Північнокорейські хакери у 2025 році встановили рекорд, пограбувавши 2 мільярди доларів у криптовалюті, схему відмивання грошей за 45 днів викрита

Новий звіт аналітичної компанії блокчейн-блокчейну Chainalysis показує, що хакери, пов’язані з Північною Кореєю, у 2025 році вкрали щонайменше $2 мільярди криптовалют — рекордний річний стрибок на 51%, а їхня сукупна крадіжка досягла $6,75 мільярда. Незважаючи на зменшення кількості інцидентів, масштаб однієї атаки величезний: 76% атак на сервісному рівні були здійснені через вразливість Bybit вартістю 1,4 мільярда доларів у березні.

Вперше звіт систематично зображує унікальний шлях відмивання грошей північнокорейських хакерів: покладаючись на китайських сервісних провайдерів і мікшерів, дотримуючись типового 45-денного циклу відмивання грошей. Це свідчить про те, що криптовалютна індустрія стикається з державною, високо організованою та добре фінансованою «суперзагрозою», що створює безпрецедентні виклики для співпраці глобальних бірж і протоколів у сфері безпеки та дотримання вимог.

Масштаб крадіжок досягає нового рівня: від «закидання широкої сітки» до «полювання і вбивств»

Ситуація з крадіжками криптовалюти у 2025 році набула тривожного повороту: загальний обсяг глобальних крадіжок зріс до $3,4 мільярда, причому майже дві третини «кредиту» дісталися одному актору — хакерській групі, пов’язаній із урядом Північної Кореї. Згідно з авторитетним звітом Chainalysis, ці хакери вкрали щонайменше $2,02 мільярда у 2025 році, що на 51% більше, ніж у 2024 році, але також майже у 6,7 раза більше, ніж у 2020 році. Ще важливіше, що цей рекордний «рекорд» з’явився на тлі значного скорочення кількості відомих атак, що підкреслює, що тактика компанії покращилася з частих переслідувань у минулому до «хірургічних» точних ударів по цінних цілях.

Ця модель «менше, але велике» яскраво відображено в даних. У звіті зазначається, що північнокорейські хакери будуть відповідальні за 76% проникнень на сервісний рівень у 2025 році — це найвищий відсоток в історії. «Сервісний рівень» тут переважно стосується централізованих бірж (CEX), кастодіанів та інших платформ, які зберігають велику кількість користувацьких активів. Найбільш репрезентативною подією стала атака на Bybit вартістю $1,4 мільярда у березні 2025 року, яка стала переважною частиною загальної кількості викрадених північнокорейськими хакерами протягом року. Ендрю Фіерман, керівник національної розвідки безпеки в Chainalysis, проаналізував: «Ця еволюція є продовженням довгострокової тенденції. Північнокорейські хакери давно демонструють високий рівень складності, а їхні операції 2025 року демонструють, що вони продовжують вдосконалювати свої тактики та пріоритетні цілі. «Це свідчить про те, що зловмисники прагнуть максимального співвідношення ризику та вигоди, зосереджуючи ресурси на одній цілі, яка приносить руйнівний прибуток.

Цей зсув становить структурну загрозу для екосистеми криптовалют. Коли зловмисники атакують основні системно важливі сервісні платформи, їхній успіх не лише призводить до величезних фінансових втрат, а й серйозно підриває довіру до ринку, що спричиняє каскадну кризу довіри та регуляторного контролю. На відміну від дрібних крадіжок, спрямованих на особисті гаманці, ці атаки хитають саму основу інфраструктури індустрії.

Інженерія відмивання грошей: розкриття 45-денної «очищення» конвеєра фонду

Крадіжка — це лише перший крок, і як відмити «чорні гроші» і зрештою монетизувати їх — ключ до замкнутого кола хакерських операцій. Ще одним ключовим внеском звіту Chainalysis є чітке окреслення високоспеціалізованих і спроєктованих моделей відмивання грошей північнокорейських хакерських банд, які суттєво відрізняються від звичайних кіберзлочинних угруповань.

