Викрадення криптовалют вийшло на новий рівень, Північна Корея привласнила дві третини коштів

profile-alexey-bondarev
Alexey Bondarev2 годин тому
Викрадення криптовалют вийшло на новий рівень, Північна Корея привласнила дві третини коштів

Одна держава привласнила дві третини кожного долара, викраденого з глобальної криптоекосистеми в першій половині 2026 року.

Це не похибка округлення. І не наслідок одного видовищного пограбування.

Це результат тривалої, індустріалізованої хакерської кампанії — такої, що майже десятиліття відточує свої методи й зараз випереджає всіх інших зловмисників у цій сфері разом узятих.

Масштаб вражає навіть за мірками криптозлочинності, де ніколи не бракувало гучних цифр.

Пов’язані з Північною Кореєю групи забезпечили 66,2% глобальних втрат цифрових активів від зломів у H1 2026, згідно з даними, що циркулюють цього тижня серед дослідників безпеки блокчейна.

Така концентрація втрат в одному кластері загрози означає якісну зміну профілю ризику для всієї індустрії. І це відбувається в момент, коли інституційний капітал надходить у крипто найшвидше з 2021 року.

Коротко

  • Пов’язані з Північною Кореєю хакери захопили 66,2% усіх втрат від зломів криптоактивів у першій половині 2026 року, що є новим піком концентрації державно спонсорованих крадіжок.
  • Lazarus Group та афільйовані підрозділи КНДР еволюціонували від опортуністичних зломів бірж до високоорганізованих операцій проти DeFi‑протоколів, кросчейн‑бриджів і через соціальну інженерію розробників.
  • Викрадені кошти безпосередньо фінансують зброїні програми Північної Кореї, перетворюючи безпеку крипторинку на геополітичне питання, до якого регулятори у Вашингтоні, Брюсселі та Сеулі тепер ставляться з особливою терміновістю.

Показник 66% і що він насправді вимірює

Перш ніж аналізувати стратегічну картину, варто уважно розібратися з методологією цього показника.

Цифра 66,2% означає частку від загальних підтверджених втрат від зломів криптоактивів, що припадає на гаманці, пов’язані з КНДР, у H1 2026 — на основі ончейн‑форензіки, яка відстежує рух коштів від початкової крадіжки через міксери до кінцевого виведення.

Chainalysis, яка публікує найповніші довгострокові дані про криптозлочинність, у своєму повідомленні у Crime Report 2024 року вказала, що пов’язані з Північною Кореєю групи вкрали близько 1,34 млрд доларів у 47 інцидентах у 2023 році — 61% загальної вартості крадіжок за той рік.

Показник за H1 2026 свідчить про ще більшу концентрацію. Він натякає, що розрив між можливостями КНДР та іншими зловмисниками розширюється, а не звужується.

Частка в 66,2% — це найвищий рівень концентрації державно спонсорованих крадіжок цифрових активів, коли‑небудь зафіксований за один шестимісячний період.

Важливо розуміти, чого показник 66% не охоплює.

Він не враховує exit‑сками, rug pull‑и та шахрайство — Chainalysis зазвичай виділяє їх окремо від хаків. У знаменнику враховані лише підтверджені втрати від зломів.

Додавання всіх категорій криптозлочинності знизило б відсоткову частку КНДР. Але це не зменшило б абсолютну суму вкрадених коштів.

Читайте також: Попит на спотовий XRP зростає, тоді як Binance Perps подають попередження на $783 млн

Як Lazarus Group стала криптосупердержавою

Lazarus Group — узагальнююча назва, яку американські розвідслужби та приватні дослідники використовують для найпотужніших кіберпідрозділів КНДР, — не починала як структура, зосереджена на криптовалютах.

Спершу її пов’язували з деструктивними атаками, банківськими пограбуваннями через експлуатацію мережі SWIFT і програмами‑вимагачами.

Поворот до крипто відбувався поступово. По‑справжньому він почався приблизно у 2017 році, коли група націлилась на південнокорейські біржі, — а потім різко прискорився після злому мережі Ronin у 2022‑му.

Злам Ronin, під час якого Lazarus Group вкрала приблизно 625 млн доларів з сайдчейну Axie Infinity, став стратегічною точкою перелому.

