Північнокорейські хакери святкують «жирний рік»: у 2025 році рекордне крадіжка коштів, цикл відмивання грошей приблизно 45 днів

作者：Chainalysis

編譯：Felix, PANews

針對連年來朝鮮黑客對 криптовалютної індустрії атак, Chainalysis у 2025 році звіті про хакерські атаки зосереджено аналізує дії корейських хакерів. Нижче наведено деталі.

Основні моменти:

• У 2025 році корейські хакери викрали криптовалют на суму 20,2 млрд доларів США, що на 51% більше ніж у попередньому році, незважаючи на зменшення кількості атак, загальна сума викраденого вже склала 67,5 млрд доларів.
• Корейські хакери викрадають більше криптовалюти за меншу кількість атак, часто шляхом проникнення IT-персоналу всередину криптосервісів або використання складних фальсифікаційних стратегій для високопосадовців.
• Виявлено явну перевагу корейських хакерів у китайських послугах відмивання грошей, міжланцюгових мостах та протоколах змішування, а після великих крадіжок їх цикл відмивання становить приблизно 45 днів.
• У 2025 році кількість інцидентів крадіжки особистих гаманців зросла до 158 000, постраждало близько 80 000 користувачів, але загальна втрата (7,13 млрд доларів) зменшилася порівняно з 2024 роком.
• Хоча загальна заблокована вартість (TVL) у DeFi зросла, втрати від хакерських атак у період з 2024 по 2025 рік залишаються на низькому рівні, що свідчить про ефективність покращених заходів безпеки.

У 2025 році криптоекосистема знову стикається з серйозними викликами, оскільки викрадені кошти продовжують зростати. Аналіз показує, що моделі крадіжок у криптовалюті мають чотири ключові характеристики: корейські хакери залишаються головним джерелом загрози; атаки на централізовані сервіси стають все більш серйозними; кількість крадіжок особистих гаманців зростає; тенденція хакерських атак у DeFi демонструє несподіване розділення.

Загальна ситуація: У 2025 році викрадено понад 34 мільярди доларів

З січня по початок грудня 2025 року у криптоіндустрії викрадено понад 34 млрд доларів, з яких лише у лютому на платформі Bybit було здійснено атак на 1,5 млрд доларів.

Дані також виявляють важливі зміни у цих крадіжках. Кількість крадіжок особистих гаманців значно зросла — з 7,3% у 2022 році до 44% у 2024 році. Якби не масштабна атака на Bybit, у 2025 році цей показник міг би досягти 37%.

Одночасно, через складні атаки на інфраструктуру приватних ключів і процеси підпису, централізовані сервіси зазнають дедалі більшого збитку. Хоча ці платформи мають ресурси та професійні команди безпеки, вони все одно залишаються вразливими для загроз, здатних обійти контроль холодних гаманців. Хоча такі інциденти трапляються нечасто (як показано нижче), їх наслідки — величезні викрадені суми. У першому кварталі 2025 року ці інциденти становили 88% від загальних збитків. Багато з атак вже розробили методи використання сторонніх гаманців і спонукання підписантів дозволити зловмисні транзакції.

Хоча безпека у криптовалютній сфері покращується у деяких напрямках, високий рівень викрадених сум свідчить про те, що зловмисники все ще здатні досягати успіху різними способами.

Три найбільші хакерські атаки становлять 69% загальних збитків, а крайні значення досягають у 1000 разів від медіани

Крадіжки завжди зумовлені екстремальними подіями: більшість атак мають невеликі масштаби, але трапляються й дуже масштабні. У 2025 році ситуація погіршилася: найбільша атака у порівнянні з медіанним значенням вперше перевищила 1000-кратний поріг. Тобто викрадені кошти у найбільшій атаці у 2025 році у 1000 разів перевищують середні викрадені суми, навіть перевищуючи пікові значення 2021 року під час бичого ринку. Ці обчислення базуються на вартісних оцінках викрадених коштів у момент крадіжки у доларах.

Такий зростаючий розрив сприяє концентрації збитків. Три найбільші атаки у 2025 році становили 69% усіх збитків, і окремі інциденти мають надзвичайно великий вплив на річний підсумок. Хоча частота атак може коливатися, а зростання цін активів підвищує медіанний збиток, потенційні втрати від окремих великих вразливостей швидко зростають.

