Кражи криптовалют в 2025 году станут поворотным моментом: атаки Северной Кореи достигнут рекордных 2,02 миллиарда долларов, а цикл отмывания денег составит около 45 дней

Основные моменты:

2025 год в криптоиндустрии сталкивается с серьезными испытаниями. Согласно данным Chainalysis, общий объем украденных средств в этом году превысил 3,4 миллиарда долларов, из которых только один крупный инцидент составил 1,5 миллиарда долларов. Еще более шокирующим является то, что методы атак становятся все более сложными, а защита — все труднее.

Самое тревожное явление — несмотря на снижение количества подтвержденных атак, сумма украденных средств в одной операции резко увеличивается. Соотношение потерь при крупнейших атаках и средних инцидентах впервые превысило 1000 раз, превзойдя даже бычий рынок 2021 года.

Записи о кражах, связанных с Северной Кореей: рекордные 2,02 миллиарда долларов

Объем краж, связанных с хакерскими группами, действующими из Северной Кореи, в 2025 году достиг как минимум 2,02 миллиарда долларов, что на 51% больше по сравнению с прошлым годом. Это самый тяжелый год в истории криптоворовых краж Северной Кореи, он занимает 76% всех подтвержденных атак.

В целом, сумма украденных Северной Кореей криптовалют составляет не менее 6,75 миллиарда долларов, и масштаб этого превышает любые другие хакерские группы.

Эволюция методов северокорейских хакеров становится очевидной. Ранее они просто внедрялись как ИТ-специалисты, а сейчас:

• маскируются под рекрутеров известных Web3 и AI-компаний, используя ложные процессы найма для получения логинов, паролей и исходных кодов
• притворяются инвесторами или покупателями, чтобы связаться с руководством и получить доступ к системной информации и ценным инфраструктурам
• используют сложные атаки на управление приватными ключами и процессы подписи, обходя защиту холодных кошельков

Эти методы сосредоточены на стратегически важных AI и блокчейн-компаниях, что указывает на государственный уровень финансирования и уклонение от международных санкций.

Три крупнейших инцидента составляют 69% всех потерь

Данные 2025 года показывают «экстремализацию» в криптоиндустрии. Самые крупные атаки украли средства, превышающие в 1000 раз обычные случаи, и 69% всех потерь сосредоточено в трех крупнейших инцидентах.

Это свидетельствует о высокой концентрации уязвимостей в отдельных платформах. Атака на крупные сервисы — стратегия, ориентированная на максимальный эффект, что приводит к тому, что один успешный взлом может существенно повлиять на общую оценку безопасности за год.

В области личных кошельков число инцидентов резко выросло до 158 000 (по сравнению с 54 000 в 2022), а число пострадавших достигло 80 000 человек. Однако средний ущерб снижается, что говорит о том, что злоумышленники расширяют целевую аудиторию, но уменьшают размер каждого отдельного ущерба.

Особенно ярко это проявляется в сети Solana, где зарегистрировано около 26 500 пострадавших, что подчеркивает серьезность проблем с безопасностью личных кошельков.

Модель отмывания денег, уникальная для Северной Кореи: структурированный процесс с циклом в 45 дней

После крупных краж северокорейские хакеры используют очень структурированные методы отмывания денег, проходящие через цикл примерно в 45 дней и состоящие из нескольких этапов.

Первый этап (0–5 дней): мгновенное распределение

• Вливания в DeFi-протоколы выросли на +370%
• Использование микшеров — на +135–150%
• Основная задача — немедленное отделение украденных средств от источника

Второй этап (6–10 дней): распространение по широкому спектру

• Переводы на платформы с низкими требованиями KYC (+37%)
• Постепенный переход на централизованные биржи (+32%)
• Распределение через кросс-чейн мосты (+141%)

Третий этап (20–45 дней): окончательное превращение в наличные

• Активное использование платформ без KYC (+82%) и залоговых сервисов (+87%)
• Активное использование китайских сетей отмывания денег (+33–1000%)
• В конечном итоге — обмен на фиат или другие активы

Отличительной чертой северокорейских хакеров является сильная зависимость от китайских сетей отмывания и залоговых платформ. Более 60% транзакций делится на части по 50 000 долларов или менее, что усложняет отслеживание — так называемая стратегия «мелких порций».

При этом они почти не используют:

• кредитные протоколы (-80%)
• платформы без KYC (-75%) — несмотря на противоречия
• P2P-платформы (-64%)
• DEX (-42%)

Это говорит о том, что операции Северной Кореи в основном зависят от доверенных местных партнеров и избегают свободных посредников, предпочитая надежные каналы.

Эволюция безопасности DeFi: рост TVL при низких потерях от взломов

Интересный феномен наблюдается в 2024–2025 годах. Несмотря на значительный рост общего заблокированного объема (TVL) в DeFi после минимальных значений 2023 года, потери от хакерских атак остаются на низком уровне.

2020–2021: рост TVL и потерь одновременно 2022–2023: снижение обоих показателей 2024–2025: восстановление TVL при стабильных низких потерях

Это имеет два важных значения:

Улучшение мер безопасности Период 2020–2021 годов, когда DeFi только начинал развиваться, характеризовался крайне слабой безопасностью протоколов. Сейчас, несмотря на рост TVL, потери от взломов не увеличиваются — это свидетельство того, что команды разработчиков значительно усилили защиту.

Смена целей атакующих Параллельно с этим наблюдается рост краж личных кошельков и атак на централизованные сервисы, что говорит о смещении внимания злоумышленников с DeFi на другие цели.

Примером служит инцидент в сентябре 2025 года: благодаря улучшенной инфраструктуре безопасности, при попытке взлома через клиента обнаружили подозрительную активность за 18 часов до атаки. В течение 20 минут протокол был остановлен, и средства не были украдены. В течение 12 часов все украденные средства были возвращены. Особенно важно, что 3 миллиона долларов, находившиеся под контролем злоумышленника через говернанс, были заморожены — что привело к тому, что злоумышленник потерял свои деньги.

Такая оперативность и эффективность показывают, что ситуация с безопасностью в DeFi значительно улучшилась по сравнению с начальным периодом, когда атаки зачастую приводили к необратимым потерям.

Вызовы и уроки для индустрии в 2026 году

Данные 2025 года показывают противоречивую картину: Северная Корея снизила число подтвержденных атак на 74%, одновременно увеличив сумму украденных средств на 51%. Это говорит о том, что видимая активность — лишь малая часть реальных действий.

Ключевые задачи криптоиндустрии на 2026 год:

Усиление распознавания уникальных характеристик киберпреступлений Северной Кореи Обнаружение специфических типов сервисов, тенденций по суммам переводов, паттернов использования китайских сетей — все это поможет быстрее выявлять и предотвращать атаки.

Укрепление защиты ценных целей Несмотря на снижение количества атак, их разрушительная сила растет. Необходима повышенная бдительность к сложным методам, таким как фишинг и социальная инженерия, особенно для стратегически важных компаний в AI и блокчейн-секторе, где стандартные меры недостаточны.

Повышение уровня мониторинга и реагирования Как показал инцидент с Venus, активное наблюдение, быстрое реагирование и решительные меры говернанс позволяют минимизировать ущерб. В индустрии необходимо стандартизировать такие подходы.

Кражи, связанные с Северной Кореей, — это не просто киберпреступления, а стратегическая деятельность на государственном уровне. Отслеживание их методов и эволюции — важнейшая задача для повышения общей безопасности отрасли.