Северная Корея расширяет криптовалютные кражи КНДР, поскольку в 2025 году украден рекордный 2,02 миллиарда $

Растущее внедрение блокчейна и более высокие цены на цифровые активы совпали с резкой эскалацией криптовалютных краж КНДР, изменяя глобальные риски в централизованных сервисах, DeFi и личных кошельках.

Более 3,4 миллиарда $ украдено в 2025 году по мере изменения криптовалютных краж

Согласно новому отчету Chainalysis, криптосектор увидел более 3,4 миллиарда $ украденными между январём и началом декабря 2025 года, причём взлом Bybit только в феврале был ответственен за 1,5 миллиарда $. Однако за этой главной цифрой структура криптопреступности заметно изменилась всего за три года.

Более того, компрометация личных кошельков резко выросла как доля общих краж. Они выросли с 7,3% украденной стоимости в 2022 году до 44% в 2024 году. В 2025 году они бы составили 37% общих потерь, если бы компрометация Bybit не исказила данные так сильно.

Централизованные сервисы, несмотря на глубокие ресурсы и профессиональные команды безопасности, продолжают нести всё большие потери, вызванные компрометацией приватных ключей. Хотя такие инциденты происходят нечасто, они остаются разрушительными. В первом квартале 2025 года они составили 88% всех потерь, подчёркивая системный риск, создаваемый единственными точками отказа.

При этом сохранение высоких объёмов краж показывает, что, несмотря на улучшенные практики в некоторых сегментах, атакующие всё ещё могут эксплуатировать слабости через множественные векторы и платформы.

Выдающиеся мега-взломы доминируют в криптовалютных кражах

Криптовалютные кражи всегда смещались в сторону горстки крупных взломов, но 2025 год установил новый экстремум. Впервые соотношение между крупнейшим взломом и медианным инцидентом превысило 1 000x, основываясь на долларовой стоимости средств на момент кражи.

В результате три крупнейших взлома в 2025 году составили 69% всех потерь сервисов. Хотя количество инцидентов и медианные потери имеют тенденцию двигаться с ценами активов, масштаб отдельных выбросов растёт ещё быстрее. Этот риск концентрации означает, что один единственный взлом теперь может изменить годовую статистику потерь для всей индустрии.

Северная Корея лидирует в глобальном ландшафте криптовалютных краж

Корейская Народно-Демократическая Республика (КНДР) остаётся наиболее значимым государственным актором в преступлениях с цифровыми активами. В 2025 году северокорейские хакеры украли по меньшей мере 2,02 миллиарда $ криптовалюты, что на 681 миллион $ больше, чем в 2024 году, и на 51% рост стоимости год к году.

Эти операции сделали 2025 год худшим годом в истории по краже, связанной с КНДР, по стоимости. Более того, атаки КНДР составили рекордные 76% всех компрометаций сервисов, доведя нижнюю границу совокупного общего объёма, украденного связанными с Пхеньяном акторами, до 6,75 миллиарда $. Примечательно, что этот рекордный улов был достигнут, несмотря на оценочное резкое снижение подтверждённых инцидентов.

Северокорейские операторы всё чаще эксплуатируют один из своих основных векторов: внедрение IT-работников внутрь бирж, кастодианов и web3-компаний.

Оказавшись внутри, эти работники могут культивировать привилегированный доступ, облегчать латеральное перемещение и в конечном итоге организовывать крупномасштабные кражи. Атака на Bybit в феврале 2025 года, вероятно, усилила влияние этой модели инфильтрации.

Однако группы, связанные с КНДР, также адаптировали свою тактику социальной инженерии. Вместо простого подачи заявок на работу, они теперь часто выдают себя за рекрутеров для известных web3 и AI-компаний, организуя сложные поддельные процессы найма. Они часто заканчиваются «техническими проверками», которые обманывают цели, заставляя их передать учётные данные, исходный код или VPN и SSO-доступ к их текущим работодателям.

