Северокорейские хакеры украли криптовалюту на сумму 2 миллиарда долларов в 2025 году

• Хакеры КНДР украли криптовалюту на сумму 2 миллиарда долларов в 2025 году, что на 51% больше, несмотря на меньшее количество атак.
• Злоумышленники переключились с масштабных кампаний на точные удары по ценным биржам.
• Ethereum Foundation выявил 100 участников КНДР, проникших в крипто-каналы найма.

Северокорейские государственные хакеры украли более 2 миллиардов долларов в криптовалюте в 2025 году, что на 51% больше, чем в предыдущем году, согласно новому отчету компании по кибербезопасности CrowdStrike по угрозам. Самая поразительная деталь — не сама сумма доллара, а то, как эта сумма была достигнута.

Количество атак сократилось, а процент успешности одного удара резко вырос. Группы, связанные с КНДР, перешли от проведения кампаний с большим объёмом на проведение меньших, более тщательно целенаправленных операций против ценных бирж и протоколов Web3.

Почему криптовалюта — цель

Анализ CrowdStrike прямо касается того, почему криптовалютный сектор именно привлекает государственных деятелей Северной Кореи. Украденные средства можно обналичить и перевести с гораздо большей анонимностью, чем эквивалентные кражи из традиционных банковских систем. Вырученные средства почти наверняка отмываются для финансирования военных программ страны.

Финансовый сектор сейчас занимает четвёртое место в мире по количеству нацеливаемых отраслей для кибератак, согласно тому же отчету. В этой категории криптобиржи и инфраструктура Web3 обладают наивысшим сочетанием ликвидности и выходной ликвидности, что делает их наиболее эффективными целями для государственных акторов, работающих в масштабах.

Проникновение проникло внутрь набора сотрудников

Самая тревожная эволюция в отчёте — это то, как злоумышленники вообще получают доступ к криптопроектам. Традиционная охрана периметра больше не является точкой отказа. Процесс найма — это процесс найма.

В апреле 2025 года Ethereum Foundation выявил 100 людей, поддерживаемых КНДР, которые напрямую проникли в криптопроекты, обычно в виде удалённых сотрудников, встроенных в команды разработчиков. Самый яркий пример — случай с протоколом дрейфа. Специалисты по технологиям, связанные с КНДР, встретились с командой Drift Protocol на крупной конференции по криптовалютной индустрии и выстроили шестимесячные рабочие отношения, прежде чем был выявлен компромисс.

Ончейн-следователь ZachXBT отслеживал схожие паттерны проникновения в нескольких компаниях, что говорит о том, что инцидент с Drift был не единичным, а частью скоординированной стратегии.

Как развивалась операция

CrowdStrike описывает операционную структуру как значительно зрелую. Группы, связанные с КНДР, теперь работают через распределённых подрядчиков и посреднические сети, специально связанные с криптосектором. Такой децентрализованный подход повышает устойчивость и позволяет быстрее адаптироваться к обновлениям безопасности платформы.

Зависимость от удалённых участников, открытых сред разработки и глобального аутсорсинга в Web3 стала структурной уязвимостью. Каждый удалённый разработчик — потенциальная точка входа. Каждый подрядчик на работу — это потенциальный компромисс.

Что индустрия делает в этом вопросе

Команды безопасности на крупных криптоплатформах увеличивают меры мониторинга и верификации на этапах онбординга и внесения кода. Проверки биографии углубляются. Проверка личности проходит многоуровнево. Коде-коммиты новых участников проверяются более агрессивно.

Проблема в том, что актёры КНДР продолжают адаптировать свои техники параллельно. По мере того как команды безопасности ужесточают процесс найма, злоумышленники совершенствуют свои легенды, профессиональные сети и тактики социальной инженерии, чтобы обойти новые механизмы контроля.

Связанный: Отчёт CertiK показывает, что северокорейские хакеры украли 1,1 млрд долларов в криптовалюте в 2026 году