Киберпреступники из Северной Кореи в 2025 году украдут 2,02 миллиарда долларов, а 45-дневный цикл отмывания денег выявит их операционные схемы

2025 год, криптоиндустрия сталкивается с беспрецедентными угрозами. Согласно ежегодному отчету компании по анализу безопасности блокчейнов Chainalysis, несмотря на значительное снижение известных случаев хакерских атак на 74%, хакерские группы из Северной Кореи установили рекорд по масштабам похищенных средств. За «маленькими, но точными» атаками скрывается очевидный операционный цикл — полный процесс от кражи до отмывания средств занимает в среднем около 45 дней, и этот временной промежуток становится ключевым ориентиром для раскрытия потоков финансирования Северной Кореи.

В 2025 году криптоиндустрия потеряла 3,4 миллиарда долларов, рекорд по масштабам атак

В период с января по декабрь 2025 года убытки от краж в криптоиндустрии превысили 3,4 миллиарда долларов. Особенно выделяется одна крупная атака, которая оказала влияние на годовые потери — три крупнейших хакерских инцидента составили 69% всех убытков. Самым шокирующим стало то, что атака на биржу Bybit в феврале привела к потере 1,5 миллиарда долларов, что составляет абсолютную долю украденных средств за тот месяц.

Источники украденных средств приобрели новые характеристики. Количество случаев кражи из личных кошельков выросло до 158 000 (новый рекорд с 2022 года), однако из-за масштабной атаки на Bybit доля краж из личных кошельков в общем убытке снизилась. В то же время атаки на централизованные сервисы становятся все более разрушительными — несмотря на их меньшую частоту, в первом квартале 2025 года такие атаки составили 88% от всех квартальных потерь.

Самые тревожные данные показывают, что разрыв между крупнейшей хакерской атакой и медианой всех инцидентов впервые превысил 1000 раз. Иными словами, сумма украденных средств в крупнейшей атаке в 1000 раз превышает средний случай, и такой экстремальный масштаб даже превосходит пропорции пика бычьего рынка 2021 года.

В отдельности — 76% атак Северной Кореи, снижение известных атак, но рекордные похищения

За всем этим стоит группа хакеров из Северной Кореи, остающаяся крупнейшей угрозой для криптоиндустрии. Эта государственная группировка в 2025 году похитила как минимум 2,02 миллиарда долларов криптовалюты, что на 51% больше, чем в 2024 году (13,39 млрд долларов), установив рекорд за всю историю. С 2022 года совокупный объем похищенных средств группировкой из Северной Кореи достиг 6,75 миллиарда долларов.

Что вызывает путаницу, так это то, что рекордный объем похищенных средств достигнут при значительном снижении числа известных атак. Атаки, совершенные группировкой из Северной Кореи, составили 76% всех инцидентов (новый рекорд), однако частота отдельных атак снизилась. Это свидетельствует о кардинальных изменениях в стратегии — они перешли к качеству, а не количеству.

Хакеры из Северной Кореи развили многоуровневые методы проникновения. Изначально они внедряли внутренний доступ через заражение IT-специалистов внутри криптосервисов. В последние годы этот метод был заменен более изощренными социальными инженерными атаками. Они выдавали себя за рекрутеров известных компаний Web3 и AI, тщательно разрабатывали фальшивые процессы найма, чтобы обманом получить учетные данные, исходный код, а также VPN или SSO-доступы.

На уровне топ-менеджмента хакеры из Северной Кореи используют более скрытные методы — выдавая себя за стратегических инвесторов или покупателей, они проводят презентации и фиктивные проверки, чтобы получить доступ к чувствительным системам и ценным инфраструктурам. Такая точечная стратегия объясняет, почему они достигают больших похищений при меньшем числе атак — их цели — крупные сервисы и ключевые узлы.

Разбор схемы отмывания денег Северной Кореи: особая «разделенная» стратегия и цикл отмывания за 45 дней

В отличие от других киберпреступников, хакеры из Северной Кореи используют уникальную и структурированную модель отмывания средств. Их деятельность по отмыванию характеризуется явной «разделенной» схемой — более 60% транзакций сосредоточено в диапазоне до 500 000 долларов, в то время как у других группировок 60% средств проходят через транзакции в диапазоне от 1 до 10 миллионов долларов.

