Кражи криптовалюты выходят на новый масштаб: на Северную Корею приходится две трети потерь

profile-alexey-bondarev
Alexey Bondarev2 часов назад
Кражи криптовалюты выходят на новый масштаб: на Северную Корею приходится две трети потерь

Одно государство забрало две трети каждого доллара, украденного из глобальной криптоэкосистемы в первой половине 2026 года.

Это не ошибка округления. И не артефакт одного зрелищного ограбления.

Это результат длительной, поставленной на поток хакерской операции — той, что почти десятилетие оттачивала свои методы и сейчас опережает по масштабам все остальные группы угроз в отрасли вместе взятые.

Масштаб поражает даже по меркам криптопреступности, где громких цифр никогда не не хватало.

Связанные с Северной Кореей группы обеспечили 66,2% глобальных потерь от взломов цифровых активов в H1 2026, согласно данным, которые на этой неделе циркулируют среди исследователей блокчейн‑безопасности.

Такая концентрация убытков в одном кластере угроз означает качественный сдвиг в профиле рисков всей индустрии. И происходит это в момент, когда институциональный капитал заходит в криптосамыми быстрыми темпами с 2021 года.

Кратко

  • Связанные с Северной Кореей хакеры захватили 66,2% всех потерь от взломов криптоактивов в первой половине 2026 года — новый пик концентрации государственной криптокражи.
  • Lazarus Group и аффилированные подразделения КНДР эволюционировали от оппортунистических взломов бирж к высокоструктурированным операциям против DeFi‑протоколов, кросс‑чейн мостов и через социальную инженерию разработчиков.
  • Эти средства напрямую финансируют оружейные программы Северной Кореи, превращая криптобезопасность в геополитический вопрос, к которому регуляторы в Вашингтоне, Брюсселе и Сеуле теперь относятся с особой срочностью.

Показатель 66% и что он на самом деле измеряет

Прежде чем разбирать стратегическую картину, стоит внимательно отнестись к методологии, стоящей за этой цифрой.

Показатель 66,2% относится к доле общих подтверждённых потерь от взломов криптоактивов, приходящейся на кошельки, связанные с КНДР, в H1 2026 — на основе ончейн‑криминалистики, отслеживающей движение средств от исходной кражи через миксеры до окончательного вывода в фиат.

Chainalysis, опубликовавшая наиболее всесторонние лонгитюдные данные по криптопреступлениям, сообщала в своём отчёте о преступности за 2024 год, что связанные с Северной Кореей группы украли примерно 1,34 млрд долларов в ходе 47 инцидентов в 2023‑м — 61% общей стоимости краж за тот год.

Показатель за первую половину 2026‑го свидетельствует о ещё большей концентрации. Он говорит о том, что разрыв между возможностями КНДР и всех остальных акторов угроз растёт, а не сокращается.

Эти 66,2% — самая высокая концентрация государственно спонсируемой кражи цифровых активов, когда‑либо зафиксированная за один шестимесячный период.

Важно понимать, чего показатель 66% не отражает.

Он не включает экзит‑скамы, rug pull‑ы и мошенничество — то, что Chainalysis обычно выделяет в отдельную категорию от взломов. В знаменателе учитываются только подтверждённые потери от хаков.

Включение всех категорий криптопреступности снизило бы долю КНДР в процентах. Но это не уменьшило бы абсолютный украденный долларовый объём.

Читайте также: Спрос на спот XRP растёт, пока бессрочные фьючерсы Binance подают тревожный сигнал на $783M

Как Lazarus Group стала криптосупердержавой

Lazarus Group — зонтичное обозначение, используемое спецслужбами США и частными исследователями для наиболее боеспособных киберподразделений КНДР — начинала не как крипто‑ориентированная структура.

На раннем этапе её профиль включал разрушительные атаки, банковские ограбления через эксплуатацию сети SWIFT и вымогательское ПО.

Поворот к крипто происходил постепенно. По‑настоящему он начался примерно в 2017 году, когда группа нацелилась на южнокорейские биржи, — а затем резко ускорился после взлома сети Ronin в 2022‑м.

