## Північнокорейські хакери отримують доступ до даних і оновлюють записи: криптовкрадіжки 2025 року на історичному рівні

Криптоіндустрія у 2025 році продовжувала стикатися з загрозами кібератак з боку Північної Кореї. За даними досліджень компанії-аналітика блокчейну, північнокорейські хакери цього року змінили тактику, здійснюючи менше атак, але завдаючи більшого збитку, і зафіксували рекордний масштаб крадіжок. Ці зміни свідчать про те, що зловмисники більш точно цілиться у вразливості безпеки, а їхні методи проникнення стають більш витонченими.

### Рекордні суми крадіжок: від кількості до якості

З січня по початок грудня 2025 року загальна сума викрадених коштів у криптоекосистемі перевищила 3,4 мільярда доларів, причому основну частку склала група хакерів, пов’язаних із Північною Кореєю. Вкрадені криптоактиви цього року склали щонайменше 2,02 мільярда доларів, що на 51% більше у порівнянні з 2024 роком.

Варто відзначити, що кількість атак зменшилася, але суми крадіжок значно зросли. Це свідчить про зміну тактики північнокорейських хакерів. Раніше вони намагалися здійснювати багато дрібних проникнень, а тепер зосереджуються на цілеспрямованих атаках на високовартісні цілі. В результаті загальний обсяг викрадених коштів з Північної Кореї досяг 6,75 мільярда доларів, що є рекордом у криптосфері.

Лише три найбільші крадіжки 2025 року становили 69% від загальної суми. Різниця між найбільшим окремим інцидентом і середньою вартістю збитків від хакінгу сягнула безпрецедентних 1000 разів, що перевищує навіть пікові показники 2021 року під час буму.

### Еволюція методів атак: від проникнення у IT-відділ до шахрайства серед керівництва

Методи атак північнокорейських хакерів розвинулися від простого внутрішнього проникнення до більш складних соціотехнічних схем.

Спочатку вони маскувалися під IT-працівників компаній, отримуючи привілейований доступ. Однак останні операції показали, що ця тактика зазнала кардинальних змін. Тепер групи видають себе за рекрутерів великих Web3-компаній або AI-компаній, створюючи фальшиві процеси найму. Коли ж жертва проходить «технічне інтерв’ю», хакери вимагають логін і пароль, вихідний код, VPN-доступ або SSO-автентифікацію. Отримавши цю конфіденційну інформацію, вони отримують доступ до всієї системи.

Ще більш небезпечна тенденція — це соціотехнічні атаки на керівництво компаній. Вони видають себе за фіктивних стратегічних інвесторів або представників купівельних компаній і через так звані «зустрічі з діловими партнерами» намагаються дізнатися інформацію про системи та важливу інфраструктуру.

Ці еволюційні моделі атак свідчать про те, що групи з Північної Кореї є не просто злочинними організаціями, а державними структурами, які цілеспрямовано націлюються на стратегічно важливі компанії.

### Унікальні схеми відмивання грошей: таємниця 45-денного циклу

Північнокорейські хакери демонструють зовсім інший сценарій обробки викрадених коштів у порівнянні з іншими злочинними групами. Аналіз показав, що процес перетворення викрадених активів у фіатні гроші триває приблизно 45 днів і слідує сталому циклу.

**Перший етап (0–5 днів після крадіжки)**

У період хаосу після атаки викрадені кошти різко зростають у потоках до DeFi-протоколів на 370%. Одночасно використання міксінгових сервісів зростає на 135–150%, що ускладнює відстеження коштів — утворюється «перший рівень» приховування слідів. У цей час пріоритетом є швидке приховування слідів крадіжки.

**Середній етап (6–10 днів)**

На етапі розподілу коштів по всій екосистемі зростає кількість транзакцій на платформах без необхідності підтвердження та на централізованих біржах (CEX). Вони зростають на 37–32%. Також активізується міжланцюговий обмін через крос-ланцюгові мости, ускладнюючи слідкування.

**Фінальний етап (20–45 днів)**

На цьому етапі кошти потрапляють у платформи без підтвердження, забезпечувальні сервіси та китайські мережі відмивання грошей. Тут відбувається їх остаточне обмінювання у фіат.

Групи з Північної Кореї особливо активно використовують китайські сервіси переказу коштів і забезпечувальні організації (зростання використання на 355–1000%), що свідчить про їхню тісну співпрацю з підпільними фінансовими мережами Східної Азії. Водночас, використання DeFi-кредитних протоколів і P2P-платформ залишається значно нижчим у порівнянні з іншими групами.