При выборе сервисов для отмывания средств хакеры из Северной Кореи проявляют явные предпочтения. Они значительно полагаются на китайские сервисы по переводу средств и гарантии (на 355% — 1000% выше, чем у других группировок), что свидетельствует о тесных связях с нелегальными финансовыми сетями в Азиатско-Тихоокеанском регионе. Также они активно используют межцепочные мосты (на 97% больше), чтобы переводить активы между разными блокчейнами, усложняя отслеживание, и часто применяют микшеры (на 100% больше), чтобы скрыть движение средств. Использование профессиональных сервисов, таких как Huione, превышает показатели на 356%.

Примечательно, что хакеры из Северной Кореи избегают использования кредитных протоколов (менее чем на 80% по сравнению с другими группировками), а также бирж без KYC (менее чем на 75%) и P2P-платформ (менее чем на 64%). Такой режим работы указывает на то, что их деятельность подчинена другим ограничениям — им необходимо взаимодействовать с определенными посредниками, а каналы остаются относительно фиксированными.

Анализ данных за 2022–2025 годы показывает, что после крупной кражи средства хакеров из Северной Кореи проходят через очень структурированный цикл, который обычно занимает около 45 дней. Этот цикл отмывания делится на три четких этапа:

Первый этап: экстренное разделение (дни 0–5) — в первые несколько дней после кражи наблюдается повышенная активность транзакций. DeFi-протоколы становятся основными направлениями для перемещения украденных средств, объем транзакций увеличивается на 370%; также резко растет объем операций с микшерами — на 135–150%. Цель этого этапа — быстро разорвать связь украденных средств с исходным источником.

Второй этап: начальное слияние (дни 6–10) — после второй недели средства начинают поступать в сервисы, помогающие интегрировать их в широкую экосистему. Обменники с меньшими требованиями KYC и централизованные биржи (CEX) начинают получать средства (рост на 37% и 32% соответственно), продолжают работу микшеры, а межцепочные мосты (например, XMRt) помогают распределить активы по разным цепочкам (рост на 141%). Это — ключевой период для перенаправления средств к финальному выходу.

Третий этап: долгий хвост (дни 20–45) — завершающая стадия, когда активы концентрируются в сервисах, позволяющих обменять их на фиат. Обменники без KYC увеличивают использование на 82%, гарантированные сервисы — на 87%, а мгновенные биржи — на 61%. Также растет использование китайских платформ, таких как 汇旺, на 45%. Платформы с меньшей регуляторной нагрузкой (юрисдикции с слабым регулированием) увеличивают активность на 33%. Весь цикл завершается формированием замкнутой схемы отмывания.

Средний цикл в 45 дней — ценная информация для правоохранительных органов и команд по соблюдению нормативов. Хакеры из Северной Кореи обычно придерживаются этого графика, что может отражать ограничения в получении доступа к финансовым каналам и необходимость координации с определенными посредниками. Несмотря на то, что часть украденных средств может находиться в состоянии покоя месяцами или годами, эта цикличность при активном отмывании средств создает временные окна для отслеживания.

Угрозы личных кошельков: 158 000 краж и связанные риски

В 2025 году количество краж из личных кошельков выросло до 158 000 случаев, что почти в три раза больше по сравнению с 2022 годом (54 000). Число пострадавших увеличилось с 40 000 до как минимум 80 000 человек. Этот масштабный рост атак на индивидуальных пользователей тесно связан с широким распространением криптовалют. Например, на блокчейне Solana, известном активностью личных кошельков, пострадало около 26 500 пользователей.

Однако есть и обнадеживающие моменты: несмотря на рост числа инцидентов и пострадавших, сумма украденных средств у этих пользователей в 2025 году снизилась с пика 2024 года — с 1,5 миллиарда долларов до 713 миллионов. Это говорит о том, что злоумышленники «рассылают сеть» шире, но «ловят меньшую рыбу» — число жертв растет, а потери на каждого — уменьшаются.

Риск для пользователей на разных блокчейнах распределен неравномерно. По показателю краж на 100 000 активных кошельков, самые высокие показатели у Ethereum и TRON, особенно у TRON, несмотря на меньшую базу пользователей, уровень краж там аномально высок. В то время как у Base и Solana, несмотря на крупные базы, уровень краж ниже. Эти различия свидетельствуют о том, что, помимо технических особенностей, на уровень краж влияют характеристики пользовательской базы, экосистемы популярных приложений и локальные инфраструктуры преступности.

Восстановление DeFi и улучшение безопасности в 2025 году: противоположные тренды

В 2025 году в сфере DeFi наблюдается ярко выраженная дифференциация, которая резко контрастирует с историческими тенденциями.

За последние четыре года можно выделить три этапа: период расширения 2020–2021 годов, когда общий заблокированный объем (TVL) и убытки от атак росли синхронно; период спада 2022–2023 годов, когда оба показателя снижались; и новый этап 2024–2025 годов — когда TVL значительно вырос после минимальных значений 2023 года, а убытки от атак остались на низком уровне.

По логике банкира Уилли Саттона «он грабит банки, потому что там деньги». Следуя этой логике, рост TVL в DeFi должен был привести к увеличению убытков от атак. Но в 2024–2025 годах происходит обратное — миллиарды долларов снова вливаются в эти протоколы, а убытки от атак остаются низкими.

Это можно объяснить двумя факторами: во-первых, фактическим повышением безопасности — несмотря на рост TVL, уровень атак снижается, что свидетельствует о внедрении более эффективных мер безопасности в DeFi-протоколах; во-вторых, смещением целей атак — рост краж из личных кошельков и атак на централизованные сервисы показывает, что преступники переключили внимание с DeFi на более легкие цели.

Успешное спасение протокола Venus: блокировка 13 миллионов долларов за 20 минут

Инцидент с Venus Protocol в сентябре 2025 года ярко демонстрирует, как усовершенствованные механизмы защиты могут изменить ситуацию. Атакующие получили доступ к системе через взлом Zoom, после чего убедили одного из пользователей предоставить им полномочия на управление счетом на сумму 13 миллионов долларов. Казалось бы, — катастрофа.

Однако за месяц до этого Venus запустил платформу Hexagate для мониторинга безопасности. Она обнаружила подозрительную активность за 18 часов до атаки и сразу же сработала тревога при выполнении вредоносных транзакций. За 20 минут протокол был приостановлен, и утечка средств была предотвращена.

Дальнейшие действия были еще быстрее: за 5 часов проведена проверка безопасности и восстановлены части функций; за 7 часов — заблокированы кошельки злоумышленников; за 12 часов — полностью возвращены украденные средства и восстановлена работа сервиса. Самое важное — через голосование в управлении протоколом было заморожено 3 миллиона долларов активов злоумышленников, что не только лишило их прибыли, но и привело к потерям для атакующих.

Этот кейс символизирует качественный прорыв в инфраструктуре безопасности DeFi. Активный мониторинг, быстрая реакция и эффективное управление позволяют сделать экосистему более гибкой и устойчивой. Несмотря на продолжающиеся атаки, способность обнаруживать, реагировать и даже разворачивать их — уже не просто мечта, а реальность, которая меняет подход к безопасности: от «успешная атака — это навсегда» к «атаки можно остановить и даже обратить вспять».

Будущие угрозы и циклы реагирования

Данные 2025 года рисуют сложную картину развития угроз со стороны Северной Кореи как главного врага криптоиндустрии. Частота их атак снижается, но разрушительность каждой — значительно возрастает, что свидетельствует о все более изощренных и терпеливых методах. Влияние инцидента с Bybit на годовой цикл показывает, что при успешных крупных кражах Северная Корея снижает активность, переключаясь на долгосрочные схемы отмывания.

Для криптоиндустрии это означает необходимость постоянного усиления защиты ценных целей и повышения распознавания специфических схем отмывания, характерных для Северной Кореи. Их предпочтения по типам сервисов и суммам переводов создают возможности для обнаружения и отличия от других преступных группировок, что помогает следственным органам отслеживать их активность.

Рост рекордных показателей Северной Кореи в 2025 году — при снижении известных атак на 74% — показывает, что текущие цифры — лишь вершина айсберга. Основная задача на 2026 год — своевременно обнаружить и предотвратить повторные масштабные атаки, подобные Bybit, и понять закономерности их 45-дневного цикла отмывания, что станет ключевым прорывом для правоохранительных органов и команд по безопасности.