По-перше, щодо стратегій переказів коштів, північнокорейські хакери проявляють сильне антирозслідування. Вони зазвичай ділять величезні суми викрадених грошей на невеликі партії менш ніж $500,000 для переказів у блокчейні, при цьому понад 60% переказів контролюється нижче цього порогу. Натомість хакери з недержавним бекграундом віддають перевагу великим переказам у мільйони або навіть десятки мільйонів доларів. Такий підхід «розбиття на частини» значно підвищує складність і вартість ончейн-трекінгу, що є характерною рисою зростаючої складності операційної безпеки (OPSEC).

По-друге, щодо вибору послуг, їхні вподобання виявляють їхні географічні залежності та специфічні обмеження. Північнокорейські хакери широко використовують китайські гарантійні сервіси, брокерів і позабіржові (OTC) мережі, а також значною мірою покладаються на крос-чейн-мости та мікшери, такі як Tornado Cash, щоб приховати потік коштів. Цікаво, що вони майже не беруть участі у протоколах кредитування DeFi та децентралізованих біржах (DEX), які часто використовують інші злочинці. Chainalysis зазначила, що ці тенденції свідчать про те, що північнокорейські актори по-іншому пов’язані і тісно пов’язані з конкретними нелегальними сервісними мережами в Азіатсько-Тихоокеанському регіоні, що може бути пов’язано з історичною реальністю ізоляції від глобальної основної фінансової системи.

45-денний стандартний процес відмивання грошей для північнокорейських хакерів

Фаза 1: Швидка плутанина (дні 0-5)

• Основні цілі: Негайно припинити прямий зв’язок із викраденими коштами з адресою джерела.
• Основні інструменти: Мікшер монет, протокол DeFi (для швидкої зміни типів активів).
• Мета: Створити початковий бар’єр для відстеження, щоб виграти час для наступних дій.

Фаза 2: Інтеграція та дифузія (Дні 6-20)

• Основні цілі: Залучення коштів у ширшу екосистему, щоб прокласти шлях до монетизації.
• Основні інструменти: Централізовані біржі, крос-чейн-мости та сервіси змішування вторинних валют із гнучкими вимогами до KYC.
• Мета: Передача між різними ланцюгами, різними активами та різними сервісними платформами, ще більше розмиваючи шлях і починаючи контактувати з потенційними вихідними каналами.

Етап 3: Фінальна монетизація (День 21-45)

• Основні цілі: Конвертація криптоактивів у фіатну валюту або інші форми, які важко відстежити.
• Основні інструменти: Без KYC-біржі, платформа миттєвого обміну, китайський OTC-провайдер, і реінтегрований у основний CEX, щоб об’єднати легальний торговий трафік.
• Мета: Виконати останній крок відмивання грошей, щоб усвідомити економічну цінність крадіжки.

Тактична революція: розширення можливостей ШІ та «внутрішнє проникнення» стають новими вбивцями

Такі масштабні крадіжки та ефективне відмивання грошей більше не пояснюються традиційними технічними методами. Звіти Chainalysis та індустрії вказують, що північнокорейські хакери можуть здійснювати «тактичну революцію» на двох фронтах, отримуючи асиметричну перевагу.

Перша — це глибоке застосування штучного інтелекту (ШІ). Ендрю Фіерман чітко дав зрозуміти ЗМІ, що Північна Корея використовує ШІ як «наддержаву» для своїх хакерських операцій, особливо у зв’язку з відмиванням грошей. «Використання Північною Кореєю послідовності та гнучкості для полегшення відмивання своїх викрадених коштів у криптовалюті свідчить про використання штучного інтелекту», — сказав він. Структурний механізм процесу очищення та масштаб операції створюють робочий процес, що поєднує мікшери монет, DeFi-протоколи та крос-чейн-мости… Щоб так ефективно викрасти таку велику кількість криптовалют, Північній Кореї потрібна велика мережа відмивання грошей і оптимізовані механізми для полегшення відмивання, що може бути у вигляді додатків на основі ШІ. «ШІ можна використовувати для автоматичної генерації та перемикання адрес гаманця, оптимізації шляхів транзакцій для обходу моделей моніторингу та навіть для моделювання нормальної поведінки користувачів для інтеграції в біржі, що значно ускладнює контрзаходи.

