От DeFi до Defcon: TRM предупреждает о кибернападении со стороны государств.

Группы из Северной Кореи ответственны за 70% потерь

В первой половине 2025 года было украдено более $2,1 миллиарда в криптовалюте в результате как минимум 75 различных взломов и эксплойтов, что почти равняется общей сумме, украденной за весь 2024 год. Согласно последнему отчету TRM о криптопреступности, потери в первой половине 2025 года превзошли рекорд, установленный в первой половине 2022 года, примерно на 10%. Однако в отчете показывается, что взлом Bybit на $1,5 миллиарда в феврале составляет почти 70% от общих потерь.

Кроме огромных потерь в феврале, данные TRM показывают, что январь, апрель, май и июнь были единственными месяцами с потерями, превышающими $100 миллионов. Только март имел потери ниже $100 миллионов.

Как сообщают несколько СМИ, предполагается, что за взломом Bybit стоят хакеры, связанные с Северной Кореей. Несмотря на то, что реакция сообщества на сложную атаку затруднила жизнь киберпреступникам, медиарепортажи предполагают, что значительная часть средств утрачена навсегда. Между тем, в отчете отмечается постоянная и тревожная роль атак на криптовалюту, спонсируемых государством, и выделяется Пхеньян как главный виновник.

“Мы оцениваем, что группы, связанные с Северной Кореей, несут ответственность за $1,6 миллиарда из общей суммы, украденной в первой половине 2025 года, что составляет около 70% всех украденных средств и укрепляет их позицию как самой плодовитой угрозы со стороны государственных акторов в криптопространстве,” — заключает отчет.

Хотя считается, что Северная Корея использует средства, украденные из бирж цифровых активов, для финансирования своей оружейной программы, в отчете признается, что другие государственные акторы используют криптовалютные взломы в геополитических целях. В качестве примера приводится взлом крупнейшей криптовалютной биржи Ирана, Nobitex, 18 июня 2025 года на сумму более $90 миллионов с участием израильской группы Gonjeshke Darande.

В отличие от других групп, которые идут на траты украденных средств, Gonjeshke Darande перевела средства на непригодные для использования vanity-адреса. Этот поступок, как утверждает отчет, “подчеркивает, как кража цифровых активов становится скрытым инструментом в геополитических конфликтах и национальной политике.”

Между тем команда TRM обнаружила, что инфраструктурные атаки, такие как кража приватных ключей и фраз восстановления или компрометация интерфейсов, составляли более 80% украденных средств в первой половине 2025 года. Эксплойты на уровне протоколов, с другой стороны, составили еще 12%, что подчеркивает постоянные уязвимости в смарт-контрактах децентрализованных финансов (DeFi).

Чтобы противодействовать растущей угрозе со стороны атакующих при поддержке государства, отчет TRM призывает криптоиндустрию укрепить основы безопасности — многофакторная аутентификация (MFA), холодное хранение и частые аудиты. Необходимо уделить приоритетное внимание улучшению обнаружения внутренних угроз и усилению защиты от передовых социальной инженерии.