Зломи криптовалют у 2025 році стануть поворотним моментом: атаки з боку Північної Кореї досягли рекордних 2.02 мільярдів доларів, а цикл відмивання грошей триває приблизно 45 днів

Основні моменти:

2025 рік у криптоіндустрії зустрічає серйозні випробування. За даними Chainalysis, загальна сума викрадених коштів цього року перевищила 3,4 мільярда доларів, з яких лише один великий інцидент склав 1,5 мільярда доларів. Ще більш вражаючим є те, що методи атак стають все більш складними, ускладнюючи захист.

Найбільш тривожним явищем є те, що, незважаючи на зменшення кількості підтверджених атак, сума крадіжок у кожному випадку стрімко зростає. Співвідношення збитків від найбільших атак до середніх випадків вперше перевищило 1000 разів, перевищуючи навіть бум 2021 року.

Рекордні крадіжки Північної Кореї: 20,2 мільярда доларів

Загальна сума викрадених у 2025 році криптовалют, пов’язаних із хакерськими групами з Північної Кореї, склала щонайменше 2,02 мільярда доларів, що на 51% більше порівняно з минулим роком. Це найсерйозніший рік у історії криптовикрадень Північної Кореї, і він становить 76% від усіх підтверджених атак.

Загалом, сума викрадених криптовалют з боку Північної Кореї становить щонайменше 6,75 мільярда доларів, і масштаб цієї діяльності не має рівних серед інших хакерських груп.

Еволюція тактик північнокорейських хакерів стає очевидною. Якщо раніше вони просто проникали як IT-спеціалісти, то тепер:

• видають себе за рекрутерів відомих Web3- та AI-компаній, використовуючи фальшиві процеси найму для отримання логінів, паролів і вихідного коду
• імітують контакти з інвесторами та покупцями для шахрайських угод, отримуючи доступ до системної інформації та цінних інфраструктур
• застосовують складні атаки на управління приватними ключами та процеси підпису, обходячи захист холодних гаманців

Ці тактики зосереджені на стратегічно важливих AI та блокчейн-компаніях, і, ймовірно, мають на меті фінансування державних програм і обходу міжнародних санкцій.

Три найбільші інциденти становлять 69% від усіх збитків

Дані 2025 року свідчать про «екстремізацію» у криптоіндустрії. Збитки від найбільших атак у 1000 разів перевищують середні випадки, і три наймасштабніші інциденти склали 69% від усіх втрат.

Ця концентрація вказує на те, що слабкі місця у безпеці зосереджені на окремих платформах. Атаки спрямовані на великі сервіси з метою максимального впливу, і один успіх може визначити загальну оцінку безпеки за рік.

У сфері особистих гаманців кількість інцидентів стрімко зросла до 158 000 (з 54 000 у 2022), а кількість постраждалих — до 80 000. Водночас середній розмір збитків зменшується, що свідчить про те, що зловмисники охоплюють більше користувачів, але кожен окремий випадок менш масштабний.

Особливо яскравим є випадок мережі Solana, де повідомлено про близько 26 500 постраждалих, що підкреслює серйозність проблем безпеки приватних гаманців.

Модель відмивання грошей Північної Кореї: структурований процес із циклом у 45 днів

Після великих крадіжок хакери з Північної Кореї застосовують дуже структуровані методи відмивання грошей. Цей процес триває приблизно 45 днів і складається з кількох етапів.

Перший етап (0–5 днів): миттєве розподілення

• Вплив DeFi-протоколів зросло на +370%
• Використання міксінгових сервісів — на +135–150%
• Основна мета — швидко ізолювати викрадені кошти від джерела

Другий етап (6–10 днів): поширення по мережах

• Перехід на платформи з меншими вимогами KYC (+37%)
• Поступовий перехід на централізовані біржі (+32%)
• Використання крос-ланцюгових мостів (+141%) для розподілу по інших блокчейнах

Третій етап (20–45 днів): фіналізація у готівку

• Активне використання платформ без KYC (+82%) і забезпечувальних сервісів (+87%)
• Активне застосування китайських мереж відмивання (+33–1000%)
• Обмін на фіатні гроші або інші активи

Відмінною рисою хакерів з Північної Кореї є сильна залежність від китайських мереж відмивання та забезпечувальних сервісів. Більше 60% транзакцій розділено на менше ніж по 50 тисяч доларів, що ускладнює їх відстеження.

Водночас вони майже не використовують:

• кредитні протоколи (-80%)
• платформи без KYC (-75%) — з великим протиріччям
• P2P-платформи (-64%)
• DEX (-42%)

Це свідчить про те, що операції з Північної Кореї залежать від співпраці з довіреними місцевими партнерами, а не від відкритих сервісів.

Еволюція безпеки DeFi: зростання TVL при низьких збитках від хакінгів

Цікаво, що у 2024–2025 роках спостерігається: хоча загальний заблокований обсяг активів (TVL) у DeFi значно відновився після низьких позначок 2023 року, збитки від хакінгів залишаються на низькому рівні.

2020–2021: одночасне зростання TVL і збитків 2022–2023: обидва показники знизилися 2024–2025: TVL зростає, а збитки залишаються стабільно низькими

Це має два важливі значення:

Покращення безпеки Перший період — початок DeFi, коли протоколи були дуже вразливими. Зараз, незважаючи на зростання TVL, збитки від хакінгів не зростають — це свідчить про значне посилення безпеки команд розробників.

Зміщення цілей атак Зростання крадіжок з особистих гаманців і атак на централізовані сервіси свідчить про те, що зловмисники змістили фокус з DeFi на інші цілі.

Прикладом є інцидент у вересні 2025 року, коли завдяки покращеній інфраструктурі безпеки вдалося вчасно виявити підозрілі дії за 18 годин, зупинити протокол і повернути всі викрадені кошти за 12 годин. Особливо важливо, що 3 мільйони доларів, які зловмисники контролювали через голосування, були заморожені, і вони втратили свої активи.

Такий швидкий і ефективний реагування кардинально змінює ситуацію, коли раніше атаки призводили до постійних втрат.

Виклики та уроки для 2026 року

Дані 2025 року показують, що Північна Корея зменшила кількість підтверджених атак на 74%, але збільшила суму викрадених коштів на 51%. Це натякає, що активність, яку видно, — лише верхівка айсберга.

Основні виклики для індустрії у 2026 році:

Підвищення здатності ідентифікувати особливості діяльності Північної Кореї Виявлення характерних ознак — типів сервісів, сум, патернів використання китайських мереж — допоможе швидше реагувати.

Зміцнення захисту цінних цілей Зменшення кількості атак, але зростання їх руйнівної сили вимагає підвищеної обережності щодо шахрайств із наймом і соціальної інженерії, особливо для стратегічних компаній у сфері AI і блокчейну.

Покращення моніторингу та реагування Як показав випадок Venus, активний моніторинг, швидке реагування і рішучі механізми управління допомагають мінімізувати збитки. Стандартизація таких підходів у галузі є необхідною.

Крадіжки з боку Північної Кореї — це не просто кіберзлочини, а стратегічна діяльність на рівні держави. Відстеження їхньої еволюції та методів роботи — ключ до підвищення безпеки всієї індустрії.