Зломи північнокорейських хакерів викрали криптовалюту на 51% більше! Цикл відмивання грошей триває 45 днів, загалом викрадено 6,75 мільярдів доларів США

Північнокорейські хакери у 2025 році викрали 20,2 мільярдів доларів у криптовалюті (зростання на 51%), загалом досягнувши 67,5 мільярдів доларів. Кількість атак зменшилася на 74%, але масштаб їх значно зріс, при цьому 15 мільярдів доларів припадає на централізовані біржі (CEX), що становить майже половину за рік. Вони віддають перевагу китайським послугам з відмивання грошей (зростання на 355%), міжланцюговим мостам і протоколам змішування, цикл відмивання займає приблизно 45 днів і складається з трьох етапів.

Зменшення кількості атак північнокорейських хакерів на 74%, але крадіжки зросли на 51%

У 2025 році північнокорейські хакери встановили рекорд у крадіжках криптовалюти, викравши щонайменше 20,2 мільярдів доларів, що на 6,81 мільярдів більше ніж у 2024 році, зростання на 51% у порівнянні з попереднім роком. Це найсерйозніший рік у історії крадіжок криптовалюти північнокорейськими хакерами, причому атаки, організовані Північю, становили 76% усіх випадків проникнення та викрадених коштів, встановивши рекорд. Загалом, сумарна оцінка викрадених криптовалют північнокорейськими хакерами становить щонайменше 67,5 мільярдів доларів.

Ще більш вражаюче, що цей рекордний збиток був досягнутий при значному зменшенні кількості відомих атак. Північнокорейські хакери зменшили кількість атак приблизно на 74%, але середній масштаб кожної атаки значно зріс. Ця зміна відображає вплив масштабної хакерської атаки на платформі Bybit у лютому 2025 року, яка спричинила збитки на суму до 1,5 мільярдів доларів, що становить 74% від усіх викрадених коштів за рік.

Три найбільші атаки становили 69% від загальних збитків, причому крайні значення досягали 1000-кратної медіани. У 2025 році викрадені кошти у найбільшій атаці були у 1000 разів більшими за викрадені у звичайних випадках і навіть перевищували пікові значення 2021 року під час бичачого ринку. Такий зростаючий розрив спричиняє високу концентрацію збитків, і окремі інциденти мають надзвичайно великий вплив на загальні втрати за рік.

Північнокорейські хакери все частіше проникають у криптосервіси через внутрішніх IT-фахівців для отримання привілейованого доступу та здійснення масштабних атак. Цей рекордний рівень атак частково відображає тенденцію до більшої залежності від проникнення IT-спеціалістів у торгові платформи, депозити та Web3-компанії, що прискорює початковий доступ і горизонтальне переміщення, створюючи умови для масштабних крадіжок.

Однак нещодавні хакерські групи, пов’язані з Північю, повністю змінили цю модель. Вони більше не просто подають заявки на вакансії та проникають під виглядом співробітників, а все частіше видають себе за рекрутерів відомих Web3 та AI-компаній, ретельно плануючи фальшиві процеси найму, щоб під прикриттям «технічного відбору» отримати логін-дані, вихідний код і доступ до VPN або SSO їхніх жертв.

45-денний трьохетапний цикл відмивання та перевага китайських сервісів

Аналіз активності на блокчейні, пов’язаної з північнокорейськими хакерами у період з 2022 по 2025 роки, показує, що крадіжки слідують структурованому багатоступінчастому шляху відмивання, який триває приблизно 45 днів. Ця багаторічна модель свідчить про обмеження у операціях північнокорейських хакерів, що може бути пов’язано з обмеженими каналами доступу до фінансових інфраструктур і необхідністю узгодження з певними посередниками.

45-денний трьохетапний цикл відмивання північнокорейських хакерів

0-5 день (миттєве розподілення): Зростання обсягу ліквідності DeFi-протоколів на 370%, зростання сервісів змішування на 135-150%, швидке розмежування між легальними та крадіжками

6-10 день (первинна інтеграція): Зростання платформ без KYC на 37%, централізованих бірж (CEX) на 32%, міжланцюгових мостів на 141%, рух коштів до каналів виведення

20-45 день (довгий хвіст інтеграції): Зростання платформ без KYC на 82%, зростання гарантійних сервісів на 87%, китайських платформ на 45%, завершення обміну фіатних валют

У порівнянні з іншими хакерами, північнокорейські хакери явно віддають перевагу певним етапам відмивання. Вони схильні до використання китайських сервісів з переказу коштів і гарантійних сервісів (зростання на 355% до понад 1000%), що є найяскравішою характеристикою, і сильно залежать від мережі зламаних або слабко контрольованих операцій з відмивання. Використання міжланцюгових мостів зросло на 97%, що свідчить про прагнення ускладнити відстеження активів, а використання сервісів змішування — на 100%, щоб ще більше приховати рух коштів.

Навпаки, північнокорейські хакери явно уникають використання кредитних протоколів (-80%), платформ без KYC (-75%, що дивно нижче за інших хакерів), P2P-платформ (-64%) і DEX (-42%). Це свідчить про те, що їхня діяльність підпорядковується іншим обмеженням і цілям, ніж у нерегульованих злочинних мереж без державної підтримки. Вони широко використовують професійні китайські послуги з відмивання та оффлайн-операції, що свідчить про тісний зв’язок північнокорейських хакерів із нелегальним сектором Азіатсько-Тихоокеанського регіону.

Цей типовий 45-денний цикл відмивання створює важливу інформацію для правоохоронних органів і команд з дотримання законодавства. Розуміння цього часових рамок і етапів допомагає біржам і компаніям з безпеки вчасно вживати заходів щодо блокування і повернення коштів, поки вони ще не повністю відмито.