## Северокорейские хакеры получили доступ к данным и обновили записи: кражи криптовалют в 2025 году достигли исторического уровня

Криптоиндустрия в 2025 году продолжала сталкиваться с угрозами кибератак со стороны Северной Кореи. Согласно исследованию аналитической компании, хакеры, связанные с Северной Кореей, в этом году перешли к тактике, при которой меньшим числом атак наносят более крупные удары, зафиксировав рекордный масштаб краж. Эти изменения свидетельствуют о том, что злоумышленники стали более точно нацеливаться на уязвимости в безопасности, а их методы проникновения — более изощренными.

### рекордные суммы краж: переход от количества к качеству

С января по начало декабря 2025 года общий объем украденных средств из криптоэкосистемы превысил 3,4 миллиарда долларов, при этом основную долю занимала группа хакеров, связанная с Северной Кореей. За этот год украдено криптоактивов минимум на 2,02 миллиарда долларов, что на 51% больше по сравнению с 2024 годом.

Стоит отметить, что несмотря на снижение количества атак, сумма украденных средств значительно выросла. Это говорит о том, что тактика северокорейских хакеров изменилась. Ранее они пытались осуществлять множество мелких проникновений, а теперь сосредоточились на целенаправленных атаках на более ценные объекты. В результате совокупный ущерб, нанесенный Северной Кореей, достиг 6,75 миллиарда долларов, что стало крупнейшим показателем в истории криптовалют.

Только за три крупнейших инцидента в 2025 году было украдено 69% от общего объема. Разница между крупнейшим единичным случаем и средним ущербом от хакерских атак достигла беспрецедентных масштабов — в 1000 раз. Это превышает даже пик бычьего рынка 2021 года, демонстрируя экстремальный разрыв.

### эволюция методов атак: от проникновения в ИТ-отделы к мошенничеству среди руководства

Методы атак северокорейских хакеров развиваются от простого внутреннего проникновения к более сложным социально-инженерным схемам.

Ранее злоумышленники внедрялись в компании, выдавая себя за ИТ-специалистов, чтобы получить привилегированный доступ. Однако недавние операции показали, что тактика кардинально изменилась. Сейчас группы маскируются под рекрутеров крупных Web3-компаний или AI-компаний, создавая фальшивые процессы найма. Когда жертва переходит к «техническому собеседованию», хакеры требуют логин и пароль, исходный код, VPN-доступ или Single Sign-On (SSO). Получив эти данные, они получают доступ к всей системе.

Еще более опасной тенденцией является использование социальной инженерии для атаки руководителей. Злоумышленники маскируются под фиктивных стратегических инвесторов или представителей компаний, занимающихся поглощениями, и через встречи, называемые «дью-дилидженс», пытаются получить информацию о системах и инфраструктуре.

Такая эволюция схем показывает, что группы из Северной Кореи — это не просто преступные организации, а государственные структуры, стратегически нацеленные на важные компании.

### уникальные схемы отмывания денег: секрет 45-дневного цикла

Хакеры из Северной Кореи используют уникальные схемы при обработке украденных средств. Анализ показывает, что после кражи деньги проходят через цикл, длительностью около 45 дней, прежде чем окончательно конвертируются в фиат.

**Начальный этап (0–5 дней после кражи)**

В первые часы хаоса после атаки объем средств, поступающих в DeFi-протоколы, увеличивается на 370%. Одновременно использование миксинговых сервисов возрастает на 135–150%, формируя «первый слой», усложняющий отслеживание средств. В этот период приоритет — быстро скрыть следы кражи.

**Средний этап (6–10 дней)**

На этапе распределения средств по всей экосистеме увеличивается поток на платформы без необходимости подтверждения и на централизованные биржи (CEX). Использование этих сервисов возрастает на 37–32%. Также активизируется межцепочечное перемещение через кросс-чейн мосты, что усложняет отслеживание.

**Финальный этап (20–45 дней)**

На этом этапе средства поступают на платформы без подтверждения, в залоговые сервисы и в китайские сети отмывания денег. Здесь предполагается их окончательная конвертация в фиат.

Особенно популярны у групп из Северной Кореи китайские сервисы перевода средств и залоговые организации (использование которых увеличивается на 355–1000% и более). Это свидетельствует о тесных связях с подпольными финансовыми сетями Восточной Азии. В то же время использование DeFi-кредитных протоколов и P2P-платформ остается значительно ниже по сравнению с другими группами.

