Aan Noord-Korea gelinkte hackers staan achter de meerderheid van de crypto-overvallen in 2025, aangezien verliezen boven de $3,4 miljard uitkomen

Noord-Koreaanse staatsgebonden hacks stalen in 2025 minstens 2,02 miljard dollar aan digitale activa, een stijging van 51% ten opzichte van het jaar, volgens Chainalysis.

Zij waren verantwoordelijk voor een recordaantal van 76% van de serviceniveau-compromissen, waardoor de onderste grensopbrengst van de DPRK opkwam tot 6,75 miljard dollar.

In de hele markt bedroeg de diefstal van januari tot begin december meer dan 3,4 miljard dollar, veroorzaakt door een handvol buitensporige inbraken die werden geleid door de 1,4 miljard dollar kostende hack van Bybit.

Chainalysis zei dat slechts drie incidenten 69% van de verliezen uitmaakten, wat een verschuiving naar minder maar grotere aanvallen onderstreept.

Een recordjaar voor crypto-hacks

Het rapport van Chainalysis vond dat de drie grootste hacks in 2025 69% van alle serviceverliezen uitmaakten, waarbij het grootste incident voor het eerst meer dan 1.000 keer de mediane diefstal overschreed.

Het bedrijf benadrukte ook dat private key compromises verantwoordelijk waren voor 88% van de verliezen in het eerste kwartaal, zelfs bij organisaties met institutionele beveiligingsteams.

De inbraak van Bybit in maart was het grootste enkele evenement van het jaar met 1,4 miljard dollar, en zette de toon voor een jaar vol uitschieters waarin een klein aantal treffers het grootste deel van de schade veroorzaakte.

Chainalysis zei dat onderzoekers eigenlijk minder incidenten bevestigden, maar dat de gemiddelde impact per incident steeg.

DPRK-tactieken: minder aanvallen, grotere buiten

In tegenstelling tot andere criminele groepen richten Noord-Koreaanse operators zich volgens Chainalysis vooral op grote gecentraliseerde diensten voor maximaal effect.

Het bedrijf zei dat DPRK-gelinkte actoren steeds vaker IT-medewerkers inbedden in exchanges, custodians en Web3-bedrijven om bevoorrechte toegang te verkrijgen die kunnen worden ingezet voor ingrijpende compromissen.

Chainalysis beschreef ook een gedisciplineerd witwashandboek dat doorgaans zich over ongeveer 45 dagen ontvouwt na een grote diefstal.

DPRK-gekoppelde wallets zijn sterk afhankelijk van Chinese garantiediensten, makelaars en over-the-counter netwerken, en maken uitgebreid gebruik van cross-chain bridges en mixingdiensten, terwijl ze grotendeels DeFi-leenprotocollen, gedecentraliseerde exchanges en peer-to-peer platforms vermijden die door andere partijen worden geprefereerd.

Hun on-chain gedrag is onderscheidend. Chainalysis zei dat iets meer dan 60% van de DPRK-gekoppelde transfers plaatsvindt in tranchen onder de $500.000, terwijl andere groepen vaker fondsen in batches van miljoenen dollar of groter verplaatsen.

Persoonlijke portemonnees zien meer incidenten, kleinere bedragen

Aan de andere kant van het spectrum zijn persoonlijke portemonnees een populair doelwit gebleven.

Chainalysis zei dat zij in 2022 7,3% van de gestolen waarde vertegenwoordigden en in 2024 44%.

In 2025 ligt het aandeel rond de 20%, hoewel het exclusief het Bybit-incident dichter bij 37% zou liggen.

De totale waarde die van individuen wordt afgenomen daalde van 1,5 miljard dollar in 2024 tot 713 miljoen dollar dit jaar, terwijl het aantal incidenten steeg tot 158.000 met minstens 80.000 slachtoffers.

Chainalysis zei dat aanvallers meer gebruikers raken, maar minder per slachtoffer extraheren.