Северокорейские хакеры отмечают «жирный год»: в 2025 году рекордное количество украденных средств, цикл отмывания денег составляет около 45 дней

Автор: Chainalysis

Редактор: Felix, PANews

В связи с многолетними атаками северокорейских хакеров на криптоиндустрию, в отчёте о кибератаках 2025 года Chainalysis подробно проанализировал методы атак северокорейских хакеров. Ниже представлены детали.

Ключевые моменты:

• В 2025 году северокорейские хакеры похитили криптовалют на сумму 20,2 млрд долларов, что на 51% больше по сравнению с предыдущим годом. Несмотря на снижение количества атак, совокупный украденный объем достиг 67,5 млрд долларов.
• Северокорейские хакеры похищают больше криптовалют при меньшем числе атак, часто внедряясь внутрь криптосервисов через IT-персонал или используя сложные стратегии фальсификации, нацеленные на руководителей.
• Явно предпочтения отдаёт китайским услугам отмывания денег, межцепочечным мостам и протоколам смешивания, а после крупных краж цикл отмывания занимает около 45 дней.
• В 2025 году количество случаев кражи личных кошельков выросло до 158 000, пострадало около 80 000 пользователей, однако общий украденный объем (713 млн долларов) снизился по сравнению с 2024 годом.
• Несмотря на рост общего заблокированного в DeFi (TVL) объема, потери от кибератак в 2024–2025 годах остаются на низком уровне, что свидетельствует о значительном улучшении мер безопасности.

В 2025 году криптоэкосистема вновь сталкивается с серьёзными вызовами: продолжается рост украденных средств. Анализ показывает, что модели краж в крипто пространстве имеют четыре ключевых признака: северокорейские хакеры остаются основным источником угроз; атаки на централизованные сервисы усиливаются; случаи краж личных кошельков растут; тенденции кибератак в DeFi демонстрируют неожиданный разлом.

**Общая ситуация:**В 2025 году украдено более 34 млрд долларов

С января по начало декабря 2025 года сумма украденных средств в криптоиндустрии превысила 34 млрд долларов, из которых только в феврале на платформе Bybit было совершено атак на сумму 1,5 млрд долларов.

Данные также выявили важные изменения в характере этих краж. Количество случаев краж личных кошельков значительно выросло: с 7,3% от общего украденного в 2022 году до 44% в 2024 году. Если бы не масштабная атака на Bybit, в 2025 году этот показатель мог бы достичь 37%.

Одновременно, из-за сложных атак на инфраструктуру приватных ключей и процессов подписи, централизованные сервисы терпят всё большие потери. Несмотря на наличие у этих платформ ресурсов и профессиональных команд безопасности, они всё равно уязвимы для угроз, позволяющих обходить контроль холодных кошельков. Хотя такие взломы происходят нечасто (см. график), при их реализации наносят огромный ущерб — в первом квартале 2025 года такие инциденты составили 88% всех потерь. Многие злоумышленники разработали методы использования сторонних кошельков и вынуждают подписантов разрешать вредоносные транзакции.

Несмотря на то, что безопасность в криптосфере в некоторых областях улучшается, высокий уровень украденных средств свидетельствует о том, что злоумышленники всё ещё успешно используют различные методы.

Три крупнейшие атаки по ущербу составили 69% от всех потерь, а экстремальные случаи достигли 1000-кратной медианы

Объем средств, похищенных в результате атак, традиционно определяется экстремальными событиями: большинство атак имеют относительно небольшой масштаб, но есть и крупные инциденты. В 2025 году ситуация ухудшилась: впервые максимальный ущерб от одной атаки превысил 1000-кратную медиану всех случаев. То есть, украденные средства в крупнейших атаках в 2025 году в 1000 раз превышают средний ущерб по другим инцидентам, а иногда и превышают пик бычьего рынка 2021 года. Эти оценки основаны на стоимости украденных средств в момент кражи в долларах.

Это всё увеличивающееся расхождение приводит к тому, что потери концентрируются в нескольких крупных инцидентах. Три крупнейшие атаки в 2025 году составили 69% всех потерь, а отдельные события оказывают чрезвычайно сильное влияние на годовой итог. Несмотря на возможные колебания частоты атак и рост средних потерь с ростом стоимости активов, потенциальный ущерб от отдельных уязвимостей продолжает быстро расти.

