Согласно оценке блокчейн-аналитиков Elliptic, за девять месяцев 2025 года северокорейские кибергруппировки похитили криптоактивы на сумму свыше $2 млрд — это новый исторический максимум. Совокупный подтвержденный ущерб, приписываемый операторам из КНДР за все годы, превысил $6 млрд. В ряде докладов ООН и американских ведомств отмечается, что эти средства могут направляться на финансирование программ вооружений Северной Кореи.
Масштаб и динамика атак на крипторынок
По данным Elliptic, зафиксированная сумма почти втрое выше показателя 2024 года и значительно превосходит предыдущий рекорд в $1,35 млрд, установленный в 2022 году на фоне атак на Ronin Network и кроссчейн-мост Harmony. Эксперты подчеркивают, что текущая оценка консервативна: часть инцидентов остается незамеченной или недостаточно подтвержденной для окончательной атрибуции.
Ключевые инциденты 2025 года
Взлом Bybit: пример концентрации рисков
Крупнейший эпизод года — компрометация биржи Bybit в феврале 2025 года, когда злоумышленники вывели около $1,46 млрд. Хотя детали техники атаки публично ограничены, инцидент иллюстрирует системный риск концентрации активов на централизованных площадках и критичность контроля приватных ключей, сегрегации полномочий и процедур вывода средств.
Серия атак на инфраструктуру и пользователей
Аналитики также связывают с северокорейскими группами порядка 30 инцидентов хищений в 2025 году. Среди заметных: атаки на LND.fi, WOO X, Seedify и тайваньскую биржу BitoPro, у которой группа Lazarus похитила около $11 млн. Картина указывает на расширение спектра целей — от смарт-контрактов и мостов к централизованным сервисам и частным держателям крупных сумм.
Тренды: от эксплойтов в DeFi к социальной инженерии
Исследователи отмечают смещение акцента: вместо массовых технических эксплойтов в DeFi-инфраструктуре злоумышленники все чаще атакуют частных лиц с крупными балансами и сотрудников криптокомпаний. В ход идут таргетированные кампании социальной инженерии: фишинг, «вакансии-приманки», вредоносные вложения в портфолио-проекты и компрометация рабочих станций. Такой подход снижает зависимость от редких уязвимостей в коде и использует человеческий фактор как основной вектор проникновения.
Эволюция отмывания: мульти-миксеры, кроссчейн и малозаметные сети
Ландшафт отмывания средств усложняется. Elliptic фиксирует многоступенчатые сценарии: последовательные операции через несколько миксеров, активное кроссчейн-перемещение, задействование менее популярных блокчейнов, покупки utility-токенов для маскировки потоков, эксплуатацию «адресов возврата» и выпуск кастомных токенов внутри сетей по отмыванию средств. После санкций против Blender, Tornado Cash и Sinbad злоумышленники фрагментируют денежные потоки и усложняют трассировку, комбинируя легитимные сервисы и нишевые площадки для «расслоения» движения активов.
Что это означает для индустрии: практические меры снижения рисков
Для бирж и кастодианов приоритетны: раздельное хранение ключей и полномочий, MPC-кошельки, многофакторные процессы одобрения выводов, списки разрешенных адресов, мониторинг аномалий вывода по поведенческим сигналам, интеграция ончейн-аналитики и санкционного скрининга, а также регулярные ред-тим и учения по реагированию на инциденты. Для DeFi-проектов критичны аудиты смарт-контрактов, лимиты на мосты и механизмы аварийной остановки с четкими процедурами возобновления.
Частным инвесторам стоит минимизировать «человеческие» векторы: аппаратные кошельки и холодное хранение, проверка доменов и контрактов перед подписанием, отказ от установки непроверенного ПО, разделение операционных и «холодных» устройств, а также внимание к нетипичным «возвратам средств» и «аирдропам», которые могут служить триггером для дренеров.
Рекорд 2025 года отражает зрелость и ресурсообеспеченность северокорейских группировок и одновременно — уязвимости инфраструктуры. Усиление контроля за ключами, повышение киберграмотности персонала и инвесторов, проактивный мониторинг ончейн-паттернов и координация с правоохранительными органами остаются наиболее эффективными шагами. Индустрии важно системно обновлять модели угроз и обмениваться индикаторами компрометации, чтобы опережать эволюцию тактик злоумышленников.
