Корейские хакеры 2025 года установили рекорд, украдя 2 миллиарда долларов в криптовалюте, схема отмывания денег за 45 дней раскрыта

Новый отчёт аналитической компании блокчейна Chainalysis показывает, что хакеры, связанные с Северной Кореей, украли как минимум 2 миллиарда долларов в криптовалюте в 2025 году — рекордный рост на 51% в годовом выражении, а их совокупные кражи достигли 6,75 миллиарда долларов. Несмотря на снижение числа инцидентов, масштаб одной атаки огромен: 76% атак на сервисном уровне были совершены из-за уязвимости Bybit стоимостью 1,4 миллиарда долларов в марте.

Впервые отчёт систематически описывает уникальный путь отмывания денег северокорейских хакеров: зависимость от китайских сервисных провайдеров и микшеров, а также типичный 45-дневный цикл отмывания денег. Это свидетельствует о том, что криптовалютная индустрия сталкивается с государственной поддержкой, высокоорганизованной и хорошо финансируемой «суперугрозой», ставящей беспрецедентные вызовы для сотрудничества глобальных бирж и протоколов в области безопасности и соответствия.

Масштаб краж достигает нового максимума: от «широкой сети» до «охоты и убийств»

Ситуация с кражей криптовалют в 2025 году приняла тревожный оборот: общее количество глобальных краж выросло до 3,4 миллиарда долларов, при этом почти две трети «кредита» достались одному актору — хакерской группе, связанной с северокорейским правительством. Согласно авторитетному отчету Chainalysis, эти хакеры украли не менее 2,02 миллиарда долларов в 2025 году, что на 51% больше, чем в 2024 году, но также почти в 6,7 раза больше, чем в 2020 году. Что ещё важнее, этот рекордный «рекорд» происходит на фоне значительного сокращения числа известных атак, что подчёркивает то, что её тактика была улучшена с частых преследований в прошлом до «хирургических» точных ударов по ценным целям.

Эта модель «меньше, но большой» ярко отражена в данных. В отчете отмечается, что северокорейские хакеры будут ответственны за 76% вторжений на сервисный уровень в 2025 году — это самый высокий процент в истории. «Уровень сервиса» здесь в основном относится к централизованным биржам (CEX), кастодианам и другим платформам, которые хранят большое количество пользовательских активов. Самым показательным событием стала атака на Bybit стоимостью $1,4 миллиарда в марте 2025 года, которая составила подавляющее большинство всех украденных северокорейскими хакерами за год. Эндрю Фирман, глава национальной разведки безопасности в Chainalysis, проанализировал: «Эта эволюция — продолжение долгосрочной тенденции. Северокорейские хакеры давно демонстрируют высокий уровень сложности, и их операции в 2025 году демонстрируют продолжение их совершенствования тактики и предпочтительных целей. «Это говорит о том, что злоумышленники стремятся к максимальному соотношению риска и выгоды, сосредотачивая ресурсы на одной цели, которая приносит разрушительную прибыль.

Этот сдвиг представляет структурную угрозу для криптовалютной экосистемы. Когда злоумышленники нацеливаются на основные, системно важные сервисные платформы, их успех не только приводит к огромным финансовым потерям, но и серьёзно подрывает доверие к рынку, вызывая каскадный кризис доверия и регуляторного контроля. В отличие от мелких краж, нацеленных на личные кошельки, эти атаки потрясают саму основу инфраструктуры отрасли.

Инженерия по отмыванию денег: раскрытие 45-дневной сборочной линии по «очистке» фонда

Кража — это только первый шаг, и способ отмыть «чёрные деньги» и в конечном итоге их монетизировать — ключ к замкнутому циклу хакерских операций. Ещё одним ключевым вкладом доклада Chainalysis является чёткое описание высокоспециализированных и спроектированных моделей отмывания денег северокорейских хакерских банд, которые значительно отличаются от типичных киберпреступных банд.

Прежде всего, в плане стратегий перевода средств северокорейские хакеры проявили сильное чувство антирасследования. Они обычно делят огромные суммы украденных денег на небольшие партии менее $500,000 для переводов в блокчейне, при этом более 60% переводов контролируются ниже этого порога. В отличие от этого, хакеры с внегосударственным прошлым предпочитают совершать крупные переводы в миллионы или даже десятки миллионов долларов. Такой подход «разбить на части» значительно увеличивает сложность и стоимость отслеживания в блокчейне, что является отличительной чертой всё более сложной оперативной безопасности (OPSEC).

Во-вторых, с точки зрения выбора услуг их предпочтения отражают географические зависимости и специфические ограничения. Северокорейские хакеры широко используют китайские гарантийные сервисы, брокеров и внебиржевые (OTC) сети, а также сильно полагаются на кроссчейн-мосты и микшеры, такие как Tornado Cash, чтобы скрыть поток средств. Интересно, что они практически не участвуют в протоколах кредитования DeFi и децентрализованных биржах (DEX), которые часто используют другие преступники. Chainalysis отметил, что эти закономерности свидетельствуют о том, что северокорейские акторы по-другому связаны и тесно связаны с конкретными нелегальными сервисными сетями в Азиатско-Тихоокеанском регионе, что может быть связано с исторической реальностью их изоляции от глобальной основной финансовой системы.

45-дневный стандартный процесс отмывания денег для северокорейских хакеров

Фаза 1: Быстрая путаница (дни 0-5)

• Основные цели: Немедленно прекратите прямую связь украденных средств с адресом источника.
• Основные инструменты: Миксер монет, протокол DeFi (для быстрой смены типов активов).
• Назначение: Создайте начальный барьер отслеживания, чтобы выиграть время для последующих действий.

