Две трети всех похищенных криптовалют в мире (на $643 млн) за полгода — действия хакеров из КНДР

изображение: grok
С января по июнь 2026 года группировки, приписываемые КНДР, забрали у криптоплатформ около 643 млн долларов — примерно две трети от всего, что было похищено в цифровых активах за это время. Данные приводит компания TRM Labs. Затрагивает это и российских пользователей криптосервисов, часть которых держит активы на затронутых площадках или пересекается с ними через мосты между блокчейнами.
Общий ущерб криптоиндустрии за первые шесть месяцев составил порядка 972 млн долларов против 2,3 млрд годом ранее. Аналитики фиксируют парадокс — количество успешных атак выросло до рекордных 207, а сумма украденного упала более чем вдвое. Объяснение сводится к простому наблюдению — крупных пробоев кассы стало меньше, а рутинных инцидентов — больше.
Стоит обратить внимание, что почти 90% всего северокорейского улова уместилось всего в двух эпизодах — сумма около 577 млн долларов.
Первый удар пришёлся на 1 апреля. Тогда с площадки Drift в экосистеме Solana утекло примерно 285 млн долларов. Drift занимается децентрализованной торговлей производными инструментами, и потеря такого масштаба фактически поставила протокол в положение, когда пришлось экстренно пересобирать модель безопасности. Через несколько недель того же апреля пришла очередь KelpDAO — сервиса рестейкинга, где пользователи размещают активы ради дохода. Оттуда вывели ещё около 292 млн долларов, и в TRM Labs указывают на возможную причастность к взлому группировки Lazarus.
Сравнение с прошлым годом даёт странное ощущение затишья. За январь–июнь 2025 северокорейские команды забрали около 1,7 млрд долларов, сейчас цифра почти втрое меньше. Однако исследователи предупреждают — расслабляться рано. Одна удачная атака на крупную биржу способна перечеркнуть всю статистику полугодия. Так уже было в феврале 2025, когда с Bybit вывели порядка 1,5 млрд долларов за один заход — до сих пор этот эпизод держит статус самой большой кражи в криптоиндустрии.
Что известно про схемы, которыми пользуются северокорейские операторы:
- атаки на смарт-контракты децентрализованных протоколов через уязвимости в коде;
- компрометация приватных ключей администраторов криптоплатформ;
- фишинговые рассылки под видом рекрутёров, партнёров и представителей известных проектов;
- социальная инженерия против сотрудников крипто-компаний с длительным выстраиванием доверия;
- трудоустройство в западные фирмы под вымышленными личностями с последующим доступом к внутренним системам.
Последний пункт разросся до масштаба, при котором ФБР и профильные ведомства США выпускают отдельные бюллетени с признаками подставных ИТ-соискателей. Российские HR-специалисты в криптосегменте тоже периодически сообщают о резюме с признаками фабрикации — фальшивое портфолио, натянутые ответы на живых собеседованиях, странности с часовыми поясами.
Группу Lazarus связывают с криптоатаками ещё с середины 2010-х годов. За её плечами инциденты с Ronin Network, Harmony Bridge, десятками мелких проектов и уже упомянутый Bybit. Американский Минфин ранее заявлял, что за три предшествующих года через кибератаки против финансовых организаций и криптоплатформ было выведено свыше 3 млрд долларов. Экспертная группа ООН в одном из докладов приводила оценку — до 40% финансирования отдельных государственных программ КНДР могло идти как раз с этого направления.
Отмечается, что 643 млн долларов из отчёта TRM Labs — это только зафиксированные взломы, реальный объём криптовыручки от преступной деятельности заметно выше.
Помимо крупных пробоев, деньги идут через россыпь мелких схем. Аналитики перечисляют:
- фейковые токен-эйрдропы с подписью транзакций-ловушек;
- клоны кошельков и расширений для браузеров;
- поддельные вакансии в криптоиндустрии с вредоносным заданием при отборе;
- мошеннические Telegram-боты для якобы автоматической торговли;
- фальшивые техподдержки популярных бирж, выманивающие сид-фразы.
Для держателей активов в России ситуация двойственная. Прямых атак на локальные площадки в отчёте не отмечено, но пользователи Bybit, Solana-протоколов, рестейкинг-сервисов и децентрализованных бирж — а таких в русскоязычном сегменте много — оказываются в зоне поражения через те же уязвимости, что и все остальные. Дополнительный риск даёт активная миграция российских пользователей на менее известные платформы после ограничений на крупных биржах — новые адреса реже проходят полноценный аудит.
Западные страны за последние месяцы заметно ускорили координацию. В июне лидеры «Большой семёрки» впервые вынесли тему криптоворовства, связываемого с КНДР, в отдельный блок общего заявления по международной безопасности. Неделей ранее прошла очередная встреча совместной рабочей группы США, Японии и Южной Кореи по этой теме. Стороны договорились о более плотном обмене данными между правоохранительными органами и техническими командами платформ.
Уточняется, что часть выведенных средств была возвращена — сработали блокировки на централизованных биржах и заморозка стейблкоинов эмитентами.
Что рекомендуют пользователям профильные специалисты:
- держать основную часть активов в холодных кошельках, а не на биржевых балансах;
- перепроверять адреса контрактов через несколько независимых источников;
- отключать неиспользуемые разрешения на списание токенов через сервисы вроде revoke.cash;
- относиться с подозрением к личным сообщениям от «сотрудников поддержки» и «рекрутёров»;
- разделять устройства для работы с криптоактивами и повседневного веб-сёрфинга.
Ранее сообщалось, что лидеры стран G7 на саммите в Эвиане впервые на уровне совместного международного заявления признали северокорейские хакерские группировки и связанные с ними криптовалютные кражи угрозой международной безопасности. В документе отмечалось, что похищенные цифровые активы используются для финансирования военных программ КНДР. По оценкам, за последние годы северокорейские структуры вывели из криптовалютной экосистемы более 6,75 млрд долларов, а сама проблема впервые вышла за рамки обсуждения внутри криптоиндустрии и стала предметом коллективной геополитической повестки.
По словам экспертов редакции CISOCLUB, снижение суммарного ущерба в первом полугодии — иллюзорная передышка. Криптоиндустрия остаётся приоритетной целью для государственно-аффилированных группировок, и одна удачная атака способна за минуты вернуть статистику к рекордным значениям. Российским пользователям стоит помнить, что санкционная логика западных стран напрямую их не защищает — техническая уязвимость платформ одинакова для всех клиентов. Гигиена работы с активами, сегментация устройств и осторожность в отношении любых новых сервисов сейчас важнее любых обещаний доходности. Отдельная тема — подставные ИТ-специалисты из КНДР, которые уже фиксировались в найме и русскоязычных компаний. Редакция ожидает роста именно этого вектора в ближайшие месяцы.



