Nordkorea-kopplade hackare ligger bakom majoriteten av kryptorånen 2025 när förlusterna överstiger 3,4 miljarder dollar

Nordkoreanska statsknutna intrång stal digitala tillgångar för minst 2,02 miljarder dollar under 2025, en ökning med 51 % jämfört med föregående år, enligt Chainalysis.

De stod för rekordhöga 76 % av tjänstenivåkompromisserna, vilket pressade DPRK:s kumulativa summa på nedre gränsen till 6,75 miljarder dollar.

På hela marknaden översteg stölderna 3,4 miljarder dollar från januari till början av december, drivet av ett antal oproportionerliga intrång som leddes av den 1,4 miljarder dollar stora hackningen av Bybit.

Chainalysis sade att bara tre incidenter utgjorde 69 % av förlusterna, vilket understryker en förskjutning mot färre men större attacker.

Ett rekordår för kryptohack

Chainalysis rapport visade att de tre största hackningarna 2025 stod för 69 % av alla tjänsteförluster, där den största incidenten för första gången översteg 1 000 gånger medianstölden.

Företaget framhöll också att privata nyckelkomprometteringar stod för 88 % av förlusterna under första kvartalet, även hos organisationer med institutionella säkerhetsteam.

Bybit-intrånget i mars var årets största enskilda händelse med 1,4 miljarder dollar, vilket satte tonen för ett år med undantag där ett litet antal träffar orsakade det mesta av skadorna.

Chainalysis sade att utredarna faktiskt bekräftade färre incidenter, men att den genomsnittliga effekten per incident ökade.

DPRK-taktik: färre attacker, större byten

Till skillnad från andra kriminella grupper riktar nordkoreanska operatörer främst in sig på stora centraliserade tjänster för maximal effekt, enligt Chainalysis.

Företaget sade att aktörer kopplade till DPRK i allt högre grad integrerar IT-arbetare i börser, förvarare och Web3-företag för att få privilegierad åtkomst som kan användas för kompromisser med stor effekt.

Chainalysis beskrev också en disciplinerad tvättningsstrategi som vanligtvis pågår under ungefär 45 dagar efter en större stöld.

DPRK-länkade plånböcker är starkt beroende av kinesiskspråkiga garantitjänster, mäklare och motgångsnätverk, och använder i stor utsträckning cross-chain-bryggor och mixningstjänster, samtidigt som de i stort sett undviker DeFi-låneprotokoll, decentraliserade börser och peer-to-peer-plattformar som andra aktörer föredrar.

Deras beteende i kedjan är unikt. Chainalysis uppgav att strax över 60 % av DPRK-kopplade överföringar sker i trancher under 500 000 dollar, medan andra grupper oftare flyttar medel i batcher på miljonbelopp eller större.

Personliga plånböcker ser fler incidenter, mindre summor

I andra änden av spektrumet har personliga plånböcker förblivit ett populärt mål.

Chainalysis uppgav att de stod för 7,3 % av det stulna värdet 2022 och 44 % 2024.

År 2025 ligger andelen på cirka 20 %, men exklusive Bybit-incidenten skulle den vara närmare 37 %.

Det totala värdet som togs från individer sjönk från 1,5 miljarder dollar år 2024 till 713 miljoner dollar i år, samtidigt som antalet incidenter ökade till 158 000 med minst 80 000 offer.

Chainalysis sa att angripare träffar fler användare men tar ut mindre per offer.