Хоча кількість підтверджених атак зменшується, корейські хакери залишаються головною загрозою

Незважаючи на значне зниження частоти атак, Північна Корея залишається найсерйознішою державою-агресором у криптобезпеці. У 2025 році викрадено рекордну суму криптовалюти — щонайменше 20,2 млрд доларів (на 6,81 млрд більше ніж у 2024), що на 51% більше попереднього року. Це найсерйозніший рік за обсягом викрадених коштів у історії, при цьому атаки з боку КНДР становили 76% усіх вторгнень, що є рекордом. Загалом, сукупна вартість викрадених криптовалют корейськими хакерами оцінюється щонайменше у 67,5 млрд доларів.

Зростає кількість проникнень корейських хакерів через внутрішніх IT-фахівців (один із головних методів), що дозволяє отримати привілеї та здійснювати масштабні атаки. Цього року зафіксовано рекордну кількість таких інцидентів, що частково свідчить про те, що КНДР дедалі більше покладається на проникнення у біржі, кастодіальні та Web3-компанії, що прискорює початковий доступ і горизонтальний рух всередині систем.

Однак останні атаки, пов’язані з КНДР, повністю руйнують цю модель. Вони все частіше видають себе за рекрутерів відомих Web3 і AI компаній, організовуючи фальшиві процеси найму, щоб отримати логіни, вихідний код і доступ до VPN або SSO жертв. На рівні керівництва використовують схеми соціальної інженерії у вигляді фальшивих стратегічних інвесторів або покупців, що через зустрічі та фальшиві дью-ділідженси намагаються отримати доступ до чутливих систем і високовартісної інфраструктури. Ця еволюція базується на шахрайських діях корейських IT-фахівців і зосереджена на стратегічно важливих AI та блокчейн-компаніях.

Як показано за останні роки, мережеві атаки КНДР мають значно вищу цінність, ніж інші хакерські групи. На малюнку видно, що з 2022 по 2025 рік атаки корейських хакерів займають найвищі цінові сегменти, тоді як не корейські — розподілені більш рівномірно. Це підтверджує, що під час атак КНДР вони цілеспрямовано націлюються на великі сервіси, прагнучи максимального впливу.

Рекордні збитки цього року зумовлені значним зменшенням кількості відомих інцидентів. Ця зміна (зменшення кількості подій, але зростання збитків) відображає вплив масштабної атаки на Bybit у лютому 2025 року.

Унікальні схеми відмивання грошей КНДР

На початку 2025 року масовий потік викрадених коштів розкрив, як саме корейські хакери масштабно очищують криптовалюту. Їхні моделі суттєво відрізняються від інших кіберзлочинців і з часом еволюціонують.

Відмивання грошей КНДР має явну «сегментацію»: понад 60% транзакцій зосереджено на сумі до 50 тисяч доларів. У той час як інші хакери переказують понад 60% коштів у межах від 100 тисяч до 10 мільйонів доларів і більше, корейські — розбивають свої відмивання на менші порції, що ускладнює їх відстеження.

Порівняно з іншими хакерами, у деяких аспектах відмивання КНДР демонструє явні переваги:

• переважно використовують китайські сервіси переказу та гарантійні послуги (+355% до понад 1000%), що є найяскравішою ознакою, оскільки сильно залежить від китайських гарантійних сервісів і мереж відмивання, що складаються з операторів із слабким регулюванням;
• міжланцюгові мости (+97%), що дозволяють переміщати активи між різними блокчейнами і ускладнюють відстеження;
• протоколи змішування (+100%), що використовуються для маскування руху коштів;
• спеціалізовані сервіси, такі як Huione (+356%), які стратегічно залучаються для допомоги у відмиванні.

Інші хакери, що займаються відмиванням, схильні:

• використовувати кредитні протоколи (-80%), оскільки КНДР уникає таких DeFi сервісів;
• обмінники без KYC (-75%), що дивно, оскільки інші хакери частіше застосовують безKYC-обмінники;
• P2P-обмінники (-64%), що мають менший інтерес у КНДР;
• централізовані біржі (-25%), з якими інші хакери мають більше взаємодії;
• DEX (-42%), оскільки інші хакери частіше використовують децентралізовані біржі через їхню високу ліквідність і анонімність.

Ці моделі свідчать, що діяльність КНДР підпорядкована іншим обмеженням і цілям, ніж у нерегульованих злочинних мереж. Вони активно використовують професійні китайські сервіси відмивання та OTC-трейдерів, що свідчить про тісний зв’язок із нелегальним сектором Азіатсько-Тихоокеанського регіону.

