Хакер Північної Кореї вкрали 2,83 мільярда USD crypto менш ніж за два роки: Звіт

Новий звіт від Групи моніторингу багатосторонніх санкцій (MSMT) повідомляє, що групи хакерів з Північної Кореї вкрали загалом 2,83 мільярда USD криптоактивів у період з січня 2024 року по вересень 2025 року.

Ця цифра становить майже третину від загального доходу іноземної валюти Північної Кореї у 2024 році, що відображає зростаючу залежність Пхеньяна від кіберзлочинності для обходу міжнародних санкцій.

Атака на Bybit є найбільшою

MSMT — альянс, що складається з 11 країн, створений у жовтні 2024 року — був заснований для моніторингу способів, якими Північна Корея ухиляється від розрізання через кібератаки. Останній звіт показує, що обсяги крадіжки криптовалюти суттєво зросли в 2025 році, з 1,64 мільярда USD, викраденими лише за перші 9 місяців року, що на 50% більше, ніж 1,19 мільярда USD попереднього року.

Більшість цих грошей походить з атаки на біржу Bybit у лютому 2025 року, яку, як вважається, здійснила група TraderTraitor (, також відома як Jade Sleet або UNC4899). Хакери націлилися на SafeWallet, постачальника мультипідписних гаманців Bybit, надіславши фішингові електронні листи з шкідливим ПЗ для проникнення в внутрішню систему. Потім вони замаскували транзакції з переведення грошей за межі як внутрішні транзакції, захопивши контроль над смарт-контрактом холодного гаманця та вивівши гроші без виявлення.

Згідно з MSMT, групи хакерів з Північної Кореї зазвичай не атакують безпосередньо біржі, а зосереджуються на сторонніх постачальниках послуг. Такі групи, як TraderTraitor, CryptoCore та Citrine Sleet, використовують підроблені профілі розробників, вкрадені особистості та глибокі знання про програмне забезпечення для здійснення атак.

Одним із значних випадків є проект Web3 Munchables, який був вкрадений на 63 мільйони USD, але ці гроші пізніше були повернуті, коли команда хакерів зіткнулася з проблемами під час процесу відмивання грошей.

Складний процес відмивання грошей

Аналіз MSMT описує дев'ятиетапний процес відмивання грошей, який часто використовують північнокорейські хакери для конвертації викрадених криптовалют у готівку. Процес починається з обміну викрадених активів на Ethereum (ETH) на децентралізованих біржах, після чого використовуються сервіси змішування, такі як Tornado Cash і Wasabi Wallet, для видалення слідів транзакцій.

ETH потім конвертується в Bitcoin (BTC) через мости, знову змішується, зберігається в холодному гаманці, а потім конвертується в Tron (TRX) перед обміном на USDT. Нарешті, USDT надсилається брокерам OTC, які обмінюють його на готівку.

Звіт визначає осіб та підприємства в Китаї, Росії та Камбоджі, які відіграють ключову роль у цьому процесі.

• В Китаї громадяни Ye Dinrong та Tan Yongzhi з Shenzhen Chain Element Network Technology, разом з трейдером Wang Yicong, сприяли переміщенню грошей та створенню фальшивої ідентичності.
• У Росії посередники відмили близько 60 мільйонів USD з справи Bybit через мережу OTC.
• Що стосується Камбоджі, платформа Huione Pay (, якою керує двоюрідний брат прем'єр-міністра Хун Манета, була виявлена у сприянні переказу грошей, незважаючи на те, що ліцензія не була продовжена центральним банком.

MSMT також повідомив, що хакери з Північної Кореї співпрацювали з російськими кіберзлочинцями з 2010 року, а в 2025 році група Moonstone Sleet орендувала програмне забезпечення для викрадення даних у російської банди Qilin.

Перед цією наростаючою загрозою 11 країн-членів SMT випустили спільну заяву, закликаючи країни-члени Організації Об'єднаних Націй посилити усвідомлення кіберактивності Північної Кореї, а також закликали Раду Безпеки ООН відновити Комісію експертів з моніторингу санкцій у масштабах і з повноваженнями, які були до її розпуску.

Тхач Сань