Компания CertiK опубликовала ежегодный отчёт Skynet, в котором установила, что хакеры, связанные с КНДР, похитили $2,06 млрд в 2025 году. Это 60% от общих крипто-убытков отрасли, достигших $3,4 млрд. Проанализировав 656 задокументированных инцидентов, исследователи пришли к выводу, что Пхеньян превратил кражу криптовалют в постоянный механизм получения государственных доходов.
Масштаб операций за год и за десятилетие
На группировки КНДР пришлось 79 атак из 656 задокументированных, то есть 12% от общего числа. При этом $2,06 млрд из общего ущерба в $3,4 млрд составили 60% от всех потерь отрасли. Такой разрыв между количеством атак и суммой ущерба демонстрирует принципиальное отличие подхода. Редко, но по-крупному.
С 2016-го по начало 2026 года задокументировано 263 атаки и $6,75 млрд похищенного. Данные собраны независимым on-chain исследователем Тейлором Монаганом и включены в аналитику CertiK. В 2026 году тенденция не изменилась: группировки Пхеньяна отвечают за 55% глобальных крипто-потерь за первые месяцы года.
Отчёт ссылается на оценки ООН и американской разведки, связывающие доходы от атак с финансированием ядерной и ракетной программ Северной Кореи. Вопрос перестал быть сугубо отраслевым и стал предметом обсуждения на уровне международной безопасности.
От фишинга до физического внедрения в команду проекта
Социальная инженерия остаётся основным методом первоначального доступа. CertiK выделяет три основных вектора: поддельные предложения работы, имитация инвесторов и вредоносные репозитории кода. Атака на Ronin Bridge в 2022 году началась с фейкового профиля рекрутера в LinkedIn и заражённого PDF-документа.
Взлом Bybit в феврале 2025 года добавил в арсенал компрометацию цепочки поставок. Группа TraderTraitor скомпрометировала стороннего провайдера сервиса подписи транзакций и изменила маршрутизацию вывода средств так, что в интерфейсе кошельков жертв ничего не изменилось. Адреса назначения были подменены незаметно, и это позволило вывести около $1,5 млрд.
Атаку на Drift Protocol в апреле 2026 года CertiK описывает как "физическое проникновение". Операция длилась шесть месяцев. Участники группировки посещали отраслевые конференции под чужими именами и выстраивали личное доверие с разработчиками проекта. Через манипуляции механизмом управления протоколом вывели $285 млн с платформы на базе Solana. Аналитик CertiK Джонатан Рисс в комментарии к отчёту охарактеризовал этот подход как слияние разведывательных методов с техническим взломом.
Отмывание средств через мосты и децентрализованные биржи
После получения $1,5 млрд хакеры начали масштабную конвертацию активов. По данным CertiK, 86% похищенного Ethereum было переведено в Bitcoin в течение одного месяца. Для этого использовались миксеры, кросс-чейн мосты, децентрализованные биржи и OTC-брокеры. Более $1 млрд из средств Bybit до сих пор остаётся в системе отмывания.
Исследователи обозначили эту инфраструктуру термином "китайская прачечная". Она объединяет подпольных банкиров, торговых посредников и схемы торгового отмывания. Материалы американского Минюста показывают, что один кошелёк, связанный с представителем санкционного Внешнеторгового банка КНДР, обработал более $24 млн за период с августа 2021 по март 2023 года.
Реакция США и рекомендации CertiK
Министерство юстиции США в июне 2025 года подало иск о гражданской конфискации $7,7 млн криптоактивов, связанных с сетью IT-работников КНДР. CertiK составила перечень мер для компаний из зоны риска:
- обязательное видеособеседование и верификация документов при найме
- принцип нулевого доверия в управлении доступом к системам
- техническое усиление защиты кросс-чейн мостов и горячих кошельков
- регулярный аудит внешних поставщиков с доступом к инфраструктуре
Переход от случайных к системным атакам подтверждает, что КНДР рассматривает кражу крипты как долгосрочный финансовый инструмент. Без скоординированных усилий отрасли и регуляторов показатели 2026 года имеют все шансы превысить 2025-й.
Комментарии
Ваш e-mail адрес не будет опубликован. Обязательные поля отмечены *