Таймлайн відмивання викрадених коштів після атак КНДР

Аналіз активності у ланцюгах після інцидентів, пов’язаних із КНДР у 2022–2025 роках, показує, що ці події мають схожу структуру руху викрадених коштів у криптоекосистемі. Після великих крадіжок викрадені кошти проходять структурований, багатоступінчастий процес відмивання, що триває приблизно 45 днів:

Перший етап: негайне розподілення (0-5 днів)

У перші кілька днів після атаки спостерігається підвищена активність, зосереджена на швидкому переказі коштів із джерела крадіжки:

• Обсяг викрадених коштів у DeFi-протоколах зростає на +370%, що робить їх основною ціллю.
• Обсяг транзакцій у протоколах змішування збільшується на +135-150%, створюючи перший рівень маскування.
• Цей етап — це терміновий «перший крок», щоб відмежуватися від початкового злому.

Другий етап: первинна інтеграція (6-10 днів)

На другому тижні стратегія відмивання спрямована на сервіси, що допомагають залучити кошти до ширшої екосистеми:

• Обмінники з менш жорсткими KYC (+37%) і централізовані біржі (+32%) починають отримувати потоки.
• Другий рівень протоколів змішування (+76%) продовжує маскування з меншою інтенсивністю.
• Мости між блокчейнами (наприклад, XMRt, +141%) допомагають розподілити і приховати рух коштів між ланцюгами.
• Це ключовий перехідний етап, коли кошти починають виходити на потенційні точки виведення.

Третій етап: довгострокова інтеграція (20-45 днів)

Останній етап орієнтований на сервіси, що дозволяють остаточно конвертувати у фіат або інші активи:

• Обмінники без KYC (+82%) і гарантійні сервіси (наприклад, 土豆单宝, +87%) значно зростають.
• Миттєві біржі (+61%) і китайські платформи (наприклад, 汇旺, +45%) стають кінцевими точками обміну.
• Централізовані біржі (+50%) також отримують кошти, що свідчить про спроби змішати нелегальні та легальні активи.
• Менш регульовані юрисдикції, такі як китайські мережі відмивання та платформи Grinex (+33%, +39%), доповнюють цю модель.

Цей зазвичай 45-денний цикл відмивання дає правоохоронцям цінну інформацію. Така модель триває роками, що свідчить про обмеження операцій корейських хакерів, зумовлені обмеженими каналами доступу до фінансової інфраструктури та необхідністю узгоджень із посередниками.

Хоча ці хакери не завжди дотримуються точної часової схеми — деякі викрадені кошти можуть перебувати у «сплячці» місяцями або роками — ця модель є типовою для їх активної відмивної діяльності. Водночас слід враховувати можливі сліпі зони аналізу, оскільки деякі активності (наприклад, перекази приватних ключів або оффчейн-обміни криптовалюти на фіат) не будуть видимі без додаткових даних.

Крадіжки особистих гаманців: зростання загрози для користувачів

Аналіз ланцюгових моделей і звітів постраждалих та партнерів галузі дозволяє оцінити серйозність крадіжок особистих гаманців, хоча реальна кількість таких інцидентів може бути значно більшою. Мінімально оцінюється, що у 2025 році вартість викрадених коштів із особистих гаманців становила 20% від загальних збитків, що менше ніж 44% у 2024 році, що свідчить про зміни у масштабах і моделях. Загальна кількість крадіжок у 2025 році сягнула 158 000, що майже у три рази більше, ніж у 2022 році (54 000). Кількість постраждалих зросла з 40 000 у 2022 до щонайменше 80 000 у 2025. Це значне зростання, ймовірно, пов’язане із ширшим використанням криптовалюти. Наприклад, у одній із найбільших блокчейнів — Solana — кількість крадіжок становить близько 26 500 постраждалих.

Проте, незважаючи на зростання кількості інцидентів і постраждалих, у 2025 році сума у доларах, викрадених у кожного окремого користувача, знизилася з пікових 1,5 млрд доларів у 2024 до 713 млн доларів. Це свідчить про те, що цільова аудиторія атак зросла, але сума викраденого у кожного — зменшилася.

Дані щодо постраждалих у конкретних мережах дають додаткове розуміння, які сфери становлять найбільшу загрозу для криптоюзертів. Нижче наведено дані про рівень злочинності щодо активних особистих гаманців у різних мережах. За кількістю викрадених коштів на 100 000 гаманців найвищі показники у Ethereum і TRON. Величезна кількість користувачів Ethereum означає високий рівень викрадень і постраждалих, тоді як у TRON, попри меншу кількість активних гаманців, рівень викрадень також високий. У порівнянні з цим, платформи Base і Solana мають велику кількість користувачів, але нижчий рівень постраждалих.

