Nord-Korea-tilknyttede hackere står bak flertallet av kryptoranene i 2025, ettersom tapene overstiger 3,4 milliarder dollar

Nordkoreanske statstilknyttede hackinger stjal minst 2,02 milliarder dollar i digitale eiendeler i 2025, en økning på 51 % år-til-år, ifølge Chainalysis.

De sto for rekordhøye 76 % av tjenestenivå-kompromitteringene, noe som presset DPRKs nedre grense til 6,75 milliarder dollar.

På tvers av markedet oversteg tyveriet 3,4 milliarder dollar fra januar til tidlig desember, drevet av noen få store innbrudd ledet av det 1,4 milliarder dollar dyre hacket av Bybit.

Chainalysis sa at bare tre hendelser utgjorde 69 % av tapene, noe som understreker et skifte mot færre, men større angrep.

Et rekordår for kryptohack

Chainalysis' rapport fant at de tre største hackingene i 2025 utgjorde 69 % av alle tjenestetap, hvor den største hendelsen for første gang oversteg 1 000 ganger mediantyveriet.

Selskapet fremhevet også at private nøkkelkompromitteringer sto for 88 % av tapene i første kvartal, selv hos organisasjoner med institusjonelle sikkerhetsteam.

Bybit-bruddet i mars var årets største enkelthendelse med 1,4 milliarder dollar, og satte tonen for et år preget av avvik hvor et lite antall treff forårsaket mesteparten av skadene.

Chainalysis sa at etterforskerne faktisk bekreftet færre hendelser, men at gjennomsnittlig påvirkning per hendelse økte.

DPRK-taktikk: færre angrep, større bytte

I motsetning til andre kriminelle grupper retter nordkoreanske operatører seg hovedsakelig mot store sentraliserte tjenester for maksimal effekt, ifølge Chainalysis.

Selskapet sa at aktører knyttet til DPRK i økende grad integrerer IT-arbeidere i børser, depotfirmaer og Web3-firmaer for å få privilegert tilgang som kan brukes til kompromisser med stor effekt.

Chainalysis beskrev også en disiplinert hvitvaskingsmanual som vanligvis utspiller seg over omtrent 45 dager etter et stort tyveri.

DPRK-tilknyttede lommebøker er sterkt avhengige av kinesiskspråklige garantitjenester, meglere og over-the-counter-nettverk, og benytter i stor grad krysskjedebroer og mixing-tjenester, samtidig som de i stor grad unngår DeFi-utlånsprotokoller, desentraliserte børser og peer-to-peer-plattformer som foretrekkes av andre aktører.

Deres oppførsel på lenken er forskjellig. Chainalysis sa at litt over 60 % av DPRK-tilknyttede overføringer skjer i tranfer under 500 000 dollar, mens andre grupper oftere flytter midler i milliondollarspartier eller større.

Personlige lommebøker opplever flere hendelser, mindre beløp

I den andre enden av spekteret har personlige lommebøker fortsatt vært et populært mål.

Chainalysis sa at de utgjorde 7,3 % av den stjålne verdien i 2022 og 44 % i 2024.

I 2025 er andelen rundt 20 %, men utenom Bybit-hendelsen vil den være nærmere 37 %.

Den totale verdien tatt fra enkeltpersoner falt fra 1,5 milliarder dollar i 2024 til 713 millioner dollar i år, selv om hendelsene økte til 158 000 med minst 80 000 ofre.

Chainalysis sa at angripere treffer flere brukere, men henter ut mindre per offer.