Фаза 2: Интеграция и диффузия (дни 6-20)

• Основные цели: Привлекать средства в более широкую экосистему, чтобы проложить путь к монетизации.
• Основные инструменты: Централизованные биржи, кроссчейн-мосты и услуги по смешиванию вторичных валют с ограниченными требованиями к KYC.
• Назначение: Передача между разными цепями, разными активами и платформами сервисов, что ещё больше размывает путь и начинает контактировать с потенциальными выходными каналами.

Этап 3: Финальная монетизация (День 21-45)

• Основные цели: Конвертация криптоактивов в фиатную валюту или другие формы, которые трудно отследить.
• Основные инструменты: Без KYC-биржи, платформа мгновенных обменов, китайский провайдер внебиржевых услуг, и ремиксирован с основным CEX для объединения легального торгового трафика.
• Назначение: Выполните последний этап отмывания денег, чтобы осознать экономическую ценность кражи.

Тактическая революция: расширение возможностей ИИ и «внутреннее проникновение» становятся новыми убийцами

Такие крупномасштабные кражи и эффективное отмывание денег больше не объясняются традиционными техническими методами. Отчёты Chainalysis и отраслевые сигналы указывают на то, что северокорейские хакеры могут совершать «тактическую революцию» на двух фронтах, получая асимметричное преимущество.

Первая — это глубокое применение искусственного интеллекта (ИИ). Эндрю Фирман ясно дал понять СМИ, что Северная Корея использует ИИ как «сверхдержаву» для своих хакерских операций, особенно в связи с отмыванием денег. «Использование Северной Кореей последовательности и текучесть для облегчения отмывания украденных средств в криптовалюте указывает на использование искусственного интеллекта», — сказал он. Структурный механизм процесса очистки и масштаб операции создают рабочий процесс, сочетающий миксеры монет, DeFi-протоколы и кросс-чейневые мосты… Чтобы так эффективно украсть такое большое количество криптовалюты, Северной Корее необходима крупная сеть отмывания денег и усовершенствованные механизмы для облегчения отмывания, которые могут быть в виде приложений ИИ. «ИИ можно использовать для автоматической генерации и переключения адресов кошельков, оптимизации путей транзакций с целью обхода моделей мониторинга и даже для моделирования обычного поведения пользователей для интеграции в биржи, что значительно усложняет контрмеры.

Вторая — беспрецедентный вектор атаки «личного проникновения». В отчете отмечается, что северокорейские хакеры получают привилегированный доступ, размещая операторов на технических должностях в криптовалютных компаниях (таких как биржи, кастодианы, Web3-компании). В июле ZachXBT, известный он-чейн-следователь, сообщил, что сотрудники, связанные с Северной Кореей, могли проникнуть на 345–920 позиций в глобальной криптоиндустрии. Эта «троянская» атака может разрушить самые сильные внешние линии безопасности изнутри и напрямую открыть чёрный путь для крупномасштабных переводов средств. Кроме того, хакеры маскировались под работодателей или контакты в отрасли, чтобы внедрять фишинг с помощью фейковых видеоконференций и других способов, и в этом году украли более 300 миллионов долларов. Сочетание этих средств затрудняет защитникам не только проблемы с уязвимостями кода, но и с уязвимостями человечности и доверия.

Прогноз на 2026 год: главный вызов для совместной обороны отрасли

Столкнувшись с противником с национальными ресурсами, постоянно меняющимся и безрассудным, криптовалютная индустрия готовится пройти через окончательное стресс-испытание в секторе безопасности в 2026 году. В отчете Chainalysis чётко предупреждается: учитывая растущую зависимость Северной Кореи от кражи криптовалют для финансирования национальных приоритетов и обхода международных санкций, отрасль должна признать, что логика и ограничения действий этого злоумышленника принципиально отличаются от действий обычных киберпреступников.

Направления атаки будущего могут быть более разнообразными. Хотя крупные централизованные биржи, такие как Bybit и Upbit, по-прежнему остаются ценными целями, долгосрочные DeFi-протоколы (такие как инциденты Balancer и Yearn, упомянутые в отчёте) также могут попасть в поле зрения злоумышленника. «Хотя мы не можем предсказать, что произойдёт в 2026 году, мы знаем, что Северная Корея будет стремиться максимизировать целевые доходности — а это значит, что службы с большими резервами должны поддерживать высокие стандарты безопасности, чтобы не стать следующей уязвимостью», — подчеркнул Фирман. ”

Чтобы справиться с этой задачей, уже недостаточно одного агентства бороться в одиночку. В отчёте призывают к быстрому, общеотраслевому скоординированному механизму реагирования. Фирман прокомментировал: «Северная Корея реализует быструю и эффективную стратегию отмывания денег. Поэтому необходим быстрый, общеотраслевой ответ для реагирования. Правоохранительные органы и частный сектор — от бирж до компаний по аналитике блокчейна — должны эффективно координироваться, чтобы перехватить любую возможность, когда средства проходят через стейблкоины или поступают на биржи, где средства могут быть немедленно заморажены. «Это включает обмен разведданными о угрозах в реальном времени, совместную блокировку подозрительных адресов на разных платформах и более тесное судебное сотрудничество с правоохранительными органами по всему миру.

Для обычного инвестора этот отчет является сильным напоминанием о рисках о том, что риск долгосрочного хранения больших объёмов активов в централизованных сервисах, даже на топовых платформах, систематически растёт. Использование аппаратных кошельков для самостоятельного хранения, децентрализация хранения активов и бдительность в отношении непроверенных коммуникаций станут более необходимыми привычками безопасности. В 2026 году наступательная и оборонительная борьба между миром криптовалют и хакерскими организациями на уровне штатов наверняка станет более напряжённой.