Fra DeFi til Defcon: TRM Advarer om Nationalstatscyberangreb

Nordkoreanske grupper ansvarlige for 70% af tabene

I første halvdel af 2025 blev over 2,1 milliarder dollars i krypto stjålet på tværs af mindst 75 forskellige hacks og udnyttelser, næsten svarende til det samlede beløb stjålet i hele 2024. Ifølge den seneste TRM Crypto Crime rapport overgår tabene i første halvdel af 2025 rekorden sat i første halvdel af 2022 med cirka 10%. Rapporten viser dog, at hacket på 1,5 milliarder dollars mod Bybit i februar står for næsten 70% af de samlede tab.

Udover de enorme tab i februar viser TRM-data, at januar, april, maj og juni er de eneste andre måneder med tab over 100 millioner dollars. Kun marts havde tab under 100 millioner dollars.

Som rapporteret af flere medier menes hackere med tilknytning til Nordkorea at stå bag bruddet på Bybit. Mens fællesskabets reaktion på det sofistikerede angreb gjorde livet vanskeligt for cyberkriminelle, tyder medieberetninger på, at en betydelig del af midlerne er tabt for evigt. I mellemtiden bemærker rapporten den vedvarende og alarmerende rolle af statsstøttede kryptoangreb og udpeger Pyongyang som hovedskyldneren.

“Vi vurderer, at grupper med forbindelser til Nordkorea er ansvarlige for 1,6 milliarder dollars af det samlede beløb stjålet i første halvdel af 2025, hvilket repræsenterer omkring 70% af alle stjålne midler og cementerer deres position som den mest produktive trussel fra en nationalstat i kryptorummet,” konkluderer rapporten.

Mens Nordkorea menes at bruge stjålne midler fra digitale aktivudvekslinger til at finansiere sit våbenprogram, anerkender rapporten, at andre statslige aktører udnytter kryptohacks til geopolitiske formål. Den nævner hacket af Irans største krypto-udveksling, Nobitex, den 18. juni 2025, for over 90 millioner dollars af den israelsk-tilknyttede Gonjeshke Darande.

I modsætning til andre grupper, der går videre til at bruge de stjålne midler, overførte Gonjeshke Darande midlerne til ubrugbare vanity-adresser. Denne handling, hævder rapporten, “understreger, hvordan tyveri af digitale aktiver bliver et skjult instrument i geopolitiske konflikter og national politik.”

I mellemtiden fandt TRM-teamet, at infrastrukturangreb som tyveri af private nøgler og seed-fraser eller front-end-kompromitteringer stod for over 80% af de stjålne midler i første halvdel af 2025. Protokoludnyttelser udgjorde derimod yderligere 12%, hvilket fremhæver vedvarende sårbarheder i decentraliserede finansierings (DeFi) smartkontrakter.

For at modvirke den voksende trussel fra statsstøttede angribere opfordrer TRM-rapporten kryptoindustrien til at styrke grundlæggende sikkerhed — multifaktorautentificering (MFA), kold opbevaring og hyppige revisioner. Det skal prioriteres at forbedre påvisningen af insidertrusler og styrke forsvar mod avancerede social engineering-taktikker.