Эта последовательность показывает, что Северная Корея применяет высокоорганизованный подход к отмыванию денег, полагаясь на посредников и юрисдикции с мягким регулированием.

### рост числа жертв личных кошельков: предупреждение для крипто-пользователей

Кражи на личном уровне в 2025 году выросли беспрецедентными темпами. Количество случаев достигло 158 000, что почти в три раза больше по сравнению с 54 000 в 2022 году. Число пострадавших увеличилось с 40 000 до как минимум 80 000.

Этот рост совпадает с расширением использования криптовалют, что отражает увеличение числа обычных пользователей, владеющих активами. Особенно заметен ущерб на блокчейне Solana — около 26 500 пострадавших, что делает его одним из самых уязвимых.

Интересно, что несмотря на рост числа случаев, средний ущерб на один случай снижается. В 2024 году общий ущерб составил 1,5 миллиарда долларов, а в 2025 — 713 миллионов долларов. Это означает, что злоумышленники расширяют целевую аудиторию, но средний размер кражи с каждого пользователя уменьшается.

Анализ рисков по сетям показывает, что Ethereum и TRON имеют наибольший уровень угроз, при этом показатели преступности на 10 000 кошельков у них самые высокие. В то время как сети Base и Solana, несмотря на крупную пользовательскую базу, демонстрируют относительно низкий уровень ущерба. Это свидетельствует о том, что риск кражи зависит не только от количества пользователей, но и от инфраструктуры приложений, характеристик пользователей и наличия криминальных инструментов.

### надежда в DeFi: эффективность инвестиций в безопасность

В период с 2024 по 2025 год тенденции в DeFi разрушили устоявшиеся представления. Несмотря на значительный рост заблокированной стоимости (TVL), уровень потерь из-за хакерских атак остается на низком и стабильном уровне.

Исторически сложилось так, что с ростом масштабов рискованных активов увеличиваются и потери от взломов. В 2020–2021 годах эта закономерность подтверждалась, а в период спада 2022–2023 — сохранялась. Однако в фазе восстановления 2024–2025 эта закономерность перестала работать.

Это свидетельствует о том, что усилия протоколов DeFi по укреплению безопасности начинают приносить реальные результаты. Усиление мониторинга командами протоколов, внедрение систем обнаружения в реальном времени и быстрые механизмы реагирования снижают частоту атак.

**Кейс: успешная защита протокола Venus**

Инцидент с протоколом Venus в сентябре 2025 года продемонстрировал эффективность улучшенных систем безопасности. Злоумышленники получили доступ к системе через взлом клиента Zoom и попытались получить одобрение на перевод 13 миллионов долларов в залог.

Однако за месяц до этого Venus внедрила систему мониторинга безопасности. Она обнаружила аномалии за 18 часов до атаки и сразу же сработала тревога. Это позволило предпринять следующие меры:

- **В течение 20 минут** — приостановить работу протокола и остановить утечку средств
- **В течение 5 часов** — провести проверку безопасности и частично восстановить работу
- **В течение 7 часов** — принудительно ликвидировать позиции злоумышленников
- **В течение 12 часов** — вернуть все украденные средства и полностью восстановить сервис

Особенно важно, что через систему управления было заблокировано еще 3 миллиона долларов активов злоумышленников. В результате они потеряли прибыль и лишились всех украденных средств.

Этот кейс показывает, что безопасность в DeFi — это не только технические меры, но и интегрированная система мониторинга, реагирования и управления.

### будущее угроз доступа к данным и меры противодействия

2025 год показал, что угрозы со стороны Северной Кореи качественно изменились. Количество атак снизилось, но их разрушительная сила возросла, а методы стали более терпеливыми и изощренными. Анализ крупного инцидента в феврале показывает, что после успешных масштабных краж они временно замедляют темп и сосредотачиваются на отмывании денег.

Для криптоиндустрии это создает множество задач: усиление охраны высокоценных целей, повышение осведомленности о уникальных методах отмывания денег Северной Кореи и распознавание характерных 45-дневных циклов. Эти особенности позволяют отличать их от других преступных групп и повышают точность обнаружения и реагирования.

Для Северной Кореи, продолжающей использовать кражи для обхода санкций, текущая деятельность — лишь вершина айсберга. Основная задача на 2026 год — научиться предвидеть и своевременно реагировать на новые крупные атаки.