Несмотря на снижение числа подтверждённых атак, Северная Корея остаётся главным источником угроз

Хотя частота атак значительно снизилась, Северная Корея всё ещё является наиболее опасной страной для криптобезопасности. В 2025 году она зафиксировала рекордный объем похищенных средств — не менее 20,2 млрд долларов (на 6,81 млрд больше, чем в 2024 году), что на 51% больше. По сумме украденных средств это самый тяжёлый год в истории, а атаки, инициированные Северной Кореей, составили 76% всех инцидентов, что является рекордом. В целом, совокупный украденный объем криптовалют северокорейскими хакерами достиг как минимум 67,5 млрд долларов.

Хакеры из Северной Кореи всё чаще внедряют IT-персонал (один из основных методов атаки) внутрь криптосервисов для получения привилегированного доступа и проведения масштабных атак. Рекордные инциденты этого года частично отражают тенденцию, что Северная Корея всё больше полагается на проникновение через IT-специалистов в биржах, кастодиальных и Web3-компаниях, что ускоряет начальный доступ и горизонтальное перемещение внутри инфраструктуры, создавая условия для масштабных краж.

Однако недавно связанные с Северной Кореей хакерские организации полностью перевернули эту модель. Они перестали просто устраиваться на работу и внедряться под видом сотрудников, всё чаще выдавая себя за рекрутеров известных Web3 и AI-компаний, тщательно разрабатывая фальшивые процессы найма, а под предлогом «технического отбора» получают логины, исходный код и доступ к VPN или SSO текущих работодателей. На уровне руководства используют социальную инженерию, представляясь стратегическими инвесторами или покупателями, проводят фиктивные встречи и дью-дилидженс, чтобы разведать чувствительные системы и инфраструктуру высокой ценности — эта эволюция основана на мошенничестве с IT-персоналом и фокусируется на стратегически важных AI и блокчейн-компаниях.

Как показывают последние годы, кибератаки Северной Кореи ценятся значительно выше, чем другие хакеры. На графике видно, что с 2022 по 2025 год атаки северокорейских хакеров занимают самые крупные сегменты по стоимости, тогда как атаки других групп распределены более равномерно. Эта модель подтверждает, что при атаках Северной Кореи они нацелены на крупные сервисы с целью максимального эффекта.

Рекордные потери этого года связаны с заметным снижением количества известных инцидентов. Этот сдвиг (уменьшение числа событий при росте ущерба) обусловлен масштабной атакой на платформу Bybit в феврале 2025 года.

Уникальный способ отмывания денег у Северной Кореи

В начале 2025 года поток украденных средств показал, как именно северокорейские хакеры масштабно очищают криптовалюту. Их модели существенно отличаются от других киберпреступников и со временем эволюционируют.

Отмывание денег Северной Кореей демонстрирует явную «разделённость»: более 60% транзакций сосредоточено на суммах до 50 тысяч долларов. В то же время, более 60% средств, перемещённых на цепочке, у других хакеров приходится на суммы от 1 до 10 миллионов долларов, которые они переводят партиями. Несмотря на то, что у Северной Кореи сумма каждой операции выше, они разбивают цепочные переводы на меньшие части, что усложняет отслеживание.

В отличие от других хакеров, у Северной Кореи есть явные предпочтения в некоторых схемах отмывания:

• Переводы и гарантии через китайские сервисы (+355% до 1000% и более): это наиболее яркая особенность, сильно зависящая от китайских гарантийных сервисов и сетей отмывания, состоящих из операторов с слабым контролем.
• Межцепочечные мосты (+97%): активно используют мосты для перемещения активов между разными блокчейнами, пытаясь усложнить отслеживание.
• Протоколы смешивания (+100%): всё чаще используют сервисы микширования для сокрытия движения средств.
• Профессиональные сервисы, такие как Huione (+356%): стратегически применяют специализированные платформы для поддержки отмывания.

Другие участники схемы отмывания, как правило, предпочитают:

• Протоколы заимствования (-80%): Северная Корея избегает DeFi-сервисов этого типа, что свидетельствует о их ограниченной интеграции с более широкой DeFi-экосистемой.
• Биржи без KYC (-75%): удивительно, но другие хакеры используют такие биржи чаще, чем Северная Корея.
• P2P-платформы (-64%): интерес к P2P у Северной Кореи невелик.
• Централизованные биржи (-25%): другие хакеры взаимодействуют с традиционными биржами чаще.
• DEX (-42%): более склонны использовать децентрализованные обменники, благодаря высокой ликвидности и анонимности.

Эти модели показывают, что деятельность Северной Кореи подчинена иным ограничениям и целям, чем у нерегулируемых группировок. Они широко используют профессиональные китайские услуги по отмыванию денег и внебиржевых (OTC) трейдеров, что свидетельствует о тесных связях с нелегальными операциями в Азиатско-Тихоокеанском регионе.