Ця послідовність свідчить про високу організованість у процесах відмивання грошей і залежність від певних посередників і юрисдикцій із слабким регулюванням.

### Вибух пошкоджень у особистих гаманцях: попередження криптоспільноти

Кількість індивідуальних крадіжок криптоактивів у 2025 році зросла до безпрецедентних масштабів. Загальна кількість випадків сягнула 158 000, що майже втричі більше, ніж у 2022 році (54 000). Кількість постраждалих зросла з 40 000 до щонайменше 80 000.

Це зростання відбувається паралельно з активізацією використання криптовалют, що свідчить про збільшення кількості звичайних користувачів, які володіють активами. Зокрема, у мережі Solana зафіксовано близько 26 500 постраждалих, що робить цю мережу особливо вразливою.

Цікаво, що хоча кількість випадків зросла, середній збиток на один випадок зменшився. У 2024 році загальні збитки становили 1,5 мільярда доларів, тоді як у 2025 — 713 мільйонів доларів. Це означає, що зростання кількості цільових користувачів супроводжується зменшенням середнього розміру крадіжки з кожного.

Аналіз ризиків крадіжок за мережами показує, що Ethereum і TRON мають найвищий рівень ризику, при цьому рівень злочинів на 100 000 гаманців у цих мережах є найвищим. Водночас, Base і Solana мають значну кількість користувачів, але нижчий рівень ризику. Це свідчить про те, що не лише кількість користувачів, а й особливості застосувань, атрибути користувачів і інфраструктура злочинів визначають рівень ризику крадіжок.

### Надія у сфері DeFi: ефективність інвестицій у безпеку

З 2024 по 2025 рік тенденції у сфері DeFi кардинально змінилися. Незважаючи на значне відновлення обсягів заблокованих активів (TVL) після мінімумів, збитки від хакінгів залишаються стабільно низькими.

Історично склалося так, що зростання масштабів ризикових активів супроводжується збільшенням збитків від атак. Це було помітно у 2020–2021 роках, і у період спаду 2022–2023 років. Однак у період відновлення 2024–2025 років ця закономірність порушилася.

Це свідчить про те, що заходи щодо підвищення безпеки у протоколах DeFi дають реальні результати. Посилення моніторингу командами протоколів, впровадження систем реального часу для виявлення атак і швидке реагування знижують частоту успішних нападів.

**Кейс-стаді: успіх захисту протоколу Venus**

Інцидент із протоколом Venus у вересні 2025 року підтвердив ефективність покращених систем безпеки. Зловмисники отримали доступ до системи через компрометацію клієнта Zoom і намагалися отримати дозволи на 13 мільйонів доларів у депонованих активах.

Однак Venus вже за місяць до цього запровадила систему моніторингу безпеки. Вона виявила аномалії за 18 годин до початку атаки і миттєво сповістила про підозрілі транзакції. Це дозволило:

- **20 хвилин** — екстрено зупинити протокол і запобігти виведенню коштів
- **5 годин** — після перевірки безпеки частково відновити функціонал
- **7 годин** — примусово ліквідувати позиції зловмисників
- **12 годин** — повернути всі викрадені кошти і повністю відновити сервіс

Ще важливіше, що через систему управління було заморожено активи зловмисників на суму 3 мільйони доларів. В результаті, зловмисники не отримали прибутку, а втратили свої кошти.

Цей випадок демонструє, що безпека у DeFi вже не обмежується технічними заходами, а є цілісною системою моніторингу, реагування та управління.

### Майбутні загрози доступу до даних і заходи протидії

2025 рік показав, що загрози з боку Північної Кореї суттєво змінилися за якістю. Кількість атак зменшилася, але їхня руйнівна сила зросла, а методи стали більш витонченими і терплячими. Після масштабної події у лютому з’явилися ознаки, що після великих крадіжок вони тимчасово знижують активність і зосереджуються на відмиванні грошей.

Для криптоіндустрії це виклики різного масштабу: посилення уваги до високовартісних цілей, підвищення обізнаності про унікальні методи відмивання грошей Північної Кореї та розпізнавання характерних 45-денних циклів. Ці особливості допомагають відрізняти їх від інших злочинних груп і підвищують точність виявлення та реагування.

Для Північної Кореї, яка продовжує використовувати крадіжки криптоактивів як спосіб обходу санкцій, поточна активність — лише вершина айсберга. Основне завдання на 2026 рік — це здатність передбачати і реагувати на нові масштабні атаки заздалегідь.