За оцінкою блокчейн-аналітиків Elliptic, за перші дев’ять місяців 2025 року угруповання, пов’язані з КНДР, викрали криптоактивів більш ніж на $2 млрд — це історичний максимум. Сукупний підтверджений збиток, атрибутований північнокорейським операторам за весь період спостережень, перевищив $6 млрд. У звітах ООН та американських відомств зазначається, що ці кошти можуть спрямовуватися на фінансування програм озброєнь Північної Кореї.
Масштаб атак і динаміка загроз на крипторинку
Поточний показник майже утричі перевищує рівень 2024 року і значно обганяє попередній рекорд у $1,35 млрд, встановлений у 2022 році (зокрема після атак на Ronin Network та міст Harmony). Elliptic підкреслює, що оцінка є консервативною: частина інцидентів залишається поза радаром або не має достатньої доказової бази для остаточної атрибуції.
Ключові інциденти 2025 року
Bybit: системні ризики централізації та контролю ключів
Найбільший епізод року — компрометація біржі Bybit у лютому 2025-го, коли зловмисники вивели близько $1,46 млрд. Попри обмежений обсяг публічних технічних деталей, інцидент демонструє високу концентрацію ризику на централізованих платформах і критичність сегрегації повноважень, надійного зберігання приватних ключів та багаторівневих процедур виводу коштів.
Понад 30 атак: від бірж до користувачів
За даними Elliptic, з північнокорейськими групами пов’язують щонайменше три десятки інцидентів у 2025 році. Серед них — атаки на LND.fi, WOO X, Seedify і тайванську біржу BitoPro, з якої група Lazarus викрала близько $11 млн. Ці кейси відображають розширення спектра цілей: від смартконтрактів і мостів до централізованих сервісів та приватних власників великих балансів.
Трансформація тактик: від DeFi-експлойтів до соціальної інженерії
Тенденція 2025 року — відхід від масових технічних експлойтів у DeFi на користь таргетованих атак на високоліквідних фізичних осіб і співробітників криптокомпаній. У хід ідуть фішинг, «вакансії-приманки», шкідливі вкладення в портфоліо-проєкти, зараження робочих станцій. Такий підхід експлуатує людський фактор і знижує залежність від рідкісних вразливостей у коді.
Відмивання викрадених коштів: мульти-міксери, кросчейн і малопомітні ланцюги
Elliptic фіксує ускладнення схем легалізації: послідовні операції через кілька міксерів, активне кросчейн-переміщення, використання менш популярних блокчейнів, купівля utility-токенів для маскування потоків, експлуатація «адрес повернення» та випуск кастомних токенів всередині мереж відмивання. Після санкцій проти Blender, Tornado Cash і Sinbad кіберзлочинці дроблять потоки та комбінують легітимні сервіси з нішевими платформами, ускладнюючи трасування активів.
Контрзаходи для індустрії: техніка, процеси, навчання
Для бірж і кастодіанів пріоритетні заходи: MPC-гаманці (багатосторонні обчислення для спільного підпису без розкриття ключа), розділення ролей і прав доступу, багатофакторні процедури схвалення виводів, allowlist-політики, поведінковий моніторинг аномалій, інтеграція ончейн-аналітики та санкційного скринінгу, регулярні red team-оцінки й відпрацювання планів реагування.
Для DeFi-проєктів критичні безпекові огляди коду, ліміти на мости, механізми аварійної зупинки з чіткими процедурами відновлення. Приватним інвесторам варто використовувати апаратні гаманці та холодне зберігання, ретельно перевіряти домени й контракти перед підписанням, уникати встановлення неперевіреного ПЗ, розділяти «операційні» і «холодні» пристрої, скептично ставитися до нетипових «повернень коштів» і «airdrops», які нерідко є тригерами для дренерів.
Рекордні збитки 2025 року свідчать про зрілість і ресурсне забезпечення північнокорейських угруповань та водночас оголюють слабкі місця екосистеми. Підвищення дисципліни управління ключами, кіберграмотності персоналу й інвесторів, а також проактивний моніторинг ончейн-патернів у координації з правоохоронцями — найефективніші кроки просто зараз. Перегляньте свої моделі загроз, оновіть плани реагування та впровадьте навчання з соціальної інженерії — це мінімум, що допоможе випередити еволюцію тактик зловмисників.
