North Korean hackers stole US$2.02 billion in cryptocurrency in 2025 (up 51%), reaching a total of US$6.75 billion. The number of attacks decreased by 74% but the scale exploded, with CEXs accounting for nearly half of the annual total at US$1.5 billion. They show a preference for Chinese money laundering services (up 355%), cross-chain bridges, and mixing protocols, completing the money laundering cycle in about 45 days in three stages.
North Korean hacker attack frequency decreased by 74%, but theft increased by 51%
In 2025, North Korean hackers set a record for cryptocurrency theft, stealing at least US$2.02 billion, an increase of US$681 million compared to 2024, a 51% year-over-year growth. This was the most severe year on record for North Korean cryptocurrency thefts, with attacks initiated by North Korea accounting for 76% of all stolen funds from intrusion incidents, reaching a historic high. Overall, the total estimated amount stolen by North Korean hackers reached at least US$6.75 billion.
Even more shocking is that this record-breaking loss came despite a significant reduction in known attack incidents. North Korean hackers stole more cryptocurrency with fewer attacks, with attack frequency down about 74%, but the average size of each attack surged. This shift reflects the impact of the large-scale hacking event on Bybit in February 2025, which resulted in losses of up to US$1.5 billion, accounting for 74% of North Korea’s total thefts that year.
The top three hacking incidents accounted for 69% of total losses, with extreme values reaching 1,000 times the median. In 2025, the funds stolen in the largest attack were 1,000 times more than in typical incidents, even surpassing the peak of the 2021 bull market. This widening gap caused losses to be highly concentrated, with a single event having an unusually significant impact on the annual total.
North Korean hackers increasingly infiltrate crypto services by inserting IT personnel to gain privileged access and carry out major attacks. The record-breaking attacks this year may partly reflect North Korea’s reliance on IT personnel to penetrate trading platforms, custodians, and Web3 companies, which can accelerate initial access and lateral movement, creating conditions for large-scale theft.
However, recent hacker groups linked to North Korea have completely overturned this IT worker model. They no longer just apply for positions and infiltrate as employees, but increasingly impersonate recruiters from well-known Web3 and AI companies, carefully orchestrating fake recruitment processes, ultimately using “technical screening” as a pretext to obtain victims’ login credentials, source code, and VPN or SSO access to their current employers.
45 dias de lavagem de dinheiro em três etapas e preferência por serviços em chinês
Análises das atividades on-chain atribuídas a hackers norte-coreanos entre 2022 e 2025 mostram que o dinheiro roubado segue uma rota de lavagem estruturada e em múltiplas etapas, que dura aproximadamente 45 dias. Este padrão de vários anos indica que os hackers norte-coreanos enfrentam restrições operacionais, possivelmente devido às limitações no acesso às infraestruturas financeiras e à necessidade de coordenação com intermediários específicos.
North Korean hackers 45 dias de lavagem em três etapas
Dias 0-5 (imediata segregação): Aumento de 370% no volume de protocolos DeFi, serviços de mixing aumentam entre 135-150%, separando urgentemente fundos roubados de atividades ilícitas
Dias 6-10 (integração preliminar): Plataformas sem KYC aumentam 37%, CEXs crescem 32%, pontes cross-chain aumentam 141%, fluxo de fundos para canais de saída
Dias 20-45 (integração de cauda longa): Plataformas sem KYC aumentam 82%, serviços de garantia aumentam 87%, plataformas em chinês crescem 45%, concluindo troca por moeda fiduciária
Em comparação com outros hackers, os hackers norte-coreanos demonstram uma preferência clara em certos aspectos de lavagem. Eles tendem a favorecer transferências de fundos em chinês e serviços de garantia (aumentos de 355% a mais de 1000%), sendo uma característica marcante, altamente dependente de serviços de garantia em chinês e de redes de lavagem compostas por operadores com controle de conformidade mais fraco. O uso de pontes cross-chain aumentou 97%, refletindo uma forte dependência de transferências entre diferentes blockchains para dificultar o rastreamento. Serviços de mixing aumentaram 100%, indicando maior uso de esses serviços para tentar mascarar o fluxo de fundos.
Por outro lado, os hackers norte-coreanos evitam claramente o uso de protocolos de empréstimo (-80%), plataformas sem KYC (-75%, surpreendentemente abaixo de outros hackers), plataformas P2P (-64%) e DEXs (-42%). Esses padrões indicam que suas operações são influenciadas por restrições e objetivos diferentes dos de criminosos cibernéticos não estatais. Eles fazem uso intensivo de serviços profissionais de lavagem em chinês e de operadores de OTC, indicando uma conexão estreita com atores ilícitos na região Ásia-Pacífico.
Essa janela de aproximadamente 45 dias para operações de lavagem fornece informações cruciais para equipes de aplicação da lei e conformidade. Compreender esse quadro de tempo e os padrões de fases pode ajudar exchanges e empresas de segurança a implementar ações de congelamento e recuperação antes que os fundos sejam completamente lavados.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
