76% криптокраж в 2025 году связаны с Северной Кореей - Отчёт Chainalysis

В отчёте, опубликованном компанией Chainalysis, говорится, что связанные с Северной Кореей киберпреступные группы в 2025 году установили рекорд в сфере краж криптоактивов. По имеющимся данным, поддерживаемые государством хакеры за год похитили цифровые активы на сумму более 2 млрд долларов США.

Как сообщает Valyuta.az, этот показатель означает рост на 51% по сравнению с предыдущим годом и составляет значительную часть из общего объёма украденных в мире в 2025 году криптоактивов на сумму 3,4 млрд долларов.

В отчёте Chainalysis отмечается: «С точки зрения общей стоимости похищенных активов 2025 год стал самым тяжёлым за всю историю для Северной Кореи. Атаки северокорейского происхождения составили 76% всех нарушений, направленных против централизованных сервисов».

Одной из ключевых причин резкого роста криптокраж стал осуществлённый Северной Кореей в феврале 2025 года взлом криптобиржи Bybit. В результате атаки были похищены цифровые активы на сумму около 1,5 млрд долларов.

Именно этот инцидент сыграл решающую роль в формировании рекордных показателей за год.

Ещё одним заметным изменением, отражённым в отчёте, стало смещение фокуса атак в сторону индивидуальных криптокошельков. В 2025 году на них пришлось 44% от общей стоимости похищенных активов, тогда как в 2022 году этот показатель составлял лишь 7,3%.

Связанные с Северной Кореей группы в течение года атаковали около 158 тыс. отдельных кошельков, в результате чего прямой ущерб понесли почти 80 тыс. пользователей.

Chainalysis связывает этот рост с увеличением интереса к инвестициям в криптоактивы. Так, атаки на кошельки, связанные с сетью Solana, привели более чем к 26,5 тыс. пострадавших.

В целом, по имеющимся данным, в 2025 году северокорейские кибергруппы стали доминирующим игроком в сфере криптокраж. С момента начала наблюдений совокупная сумма активов, похищенных в результате атак, приписываемых Северной Корее, оценивается в 6,75 млрд долларов.

В Chainalysis обратили внимание на то, что рекордные показатели были достигнуты на фоне снижения числа зафиксированных атак, и предупредили: «Рекорд 2025 года был достигнут при сокращении количества известных атак на 74%. Это может означать, что мы видим лишь вершину айсберга. Основной вызов 2026 года — выявлять и предотвращать подобные операции без повторения атаки масштаба Bybit».

Отмечается, что в 2025 году Северная Корея была ответственна за 76% атак на централизованные криптосервисы. Ключевую роль в этом сыграли методы компрометации приватных ключей и попытки проникновения в криптокомпании.

Тактика внедрения подставных IT-специалистов в западные компании известна давно, однако в 2025 году она была усовершенствована. Северокорейские группы начали выступать в роли работодателей для крипто- и web3-компаний.

В рамках таких фиктивных процессов найма проводятся технические собеседования, у кандидатов запрашивается доступ к системам, после чего злоумышленники получают удалённый доступ к исходным кодам, учётным данным и корпоративным сетям.

Топ-менеджеры, в свою очередь, становятся целями под видом инвесторов или предложений о покупке бизнеса. Через фальшивые презентации и формальные «процедуры проверки» изучаются пути доступа к критически важной инфраструктуре. Такой подход отражает более сложную модель социальной инженерии, ориентированную прежде всего на компании в сфере искусственного интеллекта и блокчейна.

По мнению исследователей, концентрация Северной Кореи на индивидуальных кошельках и централизованных сервисах привела к относительному снижению интереса к DeFi — децентрализованным финансовым протоколам, которые ранее часто становились объектами атак.

DeFi-протоколы позволяют осуществлять операции кредитования и заимствования без посредников с помощью смарт-контрактов. Крупные пулы активов, хранящиеся в таких контрактах, в прошлые годы считались особенно привлекательными целями для хакеров.

Ещё одним важным показателем является Total Value Locked (TVL), отражающий общий объём активов, заблокированных пользователями в DeFi-протоколах. С ростом TVL увеличивается и потенциальный объём потерь.

Однако, по данным Chainalysis, статистика за 2024 и 2025 годы демонстрирует отход от этой тенденции. Несмотря на продолжающийся рост TVL, снижение числа атак на протоколы свидетельствует об укреплении стандартов безопасности в сфере DeFi.

При этом сектор DeFi по-прежнему нельзя считать полностью безопасным. В последнее время были зафиксированы атаки на платформы Garden и Balancer, однако соотношение потерь к общему объёму заблокированных активов значительно снизилось по сравнению с предыдущими годами.

Автор: Паша Мамедли