Північнокорейські хакери у 2025 році викрадуть 2,02 мільярди доларів США, 45-денний цикл відмивання грошей розкриває їхні операційні закономірності

2025 рік, криптоіндустрія стикається з безпрецедентними загрозами. За даними щорічного звіту компанії з аналізу безпеки блокчейну Chainalysis, групи хакерів з Північної Кореї, хоча кількість відомих атак знизилася на 74%, встановили новий рекорд за масштабами викрадених коштів. Цей «малий, але точний» режим атак приховує очевидний цикл роботи — від крадіжки до відмивання грошей у середньому за 45 днів, що стає ключовим підказкою для розкриття фінансових потоків Північної Кореї.

У 2025 році криптоіндустрія втратила 3,4 мільярда доларів, рекордний масштаб атак

З січня по грудень 2025 року криптоіндустрія зазнала крадіжок на суму понад 3,4 мільярда доларів. З них, одна подія вплинула на збитки за рік унікальним чином — три найбільші хакерські атаки склали 69% усіх збитків. Найбільш шокуючою є атака на біржу Bybit у лютому, яка спричинила збитки у 1,5 мільярда доларів, що становить абсолютну частку викрадених коштів за місяць.

Джерела викрадених коштів мають нові характеристики. Кількість інцидентів з крадіжкою з особистих гаманців зросла до 158 000 (новий рекорд з 2022 року), але через масштаб атаки на Bybit частка крадіжок з особистих гаманців у загальних збитках дещо знизилася. Водночас атаки на централізовані сервіси стають дедалі руйнівнішими — хоча такі інциденти трапляються рідше, у першому кварталі 2025 року вони спричинили 88% від усіх збитків за квартал.

Найбільш тривожні дані — різниця між найбільшою атакою та медіанним значенням вперше перевищила 1000 разів. Іншими словами, найбільша крадіжка сягнула у 1000 разів більше за середню, що навіть перевищує співвідношення у піковий період бичачого ринку 2021 року.

Окрема роль Північної Кореї: 76% атак, зменшення відомих інцидентів, але рекордні викрадені суми

За цим всім, групи хакерів з Північної Кореї залишаються найбільшою загрозою для криптоіндустрії. Ця державна група у 2025 році викрала щонайменше 2,02 мільярда доларів криптовалюти, що на 51% більше за 2024 (13,39 мільярда), встановивши рекорд. З 2022 року зловмисники з Північної Кореї викрали у сумі вже 6,75 мільярда доларів.

Дивно, але цей історичний максимум викрадених коштів був досягнутий на тлі значного зменшення кількості відомих атак. Атаки з боку Північної Кореї склали 76% усіх інцидентів (рекорд), але частота окремих атак знизилася. Це свідчить про кардинальну зміну їхньої тактики — вони тепер орієнтуються на якість, а не кількість.

Хакери з Північної Кореї вже застосовують багаторівневі методи проникнення. Спочатку вони через інфільтрацію IT-персоналу отримували привілеї доступу до криптосервісів. Останнім часом цю тактику замінили більш витончені соціальні інженерні атаки. Вони видають себе за рекрутерів відомих Web3 та AI-компаній, ретельно створюють фальшиві процеси найму, щоб обманом отримати логіни, вихідний код, VPN або SSO-доступи.

На рівні топ-менеджменту застосовуються більш приховані методи — під виглядом стратегічних інвесторів або покупців вони через презентації та фальшиві due diligence намагаються отримати доступ до конфіденційних систем і цінної інфраструктури. Така точкова стратегія пояснює, чому вони досягають більшого викрадення за меншу кількість атак — їх цілі — великі сервіси та ключові вузли.

Аналіз роботи Північної Кореї з відмивання грошей: особлива «розподільна» стратегія та 45-денний цикл

На відміну від інших кіберзлочинців, хакери з Північної Кореї мають унікальний та структурований режим відмивання коштів. Їхня діяльність має явну ознаку «розподілу» — понад 60% транзакцій зосереджено на сумі до 50 тисяч доларів, тоді як інші групи розподіляють 60% коштів у межах від 1 до 10 мільйонів доларів.

При виборі сервісів для відмивання грошей вони віддають перевагу переказам через китайські платформи та гарантійні сервіси (на 355% — 1000% вище за інші групи), що свідчить про тісний зв’язок із нелегальними фінансовими мережами Азіатсько-Тихоокеанського регіону. Також вони активно використовують міжланцюгові мости (на 97% більше), щоб переміщати активи між різними блокчейнами, і часто застосовують змішувачі (на 100% більше), щоб приховати рух коштів. Використання професійних сервісів, таких як Huione, перевищує середній показник на 356%.

Вражає, що вони уникають використання кредитних протоколів (менше ніж у 80% інших груп), безKYC-обмінників (менше ніж 75%) та P2P-платформ (менше ніж 64%). Це свідчить, що їхня діяльність регулюється іншими обмеженнями — їм потрібно координуватися з певними посередниками, канали залишаються фіксованими.

За даними за 2022–2025 роки, після масштабних крадіжок їхній цикл руху коштів має високий ступінь структурованості — весь процес триває приблизно 45 днів. Цей цикл відмивання складається з трьох чітких етапів:

Перший етап: термінове розподілення (дні 0–5) — у перші кілька днів після крадіжки спостерігається підвищена активність транзакцій. DeFi-протоколи стають основним напрямком для викрадених коштів, обсяг транзакцій зростає на 370%; також швидко зростає обсяг операцій з змішувачами — на 135–150%. Мета цього етапу — швидко розірвати зв’язок викрадених коштів із їхнім початковим джерелом.

Другий етап: первинне злиття (дні 6–10) — після другої тижні кошти починають рухатися до сервісів, що допомагають інтегрувати їх у широку екосистему. Обсяги переказів на біржі з менш жорсткими KYC та централізовані біржі (CEX) зростають на 37% і 32% відповідно, знову активізуються змішувачі, а міжланцюгові мости (наприклад, XMRt) допомагають розподілити активи між різними ланцюгами — зростання на 141%. Це ключовий період для перенаправлення коштів до фінальних каналів виведення.

Третій етап: довгий хвіст (дні 20–45) — останній етап, коли переважно використовуються сервіси, що дозволяють конвертувати у фіат. Обсяги безKYC бірж зростають на 82%, гарантійних сервісів — на 87%, миттєві біржі — на 61%, а китайські платформи, такі як 汇旺, — на 45%. Платформи з менш жорстким регулюванням (юрисдикції з слабким регулюванням) збільшують свою участь на 33%, завершуючи цикл відмивання.

Цей середній цикл у 45 днів є цінною інформацією для правоохоронних органів і команд з безпеки. Хакери з Північної Кореї зазвичай дотримуються цього графіка, що може свідчити про обмеження у доступі до фінансових каналів і необхідність узгодження з певними посередниками. Хоча частина викрадених коштів може перебувати у «сплячці» місяцями або роками, ця циклічність у процесі активного відмивання створює цінний часовий вікно для відстеження.

Уразливість особистих гаманців: 158 000 крадіжок і нові ризики

У 2025 році кількість крадіжок з особистих гаманців зросла до 158 000, що майже у три рази більше за 2022 (54 000). Кількість постраждалих зросла з 40 000 у 2022 до щонайменше 80 000 у 2025. Ця масштабна хвиля атак на користувачів тісно пов’язана з широким впровадженням криптовалют. Наприклад, у Solana — мережі, відомій активністю особистих гаманців — близько 26 500 постраждалих.

Однак, хоч кількість інцидентів і постраждалих зросла, загальна сума викрадених коштів з особистих гаманців у 2025 році знизилася до 713 мільйонів доларів із пікових 1,5 мільярда у 2024. Це свідчить про те, що зловмисники «розкидають сітку» ширше, але «на кожну рибку — менше наживки» — вони цілеспрямовано атакують більше користувачів, але кожен втрачає менше.

Розподіл ризиків між різними блокчейнами не є рівномірним. За показником викрадених коштів на 100 000 активних гаманців найвищі показники у Ethereum і Tron, особливо у Tron, де, попри меншу кількість користувачів, рівень крадіжок аномально високий. У той час як у Base і Solana, з великим числом користувачів, рівень викрадень нижчий. Це свідчить, що крім технічних особливостей, на рівень крадіжок впливають характеристики користувацьких спільнот, популярність застосунків і локальні кримінальні інфраструктури.

Відновлення DeFi: повернення коштів і підвищення безпеки у 2025 році

У 2025 році безпека у секторі DeFi демонструє яскраву диференціацію, яка контрастує з історичними тенденціями.

За останні чотири роки можна виділити три різні етапи: період експансії 2020–2021 років, коли загальна заблокована вартість (TVL) і збитки від атак зростали синхронно; період спаду 2022–2023 років, коли обидва показники знижувалися; і новий період 2024–2025 років, що характеризується розходженням — TVL значно відновився з мінімуму 2023 року, тоді як збитки від атак залишаються на низькому рівні.

З логіки банківського грабіжника Willie Sutton: «Він грабує банки, бо там гроші». За цією логікою, відновлення TVL у DeFi мало б означати зростання збитків від атак. Але у 2024–2025 роках відбувається протилежне — мільярди доларів знову вливаються у ці протоколи, а збитки від атак залишаються низькими.

Це можна пояснити двома факторами: по-перше, фактичним підвищенням безпеки — хоча TVL зростає, рівень атак знижується, що свідчить про впровадження більш ефективних заходів безпеки у DeFi-протоколах; по-друге, зміною цілей атак — зростання крадіжок з особистих гаманців і атак на централізовані сервіси свідчить про те, що кіберзлочинці переключили увагу з DeFi на інші цілі, що легше атакувати.

Успіх протоколу Venus: 20 хвилин для запобігання викраденню 13 мільйонів доларів

Інцидент з Venus Protocol у вересні 2025 року яскраво демонструє, як покращені механізми безпеки можуть змінити ситуацію. Зловмисники через злом Zoom-аккаунту отримали доступ до системи і спробували викрасти 13 мільйонів доларів, отримавши повноваження на управління рахунком. Це мало стати катастрофою.

Однак, за місяць до цього Venus запустила платформу Hexagate для моніторингу безпеки. Вона виявила підозрілі активності за 18 годин до атаки і одразу сповістила команду. За 20 хвилин після початку атаки, Venus призупинила роботу протоколу і повністю зупинила витік коштів.

Далі реакція була ще швидшою: за 5 годин проведено перевірку безпеки і часткове відновлення функцій; за 7 годин — заблоковано рахунки зловмисників; за 12 годин — повернуто всі викрадені кошти і відновлено сервіс. Найважливіше — через голосування у DAO заблоковано активи зловмисників на суму 3 мільйони доларів, що не дозволило їм отримати прибуток і навіть спричинило їхні втрати.

Цей кейс символізує суттєвий прогрес у безпеці DeFi. Активне моніторинг, швидка реакція і ефективне управління роблять екосистему більш гнучкою і стійкою. Хоча атаки ще трапляються, здатність швидко виявляти, реагувати і навіть повертати кошти стала кардинальною зміною — від «успішна атака означає постійні втрати» до «атаки можна зупинити і навіть повернути».

Майбутні загрози та цикли реагування

Дані 2025 року малюють складну картину еволюції загроз з боку Північної Кореї. Частота атак зменшується, але їхня руйнівна сила зростає, що свідчить про все більш витончені і терплячі методи. Вплив атаки на Bybit на річний цикл показує, що при великих крадіжках Північна Корея зменшує активність і зосереджується на довгостроковому відмиванні.

Для криптоіндустрії ця тенденція вимагає посилення уваги до цінних цілей і підвищення здатності розпізнавати специфічні схеми відмивання, характерні для Північної Кореї. Їхні переваги у виборі сервісів і сумі переказів створюють можливості для виявлення — поведінкові ознаки, що відрізняють їх від інших злочинців, допомагають ідентифікувати їхні ланцюги.

Зростання викрадених сум у 2025 році, незважаючи на зменшення кількості атак на 74%, свідчить, що активність Північної Кореї ще не вичерпана. Основне завдання — вчасно виявити і зупинити нові масштабні атаки, наприклад, подібні до Bybit, використовуючи знання про їхній 45-денний цикл відмивання. Це стане ключовим для правоохоронних органів і команд безпеки.