На уровне руководителей аналогичные кампании социальной инженерии включают поддельное обращение от предполагаемых стратегических инвесторов или приобретателей.

Презентационные встречи и псевдо-процессы дью-дилидженс используются для зондирования чувствительных системных деталей и картирования путей доступа в высокоценную инфраструктуру. Эта эволюция напрямую строится на более ранних схемах мошенничества с IT-работниками и подчёркивает более жёсткий фокус на стратегически важных AI и блокчейн-бизнесах.

В течение 2022–2025 годов взломы, приписываемые КНДР, постоянно занимают высшие ценностные диапазоны, в то время как негосударственные акторы показывают более нормальное распределение по размерам инцидентов. Этот паттерн указывает, что когда Северная Корея атакует, она предпочитает крупные централизованные сервисы и нацелена на максимальное финансовое и политическое воздействие.

Одна поразительная особенность 2025 года заключается в том, что этот рекордный итог был достигнут с гораздо меньшим количеством известных операций.

Огромный взлом Bybit, похоже, позволил группам, связанным с КНДР, выполнить небольшое количество чрезвычайно прибыльных атак вместо большего объёма взломов среднего размера.

Отличительные паттерны отмывания криптовалюты КНДР

Беспрецедентный приток украденных активов в начале 2025 года предоставил необычайно чёткую видимость того, как связанные с Пхеньяном акторы перемещают средства в масштабе. Их паттерны отмывания криптовалюты значительно отличаются от таковых других преступных групп и продолжают развиваться со временем.

Оттоки КНДР показывают отличительную структуру сегментирования. Чуть более 60% объёма перемещается в переводах ниже 500 000 $, тогда как другие акторы украденных средств отправляют более 60% своих потоков в цепи в траншах между 1 миллион $ и 10 миллионов $+.

Несмотря на обычно кражу больших итоговых сумм, группы КНДР разбивают платежи на меньшие сегменты, предполагая преднамеренную попытку уклониться от обнаружения через более сложное структурирование.

Кроме того, акторы КНДР постоянно предпочитают определённые точки отмывания.

Они в значительной степени полагаются на китайскоязычные сервисы движения денег и гарантий, часто работающие через слабо связанные сети профессиональных отмывателей, чьи стандарты соответствия могут быть слабыми. Они также широко используют кросс-чейн мосты и сервисы смешивания, наряду со специализированными провайдерами, такими как Huione, для увеличения обфускации и юрисдикционной сложности.

Напротив, многие другие преступные группы предпочитают протоколы кредитования, биржи без KYC, P2P-платформы и децентрализованные биржи для ликвидности и псевдонимности. Субъекты КНДР показывают ограниченную интеграцию с этими областями DeFi, подчёркивая, что их ограничения и цели отличаются от таковых типичных финансово мотивированных киберпреступников.

Эти предпочтения указывают, что сети КНДР тесно связаны с незаконными операторами в регионе Азиатско-Тихоокеанского региона, особенно в каналах, базирующихся в Китае, которые обеспечивают косвенный доступ к глобальной финансовой системе. Это соответствует более широкой истории Пхеньяна по использованию китайских посредников для обхода санкций и перемещения ценностей за границу.

45-дневный цикл отмывания после криптовалютной кражи КНДР

Анализ в цепи краж, связанных с КНДР, между 2022 и 2025 годами выявляет относительно стабильный многоволновой цикл отмывания продолжительностью около 45 дней. Хотя не все операции следуют этому графику, он повторяется, когда украденные средства активно перемещаются.

Волна 1, охватывающая дни с 0 по 5, фокусируется на немедленном наслоении. Протоколы DeFi видят интенсивные всплески потоков украденных средств в качестве начальных точек входа, в то время как сервисы смешивания фиксируют большие скачки объёма для создания первого слоя обфускации. Этот поток движения предназначен для удаления средств от легко идентифицируемых исходных адресов.