Хронология отмывания украденных средств после атак Северной Кореи

Анализ цепочных операций по данным 2022–2025 годов показывает, что эти инциденты следуют структурированной, многоэтапной схеме отмывания, которая занимает примерно 45 дней:

Первый этап: немедленное разделение (0-5 дней)

В первые дни после атаки наблюдается активность, сосредоточенная на быстром переводе средств с источника кражи:

• Объем украденных средств через DeFi-протоколы увеличился на +370%, став основным каналом.
• Объем транзакций по микшированию вырос на +135-150%, создавая первый слой маскировки.
• Этот этап — экстренные «первые шаги», направленные на отделение от первоначальной кражи.

Второй этап: начальная интеграция (6-10 дней)

На второй неделе стратегия отмывания переключается на сервисы, помогающие интегрировать средства в более широкую экосистему:

• Биржи с меньшими требованиями KYC (+37%) и централизованные биржи (+32%) начинают получать средства.
• Второй слой микширования (+76%) продолжается с меньшей интенсивностью.
• Межцепочечные мосты (например, XMRt, +141%) помогают рассеять и скрыть движение средств между блокчейнами.
• Этот этап — важный переход, когда средства начинают уходить к потенциальным точкам выхода.

Третий этап: долгосрочная интеграция (20-45 дней)

Заключительный этап ориентирован на сервисы, позволяющие окончательно обменять средства на фиат или другие активы:

• Биржи без KYC (+82%) и гарантированные сервисы (например, Potato Single (+87%)) показывают значительный рост.
• Мгновенные обменники (+61%) и китайские платформы (например, HuiWang, +45%) становятся финальными точками обмена.
• Централизованные биржи (+50%) также принимают средства, что свидетельствует о попытках смешать украденные деньги с легальными.
• Платформы с меньшим регулированием, такие как китайские сети отмывания (+33%) и Grinex (+39%), дополняют эту модель.

Эта схема, обычно длятся около 45 дней, предоставляет правоохранительным органам и регуляторам важную информацию. Такой многослойный сценарий действует уже много лет, что говорит о существующих ограничениях у хакеров, связанных с ограниченными каналами доступа к финансовой инфраструктуре и необходимостью взаимодействия с посредниками.

Несмотря на то, что эти злоумышленники не всегда следуют именно этой временной схеме — некоторые украденные средства могут находиться в «спячке» месяцами или годами — эта модель отражает их типичные цепочные действия при активном отмывании. Также важно учитывать возможные слепые зоны анализа: некоторые операции (например, перевод приватных ключей или внебиржевые обмены криптовалют на фиат) не видны на цепочке без соответствующих данных.

Кражи личных кошельков: растущая угроза для индивидуальных пользователей

Анализ цепочных моделей, а также отчёты пострадавших и отраслевых партнёров позволяют оценить масштаб краж личных кошельков. Хотя точное число таких случаев может быть значительно выше, минимальная оценка показывает, что в 2025 году ущерб от краж личных кошельков составляет около 20% от общего ущерба, что меньше 44% в 2024 году, свидетельствуя о сдвиге в масштабах и моделях. Общее число краж в 2025 году достигло 158 000 случаев — почти в три раза больше, чем 54 000 в 2022 году. Количество пострадавших увеличилось с 40 000 в 2022 году до как минимум 80 000 в 2025 году. Эти значительные росты, вероятно, связаны с более широким распространением криптовалют. Например, у одной из крупнейших по активности в мире блокчейн-сетей — Solana — число краж достигло примерно 26 500 пострадавших.

Однако, несмотря на рост числа инцидентов и пострадавших, сумма ущерба, похищенная у каждого, снизилась: с пика в 1,5 млрд долларов в 2024 году до 713 млн долларов в 2025 году. Это говорит о том, что злоумышленники охотятся за более широкой аудиторией, но средний размер украденных средств у каждого пострадавшего уменьшился.

Данные по отдельным сетям дают дополнительные сведения о том, какие области представляют наибольшую угрозу крипто-пользователям. На графике показаны показатели по активным личным кошелькам в различных сетях, скорректированные по уровню преступности. В 2025 году по количеству преступлений на 100 000 кошельков лидируют Ethereum и TRON. Масштаб пользователей Ethereum говорит о высоком уровне краж и пострадавших, а у TRON, несмотря на меньшую активность, показатели по преступности также высоки. В то же время, несмотря на большое число пользователей, сети Base и Solana демонстрируют низкий уровень пострадавших.

