## 2025 рік — «щедрий рік» для кіберзлочинців Північної Кореї: рекордні суми крадіжок та цикли відмивання грошей приблизно 45 днів

У міру швидкого зростання криптоіндустрії зростають і складність кіберзагроз. Зокрема, крадіжки криптоактивів групами хакерів з Північної Кореї у 2025 році досягли рекордних рівнів. Останній аналіз Chainalysis показує, що ці інциденти не лише шокували всю галузь, а й виявили більш витончені методи атак з боку зловмисників.

### Рекордні суми крадіжок: понад 2,02 мільярди доларів збитків

У 2025 році криптовалюти, викрадені хакерами з Північної Кореї, склали щонайменше 2,02 мільярди доларів, що на 51% більше порівняно з 2024 роком. Водночас, загальна сума крадіжок перевищила 6,75 мільярдів доларів.

Цікаво, що кількість атак зменшується, тоді як сума крадіжки в одній справі значно зростає. Такий тренд свідчить про перехід хакерів до стратегії «менших, але більш цілеспрямованих» цілей. Вони зменшують кількість атак, але зосереджуються на більш великих об’єктах, щоб красти більше активів.

За даними, з січня по початок грудня 2025 року у криптоіндустрії було викрадено понад 3,4 мільярди доларів, з яких кілька великих хакінгів становили 69% загальних збитків. Різниця між найбільшими крадіжками та типовими випадками зросла до безпрецедентних 1000 разів.

### Еволюція методів атак: від внутрішнього проникнення до шахрайського найму

Причина, чому хакери з Північної Кореї залишаються найбільшою загрозою для криптоіндустрії, полягає не лише у їхній технічній майстерності. Їхні методи атак з часом удосконалюються і переходять у більш соціотехнічний напрямок.

Раніше хакери просто подавали заявки на роботу, щоб проникнути у компанії та отримати привілейований доступ. Тепер вони використовують більш складні стратегії: видають себе за рекрутерів Web3 або AI-компаній, проводять фальшиві співбесіди, щоб викрасти логін-паролі, вихідний код і навіть VPN-доступ до роботодавця.

У випадках цілеспрямованих атак на керівників, зловмисники видають себе за інвесторів або покупців, щоб отримати конфіденційну інформацію під час стратегічних нарад або дью-ділідженс. Така багаторівнева стратегія підтверджує, що Північна Корея — не просто технічна загроза, а організована кіберзлочинна держава.

### Унікальні схеми відмивання грошей: цикл приблизно 45 днів

Як швидко та ефективно конвертувати викрадені кошти у готівку — важливе питання для хакерів. Діяльність з відмивання грошей у Північної Кореї демонструє явно відмінні від інших злочинних груп схеми.

Особливо слід звернути увагу на сильну залежність від китайських сервісів відмивання грошей і OTC-постачальників. Це натякає на тісну співпрацю північнокорейських хакерських груп із нелегальними мережами у Азіатсько-Тихоокеанському регіоні. Крім того, широко використовуються кросчейн-містки та протоколи мікшінгу, що ускладнює слідкування і застосовує багаторівневий підхід.

За аналізом, після великих крадіжок викрадені кошти проходять структурований цикл відмивання приблизно за 45 днів:

**Перший етап (0–5 днів): миттєве розподілення**
У перші кілька днів зловмисники переводять викрадені активи у DeFi-протоколи та мікшери. Обсяг активності на цьому етапі зростає у понад три рази.

**Другий етап (6–10 днів): початкова інтеграція**
Кошти переказуються на платформи з менш жорсткими KYC, зокрема централізовані біржі (CEX). Одночасно активується кросчейн-містки, і кошти розподіляються між кількома блокчейнами.

**Третій етап (20–45 днів): фінальна стадія**
Кінцева мета — конвертація у легальні активи. Використовуються китайські платформи та заставні сервіси. До цього моменту кошти вже змішані і маскуються під легальні активи.

Цей повторюваний патерн свідчить про те, що Північна Корея стикається з операційними обмеженнями. Обмежений доступ до фінансової інфраструктури та залежність від певних посередників створюють передбачуваний таймлайн.

### Загроза для приватних користувачів зростає

Зі зміцненням заходів безпеки кількість атак на особисті гаманці зростає. У 2025 році кількість крадіжок сягнула 158 000 випадків, що майже у три рази більше, ніж у 2022 році (54 000). Кількість постраждалих — від 40 000 до 80 000 осіб.

Цікаво, що загальна кількість крадіжок зросла, тоді як середній збиток на одного користувача зменшився. У 2024 році він становив 1,5 мільярда доларів, а у 2025 — 713 мільйонів доларів. Це свідчить про зміну стратегій зловмисників: вони цілеспрямовано атакують широку аудиторію приватних користувачів, але кожна окрема крадіжка приносить менше.

За аналізом по блокчейнах, особливо високий рівень крадіжок у Ethereum і Tron. Ethereum має найбільшу кількість користувачів і, відповідно, найбільше постраждалих, тоді як Tron, з меншим числом користувачів, демонструє високий рівень крадіжок.

### Покращення безпеки DeFi: виняткові успіхи

Цікаво, що ситуація з безпекою DeFi демонструє ознаки покращення. Загальна заблокована вартість (TVL) значно відновилася, а збитки від хакінгів залишаються на низькому рівні. Це свідчить про ефективність впроваджених заходів безпеки у протоколах DeFi.

Прикладом є інцидент із протоколом Venus у вересні 2025 року. Зловмисник отримав доступ через зламаний клієнт Zoom і намагався отримати 13 мільйонів доларів у вигляді делегованих прав. Однак система безпеки Venus, яка була запущена напередодні, виявила підозрілі дії і виявила атаку за 18 годин.

Подальші дії були швидкими: протокол був тимчасово зупинений за 20 хвилин, частково відновлений за 5 годин, а позиції зловмисника ліквідовані за 7 годин. Всі викрадені активи були повернені за 12 годин. Крім того, Venus ухвалив пропозицію щодо блокування активів на 3 мільйони доларів, якими ще володіє зловмисник.

Цей випадок є важливим свідченням того, що інфраструктура безпеки у DeFi суттєво еволюціонувала. Активний моніторинг, швидке реагування і ефективне управління дозволяють створювати більш міцні системи, що відрізняються від початкового періоду DeFi.

### Виклики 2026 року: перевищення закону Віллі Саттона

Зменшення атак з боку Північної Кореї у 2025 році не означає зменшення загроз. Навпаки, вони стають менш помітними і більш витонченими. Зменшення кількості відомих інцидентів на 74% при рекордних збитках свідчить про те, що активність, яка ще не стала очевидною, можливо, зростає.

Діяльність хакерів з Північної Кореї базується не лише на грошовій вигоді, а й на стратегічних цілях — фінансуванні держави та обході міжнародних санкцій. Це принципово відрізняється від поведінки звичайних злочинців.

Для криптоіндустрії викликом 2026 року стане здатність виявляти і запобігати цим високорозвиненим організованим атакам заздалегідь. Необхідно розпізнавати унікальні схеми відмивання грошей, запобігати внутрішнім проникненням і посилювати заходи проти соціотехнічних атак.