Друга — це безпрецедентний вектор атаки «проникнення персоналу». У звіті зазначено, що північнокорейські хакери отримують привілейований доступ, розміщуючи операторів на технічних посадах у криптовалютних компаніях (таких як біржі, кастодіани, Web3-компанії). У липні ZachXBT, відомий слідчий у сфері блокчейну, повідомив, що співробітники, пов’язані з Північною Кореєю, могли проникнути на 345–920 позицій у світовій криптоіндустрії. Ця «троянська» атака може демонтувати найміцніші зовнішні лінії безпеки зсередини та безпосередньо відкрити чорний хід для масштабних переказів коштів. Крім того, хакери замаскувалися під роботодавців або контакти з індустрією, щоб впроваджувати фішинг через фейкові відеоконференції та інші способи, і цього року вкрали понад 300 мільйонів доларів. Поєднання цих засобів ускладнює захисникам боротьбу не лише з вразливостями коду, а й із слабкими місцями людяності та довіри.

Прогноз на 2026 рік: Головний виклик для спільної оборони галузі

Стикнувшись із супротивником із національними ресурсами, постійно змінюваним і безрозсудним, криптовалютна індустрія готова пройти через найвищий стрес-тест у секторі безпеки у 2026 році. Звіт Chainalysis робить чітке попередження: враховуючи зростаючу залежність Північної Кореї від крадіжки криптовалют для фінансування національних пріоритетів і обходу міжнародних санкцій, індустрія має усвідомити, що логіка та обмеження дій цього зловмисника принципово відрізняються від дій звичайних кіберзлочинців.

Вектори атаки майбутнього можуть бути більш різноманітними. Хоча великі централізовані біржі, такі як Bybit і Upbit, залишаються цінними цілями, довготривалі DeFi-протоколи (наприклад, інциденти Balancer і Yearn, згадані у звіті) також можуть потрапити в поле зору зловмисника. «Хоча ми не можемо передбачити, що станеться у 2026 році, ми знаємо, що Північна Корея прагнутиме максимізувати свої цільові прибутки — а це означає, що служби з великими резервами повинні підтримувати високі стандарти безпеки, щоб не стати наступною вразливістю», — підкреслив Фіерман. ”

Щоб впоратися з цим викликом, вже недостатньо, щоб одна агенція боролася самотужки. Звіт закликає до швидкого, загальногалузевого скоординованого механізму реагування. Фіерман прокоментував: «Північна Корея впроваджує швидку та ефективну стратегію відмивання грошей. Тому потрібна швидка, загальногалузева реакція для реакції. Правоохоронні органи та приватний сектор — від бірж до аналітичних компаній блокчейну — повинні ефективно координуватися, щоб перехопити будь-яку можливість, коли кошти проходять через стейблкоїни або потрапляють на біржі, де кошти можна негайно заморозити. «Це включає обмін розвідкою про загрози в реальному часі, спільне блокування підозрілих адрес на різних платформах та тіснішу судову співпрацю з правоохоронними органами по всьому світу.

Для середньостатистичного інвестора цей звіт є сильним нагадуванням про ризики, що ризик довготривалого зберігання великих обсягів активів у централізованих сервісах, навіть на топових платформах, систематично зростає. Впровадження апаратних гаманців для самостійного зберігання, децентралізація зберігання активів і пильність щодо будь-яких неперевірених комунікацій стануть більш необхідними звичками безпеки. У 2026 році наступальна та оборонна боротьба між криптовалютним світом і хакерськими організаціями державного рівня, без сумніву, стане більш напруженою.