За десять останніх років хакери з Північної Кореї викрали криптоактиви на загальну суму $6,75 млрд за 263 підтверджені атаки, підрахували фахівці безпеки компанії CertiK.
Число атак з боку північнокорейських хакерських угруповань поступово знижується, проте збитки від їхніх дій продовжують зростати, стверджують блкочейн-аналітики. У 2025 році із 656 зафіксованих випадків злому лише 79 були пов'язані з КНДР, але саме на них припало близько $2,06 млрд збитків — майже 60% усіх втрат криптопроектів за рік.
З початку цього року експерти Certik зареєстрували всього 185 інцидентів із сукупними збитками $1,1 млрд. Атаки північнокорейських хакерів забезпечили понад половину суми — $620,9 млн. Значна частка пов'язана зі зломом KelpDAO.
Автори дослідження називають ключовою особливістю операцій кіберзлочинців із КНДР орієнтацію на людський чинник.
«Траєкторія очевидна: дедалі масштабніші операції, промисловий конвеєр відмивання грошей та величезний “довгий хвіст” дрібних крадіжок, які разом зіставні за загальною вартістю з найбільшими зломами. Хакери з КНДР незмінно атакували людей і слабкі місця в ланцюжках постачання, а не вразливість у коді смарт-контрактів. Упродовж майже десяти років операцій їх основним вектором атак рідко був код. Майже завжди – люди», – йдеться у звіті.
У CertiK вивчили атаки на платформи Ronin Bridge, Bybit і Drift Protocol із загальним збитком близько $2,4 млрд і дійшли висновку, що соціальна інженерія була і залишається головним інструментом північнокорейських угруповань. За даними аналітиків, зловмисники активно використовують фальшиві вакансії, підроблені співбесіди та тривале вибудовування довірчих відносин із співробітниками криптокомпаній.
Автори дослідження стверджують, що найвідоміше північнокорейське угруповання Lazarus Group є об'єднанням кількох структур під контролем Головного розвідувального бюро КНДР. У цих підрозділах, за оцінкою експертів, може працювати близько 7000 осіб. Дослідники виділили кілька спеціалізованих підгруп Lazarus. Наприклад, TraderTraitor відповідає за атаки на криптобіржі та інфраструктурні проекти через фіктивні пропозиції щодо роботи для технічних фахівців. Contagious Interview займається пошуком розробників через підроблені інтерв'ю та тестові завдання. AppleJeus спеціалізується на поширенні шкідливих програм, а SquidSquad – на тривалих операціях по встановленню контакту з представниками індустрії.
На думку аналітиків Certik, причиною кібератак є міжнародні санкції та обмежений доступ влади КНДР до глобальної фінансової системи.
«Режиму потрібне альтернативне джерело доходів, яке дозволяє повністю обійти систему. Криптовалюта надала саме це. Цифрові активи можна викрадати дистанційно, переміщати через кордони без посередників і конвертувати у фіат через мережі співучасників або брокерів, які нічого не підозрюють», — заявили автори дослідження.
У CertiK упевнені, що методи північнокорейських угруповань продовжать ускладнюватись. Фахівці з безпеки зафіксували зростання використання інструментів штучного інтелекту, розширення схем проникнення та появу нових способів відмивання коштів.
Раніше експерт з безпеки платформи MetaMask Тейлор Монахан (Taylor Monahan) повідомила, що фахівці з КНДР впроваджуються в криптокомпанії та проекти децентралізованих фінансів (DeFi) як мінімум сім останніх років, багато хто — з метою злому та розкрадання коштів.