Государственные акторы стали главной угрозой индустрии. Что это значит для криптобизнеса
В 2025 году северокорейские хакеры похитили $2,02 млрд в криптовалюте — рост на 51% к предыдущему году. По оценке Chainalysis, это самый высокий показатель за всю историю наблюдений. Совокупный объем краж, связанных с КНДР, с 2017 года превысил $6,75 млрд. Для сравнения: по оценкам ООН, доходы от крипто-краж составляют около 13% ВВП страны.
Речь идет уже про государство, которое использует криптоворовство как системную отрасль экономики — с операционными стандартами, инфраструктурой отмывания и стратегией проникновения.
$1,5 млрд за один день: Bybit и новая планка
21 февраля 2025 года Lazarus Group осуществила крупнейшую кражу в истории криптовалют. Более 500 000 ETH, stETH и mETH были выведены из кошельков Bybit, суммарный ущерб превысил $1,46 млрд по курсу на день атаки.
Механизм атаки не предполагал взлома смарт-контракта или уязвимости в протоколе. Хакеры подделали интерфейс подписания транзакций — так, чтобы сотрудники Bybit видели легитимную операцию, в то время как фактически подписывали вредоносный контракт. Подпись на перевод $1,5 млрд поставили люди, которые были уверены, что проводят рутинный перевод из холодного хранилища.
ФБР подтвердило причастность Lazarus Group в августе 2025 года. К тому моменту следствие уже отслеживало движение средств через десятки адресов в реальном времени — но перехватить их не успело.
Схема: как отмывают миллиарды
После кражи начинается процесс, который аналитики описывают как трехэтапный цикл продолжительностью около 45 дней.
Этап первый — немедленное расслоение (дни 0–5): средства максимально отдаляются от источника через криптомиксеры и DeFi-протоколы, фрагментируются по десяткам адресов. Этап второй — начальная интеграция (дни 6–10): активы перемещаются на биржи, второстепенные миксеры и кросс-чейн мосты. Этап третий — финальная интеграция (дни 20–45): окончательная конвертация в фиат через OTC-сервисы.
В основном северокорейские хакеры работают через китайскоязычные OTC-сервисы, а также используют кросс-чейн мосты и специализированные площадки вроде Huione. Huione Group, через которую по данным Chainalysis прошло более $98 млрд транзакций, связанных с мошенничеством, была включена в санкционный список OFAC в мае 2025 года.
IT-работники как основной вектор атаки
Взлом Bybit — крупнейший, но не единственный метод. Рост краж в 2025 году связан с расширением практики внедрения IT-работников на биржи, в криптокомпании и Web3-проекты — это позволяет хакерам получать привилегированный доступ перед масштабной кражей.
Схема работает следующим образом. Гражданин КНДР или завербованный посредник проходит собеседование в криптокомпании — под легендой квалифицированного разработчика. Иногда задействуются целые подставные компании — например, DredSoftLabs и Metamint Studio. Сотрудник получает доступ к внутренней инфраструктуре, изучает системы — и в нужный момент открывает дверь для атаки или сам осуществляет вывод.
Апрельский взлом Kelp DAO на $291 млн подтвердил, что схема продолжает работать в 2026 году. LayerZero в постмортеме от 20 апреля прямо указал на «высококвалифицированного государственного актора, вероятно Lazarus Group КНДР, а конкретнее подгруппу TraderTraitor».
Почему госакторы — принципиально другая угроза
76% всех случаев компрометации криптовалютных сервисов в 2025 году приходятся на действия аффилированных с КНДР акторов.
Обычный хакер ищет уязвимость, эксплуатирует ее и уходит. Государственный актор работает иначе: он инвестирует месяцы в разведку цели, выстраивает легенды для сотрудников, создает подставные компании, координирует атаку через несколько векторов одновременно. За Lazarus стоит Бюро общей разведки КНДР — одной из главных спецслужб страны.
Что это означает для AML-систем
Современные AML-системы умеют распознавать паттерны, позволяющие идентифицировать транзакции, связанные с КНДР, с высокой степенью достоверности. Блокчейн создает неизменяемую запись движения средств.
Для компаний, работающих с криптовалютой, северокорейский вектор ставит конкретные операционные задачи.
Проверка адресов контрагентов до сделки — базовый уровень. Адреса, связанные с известной инфраструктурой Lazarus, включены в санкционные листы OFAC и базы данных AML-систем. Транзакция с таким адресом — это не просто репутационный риск, это нарушение санкционного законодательства.
Мониторинг сотрудников с привилегированным доступом — второй уровень. Криптоадреса, на которые сотрудник получает платежи, могут быть проверены через те же инструменты блокчейн-аналитики. Это нестандартная, но реальная практика верификации в компаниях с высоким уровнем зрелости комплаенса.
Скорость реагирования — третий уровень. Средства после взлома движутся через десятки адресов в течение часов. Системы мониторинга аномалий, способные зафиксировать нетипичное поведение в первые 30 минут, принципиально меняют возможности для реагирования — разница между шансом перехвата и полной потерей следа.
Выбор редакции
Публикации, которые получают больше внимания и попадают в Сюжеты РБК
Рекомендации партнеров: