По данным годовых отчётов, в 2025 году связанные с КНДР группировки похитили около $2,02 млрд в криптовалюте — рекорд за всю историю наблюдений. Три крупнейших эпизода — Bybit ($1,5 млрд), Drift Protocol ($285 млн) и KelpDAO ($292 млн, уже в 2026-м) — показывают эволюцию тактики: от взлома контрактов к атакам на людей и инфраструктуру.
Смена тактики: не контракты, а люди
Bybit взломали не через смарт-контракт — атака прошла через подмену интерфейса Safe{’{‘}Wallet{’}’}: подписанты видели легитимную транзакцию, а подписывали вывод средств. Drift Protocol — полгода социальной инженерии ради админ-ключа. KelpDAO — компрометация off-chain инфраструктуры. Параллельно работает сеть «удалённых IT-сотрудников»: в ноябре 2025-го пять человек в США признали вину в трудоустройстве северокорейцев в 136+ компаний.
Отмывание на промышленной скорости
После Bybit группа полностью провела 499 000 ETH через цепочки свопов и кросс-чейн мосты за десять дней — при том, что за средствами следила вся индустрия. Часть удалось заморозить (включая $9 млн, заблокированных Tether), но большинство ушло. Вывод: окно для блокировки — часы, а не дни.
«Скорость — единственное преимущество защиты. Адрес, помеченный в первые часы, ещё можно остановить на бирже. Через десять дней — уже нет».
Что делать платформам
Рецепт защиты сводится к скорости. Скрининг каждого депозита должен работать в реальном времени: пометки Lazarus распространяются по базе за минуты, и именно в эти минуты средства ещё можно остановить. Урок Bybit добавил к этому обязательный аудит сторонних интерфейсов кошельков и мультисиг-процедур, а наём удалённых разработчиков теперь требует отдельной проверки — схемы «IT workers» нацелены именно на криптокомпании.