Він показав, що інфраструктура DeFi — з її складністю смартконтрактів, залежністю від кросчейн‑бриджів та вразливістю до соціальної інженерії розробників — пропонує набагато вигіднішу поверхню атаки, ніж централізовані біржі, які за десятиріччя зломів суттєво посилили захист.

Ця крадіжка на 625 млн доларів у березні 2022 року й досі залишається найбільшим зломом DeFi в історії. Вона стала оперативним шаблоном для наступних криптокампаній КНДР.

З 2022 року група системно відточує три основні вектори атак.

Перший — скомпрометовані облікові дані розробників, зазвичай через фейкові пропозиції роботи в LinkedIn, які встановлюють шкідливе ПЗ, щойно ціль відкриває документ або запускає репозиторій.

Другий — експлуатація кросчейн‑бриджів, націлена на смартконтрактну логіку, що перевіряє перекази активів між мережами.

Третій — атаки на ланцюг постачання в програмному забезпеченні, від якого залежать криптопротоколи, — техніка, що набула популярності в класичній кібербезпеці й тепер адаптована для блокчейнів.

Читайте також: Матч Англія — Індія для трейдерів предикшен‑ринків — вже не тільки про крикет

Профіль цілей змістився з бірж до DeFi

Рання історія великих криптозломів писалась атаками на централізовані біржі. Mt. Gox у 2014, Bitfinex у 2016, Coincheck у 2018. Ці атаки спиралися на компрометацію гарячих гаманців, експлуатацію вразливостей API або підкуп інсайдерів. Зловмисниками часто були опортуністичні кримінальні групи, а не державні структури з інституційною підтримкою.

Поточна стратегія КНДР принципово інша. TRM Labs у своєму звіті 2024 Crypto Threat Intelligence виявила, що частка крадіжок криптоактивів КНДР, яка припадає на експлойти DeFi‑протоколів, а не на зломи централізованих бірж, зросла приблизно з 30% у 2021‑му до понад 70% до 2024‑го. Цей зсув відображає зростання самої ончейн‑ліквідності.

Сукупна вартість, заблокована в DeFi‑протоколах по всьому світу, сягнула піку понад 180 млрд доларів наприкінці 2021 року, різко впала під час ведмежого ринку 2022‑го й відтоді відновилася до рівнів, які знову є привабливою ціллю. За даними DefiLlama (див. data) станом на середину 2026 року загальний TVL у DeFi перевищує 110 млрд доларів на всіх мережах, причому кросчейн‑бриджі контролюють непропорційно велику частку цієї вартості в пуловій формі.

Контракти DeFi‑бриджів структурно привабливі для складних атак, оскільки вони акумулюють великі пули ліквідності в окремих смартконтрактах і вимагають складної перевірки кросчейн‑повідомлень, яку важко повністю аудитувати.

Кросчейн‑бриджі стали окремою «одержимістю» підрозділів КНДР через їхню специфічну карту ризиків. Контракт бриджа має довіряти твердженням із віддаленого ланцюга, який він не може нативно верифікувати. Логіка валідації складна, часто покладається на мультипідписний комітет або легкий клієнт‑доказ. Обидва підходи створюють експлойтибельні припущення. Бридж Ronin використовував схему multisig «дев’ять із дев’яти», яка через соціальну інженерію де‑факто перетворилася на поріг «п’ять із дев’яти». Далі атакувальники отримали контроль над п’ятьма підписами й санкціонували виведення, що вичерпало бридж.

Читайте також: Чи вартий Fable 5 подвійної ціни, якщо Opus 4.8 все ще «вивозить»?

Вектор фейкових вакансій і націлювання на розробників

Найпослідовніший і водночас недооцінений елемент кампанії КНДР у H1 2026 — це інфраструктура соціальної інженерії, що націлена на окремих розробників і співробітників протоколів. Це не «технічний» злам у традиційному сенсі. Це тривала, побудована на відносинах розвідувальна операція, яка просто зрештою завершується виконанням шкідливого коду.

Стандартний сценарій, докладно описаний Mandiant у звіті APT38 financial threat analysis і Агентством кібербезпеки та безпеки інфраструктури США (CISA) в CISA Alert AA22-108A, передбачає, що оперативники КНДР створюють переконливі професійні профілі в LinkedIn, часто з використанням згенерованих ШІ фотографій. Вони контактують із розробниками, які працюють у криптопротоколах, пропонуючи підряди, співбесіди або рев’ю коду.

