât dacă sunt asociate cu informații suplimentare.

Compromiterile portofelelor personale cresc în volum

Alături de breșele de servicii de profil înalt, atacurile asupra indivizilor au escaladat brusc. Estimările minime arată că compromiterile portofelelor personale au reprezentat aproximativ 20% din valoarea totală furată în 2025, în scădere de la 44% în 2024, dar reflectând încă daune la scară largă.

Numărul de incidente aproape s-a triplat de la 54 000 în 2022 la 158 000 în 2025. În aceeași perioadă, numărul de victime unice s-a dublat de la aproximativ 40 000 la cel puțin 80 000. Aceste creșteri reflectă probabil adoptarea mai largă de către utilizatori a activelor auto-custodiate. De exemplu, Solana, unul dintre lanțurile cu cele mai active portofele personale, a înregistrat aproximativ 26 500 de utilizatori afectați, mult mai mult decât alte rețele.

Cu toate acestea, valoarea totală în dolari pierdută de indivizi a scăzut de la 1,5 miliarde de dolari în 2024 la 713 milioane de dolari în 2025. Acest lucru sugerează că atacatorii își răspândesc eforturile pe mult mai multe victime, extragând în același timp sume mai mici pe cont, potențial pentru a reduce riscul de detectare și a exploata utilizatori mai puțin sofisticați.

Metricile de criminalitate la nivel de rețea luminează care lanțuri prezintă în prezent cel mai mare risc pentru utilizatori. În 2025, la măsurarea furtului la 100 000 de portofele, Ethereum și Tron arată cele mai ridicate rate de criminalitate. Scala vastă a Ethereum combină numărul ridicat de incidente cu riscul ridicat per portofel, în timp ce Tron prezintă o rată relativ ridicată de furt în ciuda unei baze active mai mici. Prin contrast, Base și Solana arată rate mai scăzute chiar dacă comunitățile lor de utilizatori sunt considerabile.

Aceste diferențe indică faptul că compromiterile portofelelor personale nu sunt distribuite uniform în ecosistem. Factori precum demografia utilizatorilor, tipurile de aplicații dominante, infrastructura criminală locală și nivelurile de educație influențează probabil unde escrocii și operatorii de malware își concentrează eforturile.

Hackurile DeFi diverge de la tendințele valorii totale blocate

Sectorul finanțelor descentralizate prezintă o divergență notabilă între creșterea pieței și rezultatele de securitate. Datele din 2020 până în 2025 confirmă trei faze clare în relația dintre valoarea totală blocată (TVL) DeFi și pierderile legate de hackuri.

În Faza 1, din 2020 până în 2021, TVL și pierderile au crescut în tandem pe măsură ce boom-ul timpuriu DeFi a atras atât capital, cât și atacatori sofisticați. Faza 2, care acoperă 2022 până în 2023, a văzut atât TVL, cât și pierderile retragându-se pe măsură ce piețele s-au răcit. Cu toate acestea, Faza 3, care se întinde în 2024 și 2025, marchează o rupere structurală: TVL s-a recuperat de la minimele din 2023, dar volumele de hackuri rămân comparativ reduse.

Această divergență implică faptul că îmbunătățirile de securitate DeFi încep să aibă un efect măsurabil. Mai mult, creșterea simultană a atacurilor asupra portofelelor personale și hackurilor de schimb centralizat sugerează substituirea țintelor, atacatorii mutând resurse către zone percepute ca mai ușor de compromis.

Studiu de caz: Protocolul Venus evidențiază progresul defensiv

Incidentul Protocolului Venus din septembrie 2025 subliniază modul în care apărările stratificate pot schimba semnificativ rezultatele. Atacatorii au folosit un client Zoom compromis pentru a obține un punct de sprijin și au manipulat un utilizator să acorde control delegat asupra unui cont care deținea 13 milioane de dolari în active.

În condițiile anterioare DeFi, un astfel de acces ar fi putut duce la pierderi ireversibile. Cu toate acestea, Venus integrează o platformă de monitorizare a securității cu doar o lună înainte. Acea platformă a semnalat activitatea suspectă cu aproximativ 18 ore înainte de atac și a emis o altă alertă când tranzacția malițioasă a fost trimisă.

În 20 de minute, Venus și-a întrerupt protocolul, oprind mișcările de fonduri. Funcționalitatea parțială a revenit după aproximativ 5 ore, iar în 7 ore protocolul a lichidat forțat portofelul atacatorului. La marcajul de 12 ore, toate fondurile furate au fost recuperate și operațiunile normale au fost reluate.

Într-un pas suplimentar, guvernanța Venus a aprobat o propunere de îngheț a aproximativ 3 milioane de dolari în active încă sub controlul atacatorului. Adversarul nu a reușit în cele din urmă să profite și, în schimb, a suferit pierderi nete, prezentând puterea crescândă a guvernanței on-chain, monitorizării și cadrelor de răspuns la incidente.

Cu toate acestea, acest caz nu ar trebui să genereze autocompăcere. Acesta demonstrează ce este posibil atunci când protocoalele investesc devreme în monitorizare și scenarii repetate, dar multe platforme DeFi încă nu au capacități comparabile sau planuri de urgență clare.

Implicații pentru 2026 și mediul viitor de amenințări

Datele din 2025 reprezintă un ecosistem RPDC extrem de adaptabil, în care mai puține operațiuni pot totuși oferi rezultate record. Incidentul Bybit, combinat cu alte compromisuri la scară largă, arată cum o campanie de succes poate susține nevoile de finanțare pentru perioade extinse în timp ce grupurile se concentrează pe spălare și securitate operațională.

Mai mult, profilul unic al furtului cripto din RPDC în raport cu alte activități ilicite oferă oportunități valoroase de detectare. Preferința lor pentru dimensiuni specifice de transfer, dependența mare de anumite rețele în limba chineză și ciclul caracteristic de spălare de 45 de zile pot ajuta schimburile, firmele de analiză și autoritățile de reglementare să semnaleze comportamentul suspect mai devreme.

Pe măsură ce hackerii cripto din Coreea de Nord continuă să utilizeze active digitale pentru a finanța prioritățile de stat și a ocoli sancțiunile, industria trebuie să accepte că acest adversar operează sub stimulente diferite de infractorii motivați financiar obișnuiți. Performanța record a regimului din 2025, obținută cu un număr estimat cu 74% mai mic de atacuri cunoscute, sugerează că multe operațiuni pot încă să rămână nedetectate.

Privind spre 2026, provocarea centrală va fi identificarea și perturbarea acestor operațiuni cu impact mare înainte ca o altă breșă la scară Bybit să apară. Consolidarea controalelor la locurile centralizate, întărirea portofelelor personale și aprofundarea cooperării cu forțele de ordine vor fi esențiale pentru a conține atât campaniile state-națiune, cât și valul mai larg de criminalitate cripto.

În rezumat, 2025 a confirmat că, deși apărările se îmbunătățesc în zone precum DeFi, actori sofisticați precum RPDC și hoții de portofele la scară largă continuă să exploateze slăbiciuni structurale, făcând răspunsurile globale coordonate mai urgente ca niciodată.