Це свідчить, що ризики для приватних гаманців у криптоекосистемі не рівномірні. Навіть за схожої технічної архітектури, різні блокчейни демонструють різний рівень постраждалих, що вказує на те, що крім технічних факторів, важливу роль відіграють характеристики користувацької бази, популярні застосунки та інфраструктура злочинців.

DeFi хакерські атаки: розділення моделей і передвісники ринкових змін

У 2025 році у сфері DeFi спостерігається унікальна модель, яка суттєво відрізняється від історичних тенденцій.

Дані показують три чітко виражені етапи:

• Перший (2020–2021): TVL у DeFi і збитки від хакерських атак зростають синхронно
• Другий (2022–2023): обидва показники зменшуються
• Третій (2024–2025): TVL відновлюється, а збитки від атак залишаються стабільними

Перші два етапи слідували логіці: чим більший ризик і вартість, тим більше атак і крадіжок високовартісних протоколів. Як сказав банкір Віллі Саттон: «Тому що там гроші».

Ця тенденція робить третій етап особливо помітним. TVL у DeFi значно відновився після мінімуму 2023 року, але збитки від атак залишаються низькими. Хоча сотні мільярдів доларів повернулися до цих протоколів, кількість атак у DeFi залишається на низькому рівні, що є важливим зміною.

Два можливі пояснення цієї різниці:

• Посилення безпеки: незважаючи на зростання TVL, рівень атак знизився, що свідчить про впровадження більш ефективних заходів безпеки у DeFi-протоколах порівняно з 2020–2021 роками.
• Зміщення цілей: одночасне зростання крадіжок у приватних гаманцях і централізованих сервісах може свідчити про те, що зловмисники переключили увагу на інші цілі.

Кейс-стаді: безпека Venus Protocol

Інцидент із Venus у вересні 2025 року показав, що покращення заходів безпеки дають реальні результати. Тоді зловмисники використали зламаний клієнт Zoom для отримання доступу до системи і спробували отримати довіреність на 13 мільйонів доларів. Це могло закінчитися катастрофою, але Venus заздалегідь запустила платформу Hexagate для моніторингу безпеки.

Ця платформа за 18 годин до атаки виявила підозрілі активності і одразу надіслала попередження. За 20 хвилин Venus призупинила протокол, запобігши витоку коштів. Така швидка і злагоджена реакція демонструє еволюцію безпеки у DeFi:

• За 5 годин — завершено перевірки і частково відновлено функціонал
• За 7 годин — примусова ліквідація коштів зловмисника
• За 12 годин — повернення всіх викрадених коштів і відновлення роботи

Найважливіше — Venus ухвалила рішення заморозити активи зловмисника на суму 3 мільйони доларів, і він втратив свої кошти, а не отримав прибуток.

Цей випадок свідчить про суттєве покращення інфраструктури безпеки у DeFi. Активне моніторинг, швидка реакція і здатність приймати рішучі дії через механізми управління роблять екосистему більш гнучкою і стійкою. Хоча атаки ще трапляються, здатність виявляти, реагувати і навіть повертати активи — це кардинальна зміна порівняно з ранніми часами DeFi, коли успішна атака означала постійні втрати.

Вплив на 2026 рік і подальше

Дані 2025 року демонструють складну еволюцію КНДР як головного загрози у криптоіндустрії. Кількість атак зменшилася, але їх руйнівна сила зросла, що свідчить про підвищення майстерності та терпіння. Вплив інциденту з Bybit на річний режим діяльності показує, що при успішних великих крадіжках КНДР зменшує активність і зосереджується на відмиванні.

Для криптоіндустрії ця еволюція вимагає посилення уваги до цінних цілей і покращення здатності розпізнавати специфічні схеми відмивання КНДР. Постійна орієнтація на певні сервіси і суми транзакцій створює можливості для виявлення їх діяльності, що відрізняє їх від інших злочинців і допомагає слідству.

З огляду на те, що КНДР продовжує використовувати крадіжки криптовалюти для фінансування державних пріоритетів і обходу міжнародних санкцій, галузь має усвідомлювати, що поведінка КНДР суттєво відрізняється від звичайних кіберзлочинців. У 2025 році їхній рекордний показник (при зменшенні відомих атак на 74%) свідчить, що ми бачимо лише вершину айсберга. Наступного року важливо виявити і запобігти атакам, подібним до масштабів Bybit, ще до їхнього початку.

Джерела: зростання збитків у криптобезпеці: зменшення кількості атак, але значне зростання руйнівної сили