В первой половине 2025 года хакеры украли рекордные $2,1 млрд, и лидируют северокорейские группировки: отчет

Новый отчет TRM Labs показал, что первая половина 2025 года стала худшей за всю историю по количеству взломов и эксплойтов: за этот период было похищено более $2,5 млрд.

Хотя эта сумма превысила предыдущий рекорд первого полугодия, установленный в 2022 году, цифры были значительно искажены одним инцидентом — атакой на $1,5 млрд против дубайской криптобиржи Bybit.

Ключевой взлом

Взлом Bybit, произошедший в феврале, стал не только крупнейшим в истории криптоиндустрии, но и геополитическим актом. TRM Labs и другие компании по безопасности связали его с северокорейскими государственными хакерами.

Согласно отчету, этот инцидент составил почти 70% всех краж криптовалют в первой половине 2025 года и увеличил средний размер взлома до $30 млн — вдвое больше, чем в первом полугодии 2024 года. Всего было зафиксировано около 75 атак. Значительные инциденты в январе, апреле и мае (каждый на сумму свыше $100 млн) указывают на устойчивую угрозу, выходящую за рамки одного громкого взлома.

По оценкам TRM, группировки, связанные с Северной Кореей, ответственны за потери в размере как минимум $1,6 млрд. Аналитики предполагают, что доходы от таких операций используются не только для обхода санкций против режима Ким Чен Ына, но и для финансирования стратегических инициатив, включая ядерную программу.

Технически, основным вектором атак стали инфраструктурные вторжения, направленные на уязвимости в безопасности приватных ключей/сид-фраз или фронтендов бирж. На их долю пришлось более 80% похищенных средств.

Эти взломы, часто усиленные социальной инженерией или инсайдерами, эксплуатируют фундаментальные основы криптобезопасности и в среднем приводят к инцидентам, в десять раз более масштабным, чем другие методы.

Еще 12% составили протокольные эксплойты, такие как манипуляции с флеш-кредитами в DeFi, что подчеркивает сохраняющиеся уязвимости смарт-контрактов.

Новая эра кибервойн в криптоиндустрии

Первая половина 2025 года также ознаменовалась появлением нового фронта в геополитических конфликтах: явным использованием криптовзломов в качестве инструмента войны. Это проявилось в недавней атаке на крупнейшую иранскую биржу Nobitex группой Gonjeshke Darande («Хищный воробей»), которую связывают с Израилем. Хакеры похитили более $90 млн с платформы.

Группа публично заявила о своей мотивации, утверждая, что биржа помогала Ирану обходить санкции и финансировать незаконную деятельность.

Интересно, что украденные средства были переведены на адреса без соответствующих приватных ключей, сделав их недоступными. Это явно указывает на то, что операция была проведена в символических или политических целях, а не для финансовой выгоды.

Перевод: HashSamurai