Hakerzy powiązani z Koreą Północną stali za większością napadów na kryptowaluty w 2025 roku, a straty przekroczyły 3,4 mld dolarów

Ataki powiązane z państwem w Korei Północnej ukradły w 2025 roku co najmniej 2,02 miliarda dolarów cyfrowych aktywów, co stanowi wzrost o 51% rok do roku, według Chainalysis.

Odpowiadały one za rekordowe 76% kompromisów na poziomie usług, podnosząc łączny dolny limit KRLD do 6,75 miliarda dolarów.

Na całym rynku kradzieże przekroczyły 3,4 miliarda dolarów od stycznia do początku grudnia, napędzane przez kilka poważnych naruszeń wywołanych włamaniem Bybit o wartości 1,4 miliarda dolarów.

Chainalysis podało, że tylko trzy incydenty stanowią 69% strat, co podkreśla przesunięcie w kierunku mniejszej liczby, ale większych ataków.

Rekordowy rok pod względem ataków na kryptowaluty

Raport Chainalysis wykazał, że trzy najczęstsze ataki w 2025 roku stanowiły 69% wszystkich strat usług, a największy incydent po raz pierwszy przekroczył 1000-krotność mediany kradzieży.

Firma podkreśliła również, że kompromisy dotyczące kluczy prywatnych powodowały 88% strat w pierwszym kwartale, nawet w organizacjach posiadających zespoły ds. bezpieczeństwa instytucjonalnego.

Wyciek w marcu Bybit był największym pojedynczym wydarzeniem roku o wartości 1,4 miliarda dolarów, nadając ton roku opartemu na odstępstwach, w którym niewielka liczba trafień spowodowała większość szkód.

Chainalysis poinformował, że śledczy faktycznie potwierdzili mniej incydentów, ale średni wpływ na incydent wzrósł.

Taktyka KRLD: mniej ataków, większe zdobycze

W przeciwieństwie do innych grup przestępczych, północnokoreańscy operatorzy głównie celują w duże scentralizowane usługi dla maksymalnego efektu, według Chainalysis.

Firma poinformowała, że aktorzy powiązani z KRLD coraz częściej umieszczają pracowników IT w centralach, depozytariuszach i firmach Web3, aby uzyskać uprzywilejowany dostęp, który można wykorzystać do poważnych kompromisów.

Chainalysis opisał także zdyscyplinowany podręcznik prania pieniędzy, który zazwyczaj rozwija się w ciągu około 45 dni po poważnym kradzieży.

Portfele powiązane z DPRK w dużej mierze opierają się na chińskojęzycznych usługach gwarancyjnych, brokerach i sieciach pozagiełdowych, szeroko korzystając z mostów międzyłańcuchowych i usług miksowania, jednocześnie w dużej mierze unikając protokołów pożyczek DeFi, zdecentralizowanych giełd oraz platform peer-to-peer preferowanych przez innych aktorów.

Ich zachowanie na łańcuchu jest odmienne. Chainalysis podało, że nieco ponad 60% transferów powiązanych z KRLD odbywa się w transach poniżej 500 000 dolarów, podczas gdy inne grupy częściej przekazują środki w partiach rzędu milionów dolarów lub większych.

Portfele osobiste odnotowują więcej incydentów, mniejsze sumy

Z drugiej strony, portfele osobiste pozostają popularnym celem.

Chainalysis podało, że stanowiły one 7,3% wartości skradzionych w 2022 roku oraz 44% w 2024 roku.

W 2025 roku udział ten wynosi około 20%, choć bez incydentu Bybit byłby bliżej 37%.

Całkowita wartość pobrana od osób spadła z 1,5 miliarda dolarów w 2024 roku do 713 milionów dolarów w tym roku, mimo że liczba incydentów wzrosła do 158 000, a ofiary poniosły co najmniej 80 000.

Chainalysis podaje, że atakujący trafiają więcej użytkowników, ale wyciągają mniej na ofiarę.