Северокорейские хакеры похитили $2 млрд в криптовалюте в 2025 году

• Хакеры КНДР похитили 2 млрд$ в крипто в 2025 году — рост на 51%, несмотря на сокращение числа атак.
• Злоумышленники переориентировались с массовых кампаний на точечные удары по высокоценным биржам.
• Ethereum Foundation выявил 100 агентов КНДР, внедрившихся в крипто-найм.

Хакеры, связанные с государством Северной Кореи, похитили более 2 млрд$ в криптовалюте в 2025 году — это на 51% больше, чем в предыдущем году, согласно новому отчёту об угрозах от компании по кибербезопасности CrowdStrike. Наиболее примечательна не сама сумма, а то, каким образом она была достигнута.

Количество атак сократилось, а результативность каждой отдельной атаки резко возросла. Группировки, аффилированные с КНДР, переключились с масштабных кампаний на меньшее число тщательно спланированных операций против высокоценных бирж и протоколов Web3. 

Почему крипто является мишенью

Анализ CrowdStrike прямо указывает на то, почему сектор криптовалют особенно привлекает государственных акторов Северной Кореи. Похищенные средства можно обналичить и перевести со значительно большей анонимностью, чем при аналогичных кражах из традиционных банковских систем. Вырученные средства почти наверняка отмываются для финансирования военных программ страны.

Сектор финансовых услуг занимает четвёртое место среди наиболее атакуемых отраслей в мире по числу кибератак, согласно тому же отчёту. В рамках этой категории крипто-биржи и инфраструктура Web3 обладают наивысшим сочетанием ликвидности и возможностей для вывода средств, что делает их наиболее эффективными мишенями для государственных акторов, действующих в крупном масштабе.

Инфильтрация проникла внутрь процесса найма

Наиболее тревожной тенденцией в отчёте является то, как злоумышленники получают доступ к крипто-проектам в первую очередь. Традиционная защита периметра больше не является уязвимым звеном. Им стал процесс найма.

В апреле 2025 года Ethereum Foundation выявил 100 лиц, поддерживаемых КНДР, которые напрямую внедрились в крипто-проекты — как правило, в качестве удалённых сотрудников, встроенных в команды разработчиков. Случай с Drift Protocol является наиболее показательным примером. Технические специалисты, аффилированные с КНДР, познакомились с командой Drift Protocol на крупной конференции индустрии криптовалют и выстраивали рабочие отношения на протяжении шести месяцев, прежде чем была выявлена компрометация.

Блокчейн-следователь ZachXBT отследил аналогичные схемы инфильтрации в нескольких компаниях, что свидетельствует о том, что инцидент с Drift был не единичным случаем, а частью скоординированной стратегии.

Как операция эволюционировала

CrowdStrike описывает операционную структуру как значительно усовершенствовавшуюся. Группировки, связанные с КНДР, теперь действуют через распределённых подрядчиков и посреднические сети, специально привязанные к крипто-сектору. Этот децентрализованный подход повышает устойчивость и позволяет быстрее адаптироваться к обновлениям безопасности платформ.

Зависимость от удалённых участников, открытых сред разработки и глобального аутсорсинга в Web3 стала структурной уязвимостью. Каждый удалённый разработчик — потенциальная точка входа. Каждый подрядчик на этапе онбординга — потенциальная угроза компрометации.

Что делает индустрия для решения этой проблемы

Команды безопасности крупных крипто-платформ усиливают мониторинг и меры верификации на протяжении всего процесса онбординга и внесения изменений в код. Проверки биографий углубляются. Верификация личности становится многоуровневой. Коммиты кода от новых участников проверяются всё более тщательно.

Сложность состоит в том, что акторы КНДР продолжают параллельно адаптировать свои методы. По мере того как команды безопасности ужесточают процесс найма, злоумышленники совершенствуют свои легенды, профессиональные сети и тактики социальной инженерии для обхода новых мер контроля.

По теме: Отчёт CertiK показывает, что северокорейские хакеры похитили 1,1 млрд$ в крипто в 2026 году