У задокументованих випадках оперативники КНДР підтримували стосунки з розробниками‑цілями в LinkedIn протягом тижнів або місяців, перш ніж надіслати шкідливе ПЗ, вибудовуючи довіру через технічно змістовні розмови про конкретну кодову базу цілі.

Коли ціль іде на контакт, атакувальник зрештою надсилає файл, який треба виконати. Це може бути PDF із вбудованим пейлоудом, репозиторій GitHub із шкідливою залежністю або фейкове технічне завдання, що встановлює бекдор. Отримавши плацдарм на машині розробника, зловмисники можуть викрасти приватні ключі, токени сесій для внутрішніх систем і облікові дані хмарної інфраструктури, що використовується для керування деплоєм протоколу.

Така «ремесленість» свідчить про інституційну інвестицію в розвиток спроможностей, яку жодна приватна кримінальна група відтворити не може. Кіберпідрозділи КНДР — це штатні співробітники, які тренуються повний робочий день, діють за суворими правилами операційної безпеки й мають роки накопичених знань про те, які протоколи найбільш вразливі й які розробники — найзручніші цілі.

Читайте також: Акції TeraWulf зростають, адже угода з Anthropic переформатовує біткоїн‑майнера в AI‑гравця з оцінкою $19 млрд

Інфраструктура відмивання коштів за цифрами крадіжок

Викрасти криптовалюту — лише перший крок. Перетворити її на придатні для режиму доходи вимагає складного ланцюга відмивання, який сам став об’єктом інтенсивних ончейн‑досліджень. Саме рух коштів після крадіжки найчастіше дозволяє слідчим приписати атаки КНДР, оскільки група має впізнавані поведінкові шаблони в тому, як він рухає й приховує кошти.

Chainalysis задокументувала стандартну схему відмивання коштів КНДР як багатоступеневий процес. Викрадені активи спочатку обмінюються на Ethereum (ETH) або Bitcoin (BTC) за допомогою децентралізованих бірж у ланцюгу, що перетворює неліквідні токени окремих протоколів на більш ліквідні активи. Потім ці активи проходять через сервіси мікшування; раніше група використовувала Tornado Cash, але після санкцій OFAC у серпні 2022 року була змушена адаптуватися до альтернативних інструментів обфускації, включно з Sinbad та Yomix, які згодом також потрапили під санкції США.

OFAC вніс мікшер Sinbad до санкційного списку у листопаді 2023 року, а мікшер Yomix — у квітні 2025 року, демонструючи динаміку «кішки-мишки», за якої кожен інструмент відмивання коштів КНДР зрештою підпадає під санкції, що змушує групу переходити до нової інфраструктури.

Після мікшування кошти спрямовуються через мережу вкладених біржових акаунтів, позабіржових брокерів (OTC), що працюють у юрисдикціях без ефективного контролю AML, та peer‑to‑peer платформи. Найпоширенішим кінцевим «оф-рампом» історично були біржі у Східній та Південно-Східній Азії з обмеженим застосуванням KYC. У звіті Панелі експертів ООН за 2024 рік report щодо Північної Кореї прямо названо доходи від криптовалютних крадіжок основним джерелом фінансування програми балістичних ракет КНДР; оцінюється, що криптодохід забезпечував приблизно 40% потреб у іноземній валюті для розробки зброї масового знищення.

Також читайте: Ethereum Could Go Near-Zero State Under Buterin’s Most Radical Lean Chain Plan

Регуляторна відповідь та її обмеження

Уряд США застосував значний набір інструментів проти криптооперацій КНДР, включно з санкціями OFAC щодо гаманців і сервісів мікшування, повідомленнями ФБР про причетність до конкретних зламів та спільними рекомендаціями з союзними розвідорганами. Міністерство юстиції пред’явило обвинувачення кільком іменованим операторам КНДР, хоча фактичне притягнення до суду практично неможливе через відсутність механізмів екстрадиції.