Взлом Ronin, в ходе которого Lazarus Group украла примерно 625 млн долларов с сайдчейна Axie Infinity, стал стратегической точкой перелома.

Он показал, что инфраструктура DeFi — со своей сложностью смарт‑контрактов, зависимостью от кросс‑чейн мостов и уязвимостью разработчиков к социальной инженерии — предлагает куда более выгодную поверхность атаки, чем централизованные биржи, усилившие защиту после десятилетия взломов.

Эта кража в 625 млн долларов в марте 2022 года до сих пор остаётся крупнейшим взломом DeFi в истории. Она стала операционным шаблоном для последующих криптокампаний КНДР.

С 2022 года группа систематически оттачивает три вектора атаки.

Первый — компрометация учётных данных разработчиков, обычно через фальшивые предложения работы в LinkedIn, устанавливающие вредоносное ПО при открытии документа или запуске репозитория.

Второй — эксплуатация кросс‑чейн мостов, нацеленная на логику смарт‑контрактов, валидирующих переводы активов между сетями.

Третий — атаки на цепочку поставок ПО, затрагивающие зависимости, используемые криптопротоколами, — техника, впервые получившая широкое распространение в традиционной кибербезопасности и теперь адаптированная под блокчейн‑цели.

Читайте также: Матч Eng vs Ind для трейдеров на prediction‑рынках — уже не только крикет

Цели сместились от бирж к DeFi

Ранняя история крупных криптовзломов писалась за счёт атак на централизованные биржи. Mt. Gox в 2014‑м, Bitfinex в 2016‑м, Coincheck в 2018‑м. Эти атаки опирались на компрометацию инфраструктуры hot‑кошельков, эксплуатацию уязвимостей API или подкуп инсайдеров. Исполнителями часто были оппортунистические криминальные группы, а не государственные акторы с институциональной поддержкой.

Текущий плейбук КНДР принципиально иной. TRM Labs в своём отчёте 2024 Crypto Threat Intelligence установила, что доля общей криптокражи КНДР, приходящаяся на взломы DeFi‑протоколов, а не централизованных бирж, выросла примерно с 30% в 2021‑м до более чем 70% к 2024‑му. Этот сдвиг отражает рост ончейн‑ликвидности как таковой.

Общая стоимость, заблокированная в DeFi‑протоколах по всему миру, достигала пика выше 180 млрд долларов в конце 2021‑го, затем резко снизилась в ходе медвежьего рынка 2022 года и с тех пор восстановилась до уровней, которые вновь делают её привлекательной целью. По данным DefiLlama (см. data) на середину 2026‑го, суммарный TVL DeFi превышает 110 млрд долларов во всех сетях, при этом кросс‑чейн мосты контролируют непропорционально большую долю этой стоимости в виде пулов.

Контракты мостов DeFi структурно привлекательны для сложных атак, потому что агрегируют крупные пулы ликвидности в отдельных смарт‑контрактах и требуют сложной верификации кросс‑чейн сообщений, которую трудно полноценно аудировать.

Кросс‑чейн мосты стали отдельной навязчивой целью для подразделений КНДР из‑за уникального профиля рисков. Контракт моста должен доверять утверждениям удалённой сети, которую он не может нативно проверять. Логика валидации сложна, часто опирается на мультиподпись или доказательство лёгкого клиента. Любой из подходов создаёт эксплуатируемые допущения. Мост Ronin использовал схему мультиподписи 9‑из‑9, которая фактически была размыта до порога 5‑из‑9 через социальную инженерию. Этот порог в пять подписей был затем достигнут атакующими, что позволило им авторизовать выводы, опустошившие мост.

Читайте также: Стоит ли Fable 5 вдвое большей цены, если Opus 4.8 всё ещё справляется?

Вектор фальшивых офферов и таргетинг разработчиков

Наиболее постоянный и недооценённый элемент кампании КНДР в H1 2026 — инфраструктура социальной инженерии, нацеленная на отдельных разработчиков и сотрудников протоколов. Это не взлом в традиционном техническом смысле. Это терпеливая, основанная на отношениях разведоперация, кульминацией которой становится запуск кода.