Волна 2, охватывающая дни с 6 по 10, отмечает начало интеграции в более широкую экосистему. Биржи с ограниченным KYC-контролем, некоторые централизованные платформы и вторичные миксеры начинают получать потоки, часто облегчаемые кросс-чейн мостами, которые фрагментируют и усложняют следы транзакций. Эта фаза критична, поскольку средства переходят к потенциальным точкам выхода.

Волна 3, работающая с дней 20 по 45, характеризуется длинным хвостом интеграции. Биржи без KYC, сервисы мгновенного обмена и китайскоязычные сервисы отмывания становятся основными конечными точками. Централизованные биржи также всё чаще получают депозиты, отражая усилия по смешиванию незаконных доходов с законными торговыми потоками, часто через операторов в менее регулируемых юрисдикциях.

Это широкое 45-дневное окно предоставляет ценную информацию для правоохранительных органов и команд соответствия, стремящихся нарушить потоки в реальном времени. Однако аналитики отмечают важные слепые зоны: переводы приватных ключей, некоторые ОТС крипто-на-фиат сделки или полностью внецепочные договорённости могут оставаться невидимыми, если не сопряжены с дополнительной разведкой.

Компрометация личных кошельков резко растёт в объёме

Наряду с громкими взломами сервисов атаки на отдельных лиц резко усилились. Оценки нижней границы показывают, что компрометация личных кошельков составила около 20% общей украденной стоимости в 2025 году, по сравнению с 44% в 2024 году, но всё ещё отражая крупномасштабный ущерб.

Количество инцидентов почти утроилось с 54 000 в 2022 году до 158 000 в 2025 году. За тот же период количество уникальных жертв удвоилось примерно с 40 000 до по меньшей мере 80 000. Эти увеличения, вероятно, отражают более широкое принятие пользователями активов с самостоятельным хранением. Например, Solana, одна из сетей с наиболее активными личными кошельками, зафиксировала около 26 500 затронутых пользователей, гораздо больше, чем другие сети.

Однако общая долларовая стоимость, потерянная отдельными лицами, упала с 1,5 миллиарда $ в 2024 году до 713 миллионов $ в 2025 году. Это предполагает, что атакующие распределяют усилия по гораздо большему количеству жертв, извлекая меньшие суммы на аккаунт, потенциально для снижения риска обнаружения и эксплуатации менее искушённых пользователей.

Метрики преступности на уровне сетей освещают, какие сети в настоящее время представляют наибольший пользовательский риск. В 2025 году, при измерении краж на 100 000 кошельков, Ethereum и Tron показывают самые высокие показатели преступности. Огромный масштаб Ethereum сочетает высокое количество инцидентов с повышенным риском на кошелёк, тогда как Tron демонстрирует относительно высокий показатель кражи, несмотря на меньшую активную базу. Напротив, Base и Solana показывают более низкие показатели, даже несмотря на то, что их пользовательские сообщества значительны.

Эти различия указывают, что компрометация личных кошельков не распределена равномерно по экосистеме. Факторы, такие как демография пользователей, доминирующие типы приложений, местная криминальная инфраструктура и уровни образования, вероятно, влияют на то, где мошенники и операторы вредоносного ПО фокусируют свои усилия.

Взломы DeFi расходятся с тенденциями общей заблокированной стоимости

Сектор децентрализованных финансов демонстрирует заметное расхождение между ростом рынка и результатами безопасности. Данные с 2020 по 2025 год подтверждают три чётких фазы в отношениях между общей заблокированной стоимостью DeFi (TVL) и потерями, связанными со взломом.

В Фазе 1, с 2020 по 2021 год, TVL и потери росли одновременно, поскольку ранний бум DeFi привлёк как капитал, так и искушённых атакующих. Фаза 2, охватывающая 2022–2023 годы, показала отступление как TVL, так и потерь по мере охлаждения рынков. Однако Фаза 3, охватывающая 2024 и 2025 годы, отмечает структурный разрыв: TVL восстановился с минимумов 2023 года, но объёмы взломов остаются сравнительно приглушёнными.