Обмеження відповіді США має структурний характер. Санкції щодо адрес гаманців ефективні лише проти учасників, які використовують регульовану фінансову інфраструктуру як «оф-рамп». Вони майже не впливають на досвідчених зловмисників, які проводять транзакції через юрисдикції поза досяжністю режиму AML США. Дії OFAC проти Tornado Cash були значущими й спірними, але КНДР адаптувалася за кілька місяців, мігрувавши до альтернативної інфраструктури.

Міністерство юстиції висунуло обвинувачення семи іменованим військовим хакерам КНДР у зв’язку з операціями з викрадення криптовалюти, але жоден з них не постав перед судом. Обвинувальні акти виконують головно функцію інструментів атрибуції та стримування для сторонніх сервісів, які інакше могли б сприяти переміщенню коштів.

Фінансова група боротьби з відмиванням грошей (FATF), міжурядовий орган зі встановлення стандартів AML, підвищила КНДР до найвищої категорії ризику та постійно закликає юрисдикції-члени застосовувати посилену належну перевірку щодо будь-яких транзакцій із північнокорейським зв’язком. Однак рекомендації FATF не є обов’язковими для виконання, а юрисдикції, найбільш корисні КНДР для виведення коштів, зазвичай або не є членами FATF, або мають слабкі показники імплементації стандартів.

Регламент ЄС Markets in Crypto-Assets (MiCA), який повністю набув чинності наприкінці 2024 року, містить вимоги «правила подорожі» (travel rule), що зобов’язують ідентифікувати контрагентів для криптопереказів понад певні порогові суми. Прихильники стверджують, що це перекриває деякі OTC-канали виведення. Критики зауважують, що операції КНДР є достатньо витонченими, щоб обходити вимоги KYC через використання некастодіальних гаманців і юрисдикцій поза досяжністю ЄС.

Також читайте: Meta’s Muse Image Turns Instagram Into The Raw Material For AI Art

Що насправді показує ончейн‑форензіка

Покладання відповідальності за криптокрадіжки на Північну Корею не є політичною заявою. Воно ґрунтується на верифікованих ончейн‑даних, які може незалежно відтворити будь-який дослідник, що має доступ до публічних блокчейн‑даних і інструментів кластеризації гаманців. Розуміння того, як працює ця атрибуція, є ключовим для оцінки її достовірності.

Коли КНДР зламує протокол, початкова транзакція негайно стає видимою в ланцюгу. Викрадені кошти надходять на гаманці, контрольовані атакуючим, які потім виконують послідовність свопів, транзакцій через мости та операцій мікшування. Elliptic, ще одна компанія з блокчейн‑аналітики, опублікувала детальну методологію, яка показує, що гаманці КНДР групуються навколо поведінкових ознак, включно з певними часовими патернами, улюбленими маршрутами свопів, характерними «пиловими» залишками на проміжних гаманцях і схильністю тримати викрадені кошти у кластері гаманців протягом тривалого часу до їх подальшого переміщення.

Аналіз кластеризації гаманців від Elliptic ідентифікував понад 15 000 адрес, пов’язаних з операціями крадіжок КНДР, створивши граф взаємопов’язаних гаманців, який судові аналітики використовують для відстеження потоків коштів навіть після мікшування.

Повідомлення ФБР про причетність до конкретних зламів, включно з атакою на Alphapo і експлойтом Atomic Wallet у 2023 році, базуються на цій форензичній методології в поєднанні з засекреченою розвідувальною інформацією (SIGINT).

Поєднання публічних ончейн‑даних і державної розвідки забезпечило рівень упевненості в атрибуції, який перевищує типовий для традиційних розслідувань кіберзлочинів, де ончейн‑докази відсутні.

Також читайте: Saylor Says 3.3% Bitcoin Growth Can Keep Strategy Dividends Alive

Схема з IT‑працівниками як паралельний канал надходжень

Окремо від хакерських операцій КНДР здійснює паралельну програму отримання криптодохідності, яка привернула значну увагу правоохоронних органів у 2024–2025 роках. Тисячі громадян Північної Кореї, що діють під фальшивими особистостями з використанням створених ШІ документів та технологій дипфейкового відео, отримали віддалену роботу в криптокомпаніях і Web3‑стартапах по всій Північній Америці та Європі.

Міністерство юстиції у травні 2024 року пред’явило обвинувачення чотирнадцятьом особам за організацію схеми, яка влаштