Хакеры, связанные с Северной Кореей, украли около $2,06 миллиарда из $3,4 миллиарда, потерянных в результате взломов криптовалют в 2025 году. Согласно новому отчёту компании CertiK, злоумышленники переходят от фишинга к физическому проникновению, что свидетельствует об «индустриализации» криптопреступности.
Северная Корея контролирует 60% всех криптохищений
Специалисты CertiK подсчитали, что на долю северокорейских группировок пришлось более 60% всех украденных средств. При этом объём похищенного за год вырос на десятки процентов по сравнению с предыдущими периодами. Ключевой вывод отчёта — эволюция тактики: если раньше хакеры полагались в основном на фишинг (мошеннические письма и сайты), то теперь они активно используют социальную инженерию и даже физическое проникновение в офисы криптокомпаний, что позволяет обходить традиционные системы безопасности.
Ранее мы писали, что трое мужчин в США были обвинены в серии ограблений криптоинвесторов с помощью физического насилия.
По данным аналитиков, отмывание средств также поставлено на поток. Северокорейские хакеры используют сложные многоуровневые схемы, включая миксеры, мосты между блокчейнами и децентрализованные биржи (DEX — биржи без центрального органа управления).
Общий объём отмытых средств за 2025 год, по оценкам CertiK, превысил $1,5 миллиарда.
Как хакеры проникают в офисы под видом сотрудников
Злоумышленники внедряются в команды криптопроектов под видом соискателей на вакансии или через подставные компании. Получив доступ к внутренней сети, они устанавливают вредоносное ПО или похищают закрытые ключи напрямую. В отчёте приводится несколько примеров, когда хакеры:
Напомним, что ранее хакеры применили ИИ для создания zero-day атаки и обхода 2FA, согласно отчёту Google.
- использовали поддельные резюме для трудоустройства в стартапы.
- организовывали фальшивые инвестиционные раунды для доступа к серверам.
- нанимали местных жителей в странах с низким уровнем кибербезопасности для физического проникновения в дата-центры.
Особую тревогу вызывает тот факт, что такие атаки сложно предотвратить стандартными средствами — аудитом безопасности смарт-контрактов или двухфакторной аутентификацией.
Почему старые методы защиты перестают работать
Проблема северокорейского взлома криптобирж не нова: ещё в 2019 году ООН в своих докладах указывала на КНДР как на главного киберворов в индустрии. Однако отчёт CertiK показывает, что масштаб и сложность атак вышли на принципиально новый уровень. Для крипторынка это означает, что даже проекты с «чистыми» аудитами могут оказаться под угрозой, если не уделяют должного внимания физической безопасности сотрудников и офисов.
Это напоминает историю сети Ronin, которая перешла на Ethereum Layer 2 после крупнейшего взлома моста в 2022 году.
Институциональные инвесторы, которые всё активнее входят в отрасль, теперь вынуждены учитывать этот фактор при due diligence.
По данным CertiK, средняя сумма ущерба от одной успешной атаки северокорейских хакеров в 2025 году составила $47 миллионов.
Эксперты отмечают, что традиционные методы борьбы — блокировка кошельков через OFAC (Управление по контролю за иностранными активами США) — работают всё хуже, так как злоумышленники быстро адаптируются и используют новые протоколы для обхода санкций. Какие выводы могут сделать участники рынка? Прежде всего, необходимо усиливать не только цифровую, но и физическую безопасность, а также тщательнее проверять контрагентов. В противном случае риски потери средств будут только расти.