Это расхождение подразумевает, что улучшения безопасности DeFi начинают оказывать измеримый эффект. Более того, одновременный рост атак на личные кошельки и взломов централизованных бирж намекает на замещение целей, при этом угрожающие акторы перенаправляют ресурсы в области, воспринимаемые как более лёгкие для компрометации.

Кейс-стади: Venus Protocol подчёркивает оборонительный прогресс

Инцидент с Venus Protocol в сентябре 2025 года подчёркивает, как многослойная защита может значительно изменить результаты. Атакующие использовали скомпрометированный клиент Zoom для получения точки опоры и манипулировали пользователем для предоставления делегированного контроля над аккаунтом, содержащим 13 миллионов $ активов.

В более ранних условиях DeFi такой доступ мог бы привести к необратимым потерям. Однако Venus интегрировал платформу мониторинга безопасности всего за месяц до этого. Эта платформа отметила подозрительную активность примерно за 18 часов до атаки и выдала ещё одно предупреждение, когда вредоносная транзакция была отправлена.

В течение 20 минут Venus приостановил свой протокол, остановив движение средств. Частичная функциональность вернулась примерно через 5 часов, и в течение 7 часов протокол принудительно ликвидировал кошелёк атакующего. К 12-часовой отметке все украденные средства были восстановлены, и нормальные операции возобновлены.

На следующем шаге управление Venus одобрило предложение заморозить примерно 3 миллиона $ активов, всё ещё находящихся под контролем атакующего. Противник в конечном итоге не смог получить прибыль и вместо этого понёс чистые потери, демонстрируя растущую мощь управления в цепи, мониторинга и фреймворков реагирования на инциденты.

При этом этот случай не должен порождать самодовольство. Он демонстрирует, что возможно, когда протоколы инвестируют рано в мониторинг и отрепетированные playbook-и, но многим платформам DeFi всё ещё не хватает сопоставимых возможностей или чётких планов на случай непредвиденных обстоятельств.

Последствия для 2026 года и будущей угрозной среды

Данные 2025 года изображают высокоадаптивную экосистему КНДР, в которой меньшее количество операций всё ещё может приносить рекордные результаты. Инцидент с Bybit в сочетании с другими крупномасштабными взломами показывает, как одна успешная кампания может поддерживать потребности в финансировании в течение длительных периодов, пока группы фокусируются на отмывании и операционной безопасности.

Более того, уникальный профиль криптовалютных краж КНДР относительно другой незаконной деятельности предлагает ценные возможности обнаружения. Их предпочтение определённых размеров переводов, сильная зависимость от определённых китайскоязычных сетей и характерный 45-дневный цикл отмывания могут помочь биржам, аналитическим фирмам и регуляторам отмечать подозрительное поведение раньше.

Поскольку хакеры криптовалют Северной Кореи продолжают использовать цифровые активы для финансирования государственных приоритетов и обхода санкций, индустрия должна признать, что этот противник действует под другими стимулами, чем обычные финансово мотивированные преступники. Рекордное выступление режима в 2025 году, достигнутое с оценочными 74% меньшим количеством известных атак, предполагает, что многие операции могут всё ещё оставаться необнаруженными.

Глядя на 2026 год, центральной задачей будет выявление и нарушение этих операций с высоким воздействием до того, как произойдёт ещё один взлом масштаба Bybit. Усиление контроля в централизованных площадках, укрепление личных кошельков и углубление сотрудничества с правоохранительными органами будет критически важным для сдерживания как кампаний национальных государств, так и более широкой волны криптопреступности.

В резюме, 2025 год подтвердил, что, хотя защита улучшается в таких областях, как DeFi, искушённые акторы, такие как КНДР и крупномасштабные воры кошельков, продолжают эксплуатировать структурные слабости, делая координированные глобальные ответы более срочными, чем когда-либо.