Это свидетельствует о том, что риски для личных кошельков в криптоэкосистеме неравномерны. Даже при схожей технической архитектуре, различия в уровне пострадавших по блокчейнам обусловлены не только техническими факторами, но и характеристиками пользовательских сообществ, популярностью приложений и инфраструктурой преступных группировок.

DeFi атаки: разломы и смена трендов

В 2025 году в данных о преступлениях в DeFi наблюдается уникальная модель, резко отличающаяся от исторических тенденций.

Показаны три четко выраженных этапа:

• Первый этап (2020–2021): TVL DeFi и потери от атак росли синхронно
• Второй этап (2022–2023): оба показателя снижались
• Третий этап (2024–2025): TVL восстанавливается, а потери остаются на низком уровне

Первые два этапа следовали логике: чем выше риск, тем больше потенциальных украденных средств, и тем сильнее атаки на крупные протоколы. Как говорил грабитель банков Уилли Саттон: «Потому что там деньги».

Это делает третий этап особенно заметным. TVL DeFi значительно вырос после минимума 2023 года, однако потери от атак не увеличились. Несмотря на возвращение миллиардов долларов в эти протоколы, число атак в DeFi остаётся низким, что свидетельствует о важной перемене.

Два возможных объяснения этого феномена:

• Повышение безопасности: несмотря на рост TVL, уровень атак снижается, что говорит о внедрении более эффективных мер защиты в DeFi-протоколах по сравнению с 2020–2021 годами.
• Смещение целей: рост краж у личных кошельков и атак на централизованные сервисы указывает на то, что злоумышленники могут переключать внимание на другие цели.

Кейс: безопасность протокола Venus

Инцидент с Venus в сентябре 2025 года показывает, что меры по повышению безопасности дают реальные результаты. Тогда злоумышленники использовали взломанный клиент Zoom для получения доступа к системе и убедили одного из пользователей предоставить полномочия на управление счетом на сумму 13 млн долларов. Это могло привести к катастрофе, но за месяц до этого Venus запустил платформу Hexagate для мониторинга безопасности.

Эта платформа за 18 часов до атаки обнаружила подозрительную активность и сразу же отправила тревогу. В течение 20 минут протокол был приостановлен, и средства были заблокированы. Такой скоординированный отклик демонстрирует развитие безопасности в DeFi:

• В течение 5 часов: завершена проверка безопасности, часть функций восстановлена
• В течение 7 часов: принудительная ликвидация кошелька злоумышленника
• В течение 12 часов: возвращены все украденные средства и восстановлена работа

Особенно важно, что Venus провёл голосование и заморозил активы злоумышленника на сумму 3 млн долларов; злоумышленник не получил выгоды и потерял свои средства.

Этот случай показывает, что инфраструктура безопасности в DeFi значительно улучшилась. Активный мониторинг, быстрая реакция и эффективное управление позволяют сделать систему более гибкой и устойчивой. Несмотря на продолжающиеся атаки, способность обнаруживать, реагировать и даже возвращать украденные средства — это кардинальный сдвиг по сравнению с ранним этапом развития DeFi, когда успешные атаки зачастую приводили к необратимым потерям.

Влияние на 2026 год и далее

Данные 2025 года показывают сложную картину развития угроз со стороны Северной Кореи. Количество атак снизилось, но их разрушительная сила значительно возросла, что свидетельствует о повышении мастерства и терпении. Влияние инцидента с Bybit на годовые модели деятельности указывает, что при успешных крупных кражах Северная Корея снижает активность и переключается на отмывание денег.

Для криптоиндустрии это означает необходимость усиления контроля за крупными целями и повышения распознавания специфических моделей отмывания денег, характерных для Северной Кореи. Их постоянная ориентация на определённые сервисы и суммы переводов создаёт возможности для обнаружения и помогает следственным органам выявлять цепочки их действий.

Поскольку Северная Корея продолжает использовать кражи криптовалют для финансирования национальных приоритетов и обхода международных санкций, криптоиндустрия должна учитывать, что их операции существенно отличаются от обычных киберпреступных группировок. Рекордные показатели 2025 года (при сокращении известных атак на 74%) показывают, что мы, возможно, видим только верхушку айсберга их деятельности. В 2026 году важной задачей станет обнаружение и предотвращение новых масштабных атак, подобных инциденту с Bybit, до того, как они произойдут вновь.

Дополнительная информация: рост потерь в криптобезопасности: снижение числа атак, но значительный рост разрушительной силы