Компанія CertiK опублікувала щорічний звіт Skynet, у якому встановила, що хакери, пов'язані з КНДР, вкрали $2,06 млрд у 2025 році. Це 60% від загальних крипто-збитків галузі, що досягли $3,4 млрд. Аналізуючи 656 задокументованих інцидентів, дослідники дійшли висновку, що Пхеньян перетворив крадіжку криптовалют на постійний механізм отримання державних доходів.
Масштаб операцій за рік та за десятиліття
На угруповання КНДР припало 79 атак із 656 задокументованих, тобто 12% від загального числа. Проте $2,06 млрд із загального $3,4 млрд збитку склали 60% від усіх втрат галузі. Такий розрив між кількістю атак і сумою збитку показує принципову відмінність підходу. Рідко, але по-великому.
З 2016-го по початок 2026 року задокументовано 263 атаки і $6,75 млрд вкраденого. Дані зведено незалежним on-chain дослідником Тейлором Монаганом і включено до аналітики CertiK. У 2026 році тенденція не змінилась: угруповання Пхеньяну відповідають за 55% глобальних крипто-втрат за перші місяці року.
Звіт посилається на оцінки ООН та американської розвідки, які пов'язують доходи від атак із фінансуванням ядерної і ракетної програм Північної Кореї. Питання перестало бути суто галузевим і стало предметом обговорення на рівні міжнародної безпеки.
Від фішингу до фізичного впровадження в команду проекту
Соціальна інженерія залишається основним методом першого доступу. CertiK виокремлює три основні вектори: підроблені пропозиції роботи, видавання себе за інвесторів і шкідливі репозиторії коду. Атака на Ronin Bridge у 2022 році почалась із фейкового профілю рекрутера в LinkedIn і зараженого PDF-документа.
Злом Bybit у лютому 2025 року додав до арсеналу компрометацію ланцюжка постачання. Група TraderTraitor скомпрометувала стороннього провайдера сервісу підпису транзакцій і змінила маршрутизацію виведення коштів так, що в інтерфейсі гаманців жертв нічого не змінилось. Адреси призначення були підмінені непомітно, і через це вийшло вивести близько $1,5 млрд.
Атаку на Drift Protocol у квітні 2026 року CertiK описує як "фізичне проникнення". Операція тривала шість місяців. Учасники угруповання відвідували галузеві конференції під чужими іменами і вибудовували особисту довіру з розробниками проекту. Через маніпуляції механізмом управління протоколом вивели $285 млн із платформи на базі Solana. Аналітик CertiK Джонатан Рісс у коментарі до звіту охарактеризував цей підхід як злиття розвідувальних методів із технічним злому.
Відмивання коштів через мости і децентралізовані біржі
Після отримання $1,5 млрд хакери розпочали масштабну конвертацію активів. За даними CertiK, 86% викраденого Ethereum було переведено в Bitcoin впродовж одного місяця. Для цього використовувалися мікшери, крос-чейн мости, децентралізовані біржі та OTC-брокери. Понад $1 млрд із коштів Bybit досі залишається в системі відмивання.
Дослідники позначили цю інфраструктуру терміном "китайська пральня". Вона об'єднує підпільних банкірів, торгових посередників і схеми торговельного відмивання. Матеріали американського Мін'юсту показують, що один гаманець, пов'язаний із представником санкційного Зовнішньоторгівельного банку КНДР, обробив понад $24 млн за серпень 2021 - березень 2023 роки.
Реакція США та рекомендації CertiK
Мін'юст США у червні 2025 року подав позов про цивільну конфіскацію $7,7 млн криптоактивів, пов'язаних із мережею IT-працівників КНДР. CertiK склала перелік заходів для компаній із зони ризику:
- обов'язкова відеоспівбесіда та верифікація документів при наймі
- принцип нульової довіри в управлінні доступом до систем
- технічне посилення захисту крос-чейн мостів і гарячих гаманців
- регулярний аудит зовнішніх постачальників із доступом до інфраструктури
Перехід від нагодних до системних атак підтверджує, що КНДР розглядає крадіжку крипти як довгостроковий фінансовий інструмент. Без скоординованих зусиль галузі та регуляторів показники 2026 року мають реальні шанси перевищити 2025-й.
Коментарі
Ваша e-mail адреса не оприлюднюватиметься. Обов'язкові поля позначені *