Стандартный плейбук, детально задокументированный Mandiant в анализе финансовой угрозы APT38 (APT38 financial threat analysis) и американским Агентством по кибербезопасности и безопасности инфраструктуры в CISA Alert AA22-108A, предполагает создание операторами КНДР убедительных профессиональных профилей в LinkedIn, часто с использованием сгенерированных ИИ фотографий. Они обращаются к разработчикам, работающим над криптопротоколами, предлагая контрактную работу, собеседования или возможность провести ревью кода.

В задокументированных случаях операторы КНДР поддерживали отношения в LinkedIn с целевыми крипторазработчиками неделями и месяцами до доставки вредоносного файла, завоёвывая доверие технически грамотными обсуждениями конкретной кодовой базы цели.

Когда цель вовлекается в общение, атакующий в итоге присылает файл, требующий запуска. Это может быть PDF с внедрённым payload, репозиторий на GitHub с вредоносной зависимостью или фальшивое техническое задание, устанавливающее бэкдор. Получив плацдарм на машине разработчика, атакующий может собирать приватные ключи, сессионные токены для внутренних систем и учётные данные для облачной инфраструктуры, используемой для управления деплойментом протоколов.

Такая степень проработанности приёмов отражает институциональные инвестиции в развитие компетенций, которые ни одна частная криминальная группа повторить не может. Киберподразделения КНДР — это госслужащие, занимающиеся этим фулл‑тайм, соблюдающие строгие правила опсек и обладающие многолетними накопленными знаниями о том, какие протоколы уязвимее всего и какие разработчики наиболее доступны для контакта.

Читайте также: Акции TeraWulf растут: сделка с Anthropic превращает биткоин‑майнера в участника AI‑поворота на $19B

Инфраструктура отмывания, стоящая за цифрами краж

Украсть криптовалюту — только первый шаг. Превратить её в доход, пригодный для режима, требует сложной цепочки отмывания, которая сама по себе стала объектом интенсивных ончейн‑исследований. Движение средств после кражи — это тот этап, на котором следователи чаще всего надёжно приписывают атаки КНДР, поскольку группа обладает распознаваемыми поведенческими… шаблоны в том, как она перемещает и скрывает средства.

Chainalysis задокументировала стандартную схему отмывания КНДР как многоэтапный процесс. Похищенные активы сначала обмениваются на Ethereum (ETH) или Bitcoin (BTC) с использованием ончейн‑децентрализованных бирж, что позволяет конвертировать неликвидные токены конкретных протоколов в более ликвидные активы. Затем эти активы проходят через миксеры: группа исторически использовала Tornado Cash, однако его включение в санкционный список OFAC в августе 2022 года вынудило адаптироваться к альтернативным инструментам обфускации, таким как Sinbad и Yomix, которые впоследствии также попали под санкции США.

OFAC внесла миксер Sinbad в санкционный список в ноябре 2023 года, а миксер Yomix — в апреле 2025 года, что демонстрирует динамику «кошки‑мышки», при которой каждый инструмент отмывания КНДР в конечном итоге подвергается санкциям и подталкивает группу к использованию новой инфраструктуры.

После смешивания средства направляются через сеть вложенных аккаунтов на биржах, OTC‑брокеров, работающих в юрисдикциях без эффективного AML‑контроля, и p2p‑платформы. Конечным «выходом в фиат» чаще всего исторически выступали биржи в Восточной и Юго‑Восточной Азии с ограниченным соблюдением KYC. В докладе Группы экспертов ООН за 2024 год по Северной Корее (report) криптовалютные кражи были прямо названы основным источником финансирования программы баллистических ракет КНДР; по оценкам, криптовалютные доходы обеспечивали порядка 40% потребностей страны в иностранной валюте для разработки оружия массового уничтожения.

Также читайте: Ethereum может приблизиться к состоянию “near‑zero” по наиболее радикальному плану «lean chain» от Бутерина

Регуляторный ответ и его пределы

Правительство США задействовало обширный инструментарий против криптоопераций КНДР, включая включение кошельков и миксеров в санкционные списки OFAC, уведомления ФБР с атрибуцией конкретных взломов и совместные рекомендации с союзными разведывательными службами. Министерство юстиции обвиняет по уголовным статьям нескольких поимённо названных операторов КНДР, хотя реальное привлечение их к ответственности практически невозможно из‑за отсутствия механизмов экстрадиции.

Ограничения ответа США носят структурный характер. Санкции на адреса кошельков эффективны только против тех акторов, которые используют регулируемую финансовую инфраструктуру как выход в фиат. Они практически не влияют на продвинутых злоумышленников, маршрутизирующих средства через юрисдикции вне досягаемости американских AML‑правил. Действия OFAC против Tornado Cash были значимыми и спорными, но КНДР адаптировалась за несколько месяцев, перейдя к альтернативной инфраструктуре.

Министерство юстиции выдвинуло обвинения против семи поимённо названных военных хакеров КНДР в связи с операциями по краже криптовалюты, но ни один из них не предстал перед судом. Обвинительные акты в основном выполняют функцию инструментов атрибуции и сдерживающего фактора для сторонних сервисов, которые в противном случае могли бы содействовать перемещению средств.

Группа разработки финансовых мер борьбы с отмыванием денег (ФАТФ), межправительственный орган по выработке AML‑стандартов, повысила Северную Корею до категории наивысшего риска и постоянно призывает юрисдикции‑члены применять усиленную проверку в отношении любых транзакций с вовлечением КНДР. Однако рекомендации ФАТФ не являются обязательными, а юрисдикции, наиболее полезные КНДР для вывода средств в фиат, как правило, не входят в состав ФАТФ или являются членами с низким уровнем имплементации стандартов.

Регламент ЕС Markets in Crypto‑Assets (MiCA), полностью вступивший в силу в конце 2024 года, включает требования «правила путешествия», обязывающие идентифицировать контрагента по криптопереводам выше определённых порогов. Сторонники считают, что это закрывает часть OTC‑каналов для выхода в фиат. Критики отмечают, что операции КНДР достаточно изощрённы, чтобы обходить KYC‑требования с помощью некастодиальных кошельков и юрисдикций за пределами досягаемости ЕС.

Также читайте: Meta’s Muse Image превращает Instagram в сырьё для AI‑арта

Что на самом деле показывают ончейн‑форензика

Атрибуция криптовалютных краж Северной Корее — не политическое заявление. Она опирается на проверяемые ончейн‑данные, которые любой исследователь с доступом к публичным блокчейн‑данным и инструментам кластеризации кошельков может независимо воспроизвести. Понимание того, как работает эта атрибуция, критично для оценки её достоверности.

Когда КНДР крадёт средства из протокола, исходная транзакция сразу видна в блокчейне. Похищенные средства переводятся на контролируемые злоумышленником кошельки, которые затем выполняют последовательность свопов, мостовых транзакций и операций смешивания. Elliptic, ещё одна компания по анализу блокчейна, опубликовала подробную методологию, показывающую, что кошельки КНДР группируются вокруг поведенческих сигнатур, включая специфические временные паттерны, предпочтительные маршруты свопов, характерные «пылинки» (dust), оставляемые на промежуточных кошельках, и тенденцию долго удерживать похищенные средства в кластерах кошельков до их дальнейшего перемещения.

Анализ кластеризации кошельков Elliptic выявил более 15 000 адресов, связанных с операциями по краже КНДР, сформировав граф взаимосвязанных кошельков, который форензики используют для отслеживания перемещения средств даже после их смешивания.

Уведомления ФБР с атрибуцией конкретных взломов, включая инцидент Alphapo и эксплойт Atomic Wallet в 2023 году, основаны на этой форензической методологии в сочетании с засекреченной сигнальной разведкой.

Комбинация публичных ончейн‑данных и правительственной разведки обеспечивает уровень уверенности в атрибуции, превышающий типичный для традиционных расследований киберпреступлений, где ончейн‑доказательства отсутствуют.

Также читайте: Сэйлор утверждает, что рост Bitcoin на 3,3% может поддерживать дивидендную стратегию

Схема с ИТ‑работниками как параллельный канал дохода

Отдельно от взломов КНДР реализует параллельную программу генерации криптодоходов, которая привлекла значительное внимание правоохранителей в 2024–2025 годах. Тысячи граждан Северной Кореи, действующих под вымышленными личностями с использованием документов, сгенерированных ИИ, и технологий дипфейков, получили удалённую работу в криптокомпаниях и Web3‑стартапах по всей Северной Америке и Европе.

Министерство юстиции обвиняет четырнадцать человек в мае 2024 года в организации схемы, посредством которой северокорейские ИТ‑работники были трудоустроены более чем в 300 компаниях США, а заработок направлялся обратно в КНДР.

В обвинительном заключении утверждалось, что отдельные работники зарабатывали от 250 000 до 300 000 долларов в год, а общая схема за несколько лет принесла десятки миллионов долларов.

Обвинительный акт Минюста от мая 2024 года задокументировал, что северокорейские ИТ‑работники зарабатывали до 300 000 долларов в год каждый в крипто‑ и техкомпаниях США, а средства переводились в КНДР через сеть пособников в США, Великобритании и Китае.

Схема с ИТ‑работниками особенно опасна для криптоиндустрии, поскольку она обеспечивает инсайдерский доступ внутри команд разработчиков. ИТ‑специалист с легитимными учетными данными и доступом к репозиторию гораздо опаснее внешнего атакующего, пытающегося прорвать периметр защиты.

Несколько исследователей в области безопасности отмечали, что подозрительные паттерны в коммитах кода, необъяснимый доступ к репозиториям и необычные рабочие часы теперь рассматриваются криптокомпаниями с высокой культурой безопасности как возможные индикаторы причастности ИТ‑работников КНДР.

Пересечение схемы с ИТ‑работниками и кампании социальной инженерии против разработчиков означает, что поверхность атаки КНДР на криптоиндустрию многомерна. Внешние хакеры, скомпрометированные разработчики через фальшивые предложения о работе и внедрённые инсайдеры — все они представляют собой активные векторы угроз, действующие одновременно.

Также читайте: OpenAI добивается одобрения GPT‑5.6, пока Трамп даёт зелёный свет более широкому внедрению ИИ

Более широкий ответ индустрии в сфере безопасности

Ответ индустрии на угрозу со стороны КНДР был существенным, но неравномерным.

Наиболее обеспеченные протоколы сейчас проводят обширные аудиты безопасности до деплоя, запускают программы багбаунти с шестизначными вознаграждениями и содержат внутренние команды безопасности с опытом наступательных исследований.

Такая концентрация инвестиций в безопасность на верхнем уровне протоколов отражает ту же степенную зависимость, которая в целом характерна для крипторынка.

Immunefi, ведущая Web3‑платформа багбаунти, сообщила о совокупных выплатах по баунти свыше 100 млн долларов к середине 2025 года — при этом с её помощью были выявлены уязвимости, которые могли бы привести к потенциальным потерям на миллиарды.

Крупнейшей единовременной выплатой в её истории стало вознаграждение в 10 млн долларов белому хакеру, обнаружившему критический дефект в крупном DeFi‑протоколе до того, как им смогли воспользоваться злоумышленники.

Но такая концентрация расходов на безопасность в топ‑протоколах оставляет более мелкие DeFi‑проекты — которые всё ещё совокупно контролируют миллиарды в TVL — значительно менее защищёнными.

Проблема кроссчейн‑мостов, находящаяся в центре множества крупнейших взломов, породила собственные архитектурные ответы.

Главным из них является переход к более минимально доверенным мостам, использующим доказательства с нулевым разглашением (ZK‑доказательства) для проверки состояния исходной сети без опоры на комитеты валидаторов.

Проекты, включая Succinct Labs и Polyhedra Network, создали инфраструктуру ZK‑лайт‑клиентов, специально разработанную для устранения допущения о доверенном комитете, которое и сделало мосты вроде Ronin уязвимыми.

Будет личто инфраструктура безопасности развивается достаточно быстро, чтобы опережать наращивание возможностей КНДР, по‑настоящему неочевидно.

Доля в 66% в первом полугодии 2026 года показывает, что даже при существенных инвестициях отрасли атакующий не отстаёт.

Также читайте: SpaceXAI хочет убить Claude с помощью курсорного ИИ ещё до закрытия сделки на $60 млрд

Геополитические ставки и что будет дальше

Кража криптовалюты — важнейший источник твёрдой валюты для Северной Кореи.

Это не риторический приём. Это отражает задокументированную оперативную реальность — признанную Минфином США, Организацией Объединённых Наций и союзными разведслужбами.

Группа экспертов ООН оценивала доходы КНДР от кражи криптоактивов примерно в $3 млрд в период с 2017 по 2023 год, причём темпы растут в последние годы.

Эти средства не исчезают в некоей «казне режима» в привычном смысле.

Они напрямую направляются в программы вооружений — в особенности на баллистические ракеты и миниатюризацию ядерных боеголовок, которые являются ключевым стратегическим приоритетом Пхеньяна.

Каждый доллар, украденный из DeFi‑протокола, потенциально превращается в материальные и технические возможности для оружейных систем, которые американские, южнокорейские и японские военные планировщики явно учитывают в своих оценках угроз.

Группа экспертов ООН напрямую связала эти $3 млрд краж в 2017–2023 годах с финансированием программ вооружений — сделав безопасность блокчейна реальной составляющей расчётов региональной безопасности в Северо‑Восточной Азии.

Читайте далее: 5 более дешёвых конкурентов Fable 5: не переплачивайте за повседневную работу с ИИ

Заключительные мысли

Показатель доли в 66,2% за первое полугодие 2026 года — это не статистическое курьёзное отклонение.

Это сигнал о текущем состоянии противостояния между одной из самых сильных в мире государственных киберпрограмм и индустрией, которая исторически ставила скорость вывода продукта на рынок выше операционной безопасности.

Траектория этого противостояния — от оппортунистических взломов бирж в 2017‑м через взлом моста Ronin в 2022‑м до нынешней многовекторной кампании, нацеленной одновременно на разработчиков, мосты и инсайдеров, — показывает противника, который учится, адаптируется и масштабируется быстрее, чем успевают сработать оборонительные инвестиции индустрии.

Структурные факторы, которые играют на руку КНДР, в обозримом будущем никуда не денутся.

У Северной Кореи есть институциональная киберармия без соблазнов частного сектора, без публичной подотчётности и с государственным мандатом зарабатывать деньги любыми доступными средствами.

У криптоиндустрии, напротив, фрагментированный ландшафт безопасности. Самые ценные протоколы всё лучше защищены — но длинный хвост мелких DeFi‑проектов по‑прежнему систематически недофинансирован.

А кроссчейн‑мосты, инфраструктура, которая соединяет островки ликвидности экосистемы, по своей архитектуре остаются настолько сложными, что порождают устойчивые уязвимые допущения.

Отказ от ответственности и предупреждение о рисках: Информация, представленная в этой статье, предназначена только для образовательных и информационных целей и основана на мнении автора. Она не является финансовой, инвестиционной, юридической или налоговой консультацией. Криптоактивы крайне волатильны и подвержены высоким рискам, включая риск потери всех или значительной части ваших инвестиций. Торговля или владение криптоактивами может не подходить для всех инвесторов. Мнения, выраженные в этой статье, принадлежат исключительно автору(ам) и не представляют официальную политику или позицию Yellow, её основателей или руководителей. Всегда проводите собственное тщательное исследование (D.Y.O.R.) и консультируйтесь с лицензированным финансовым специалистом перед принятием любых инвестиционных решений.
Связанные исследовательские статьи
Кражи криптовалюты выходят на новый масштаб: на Северную Корею приходится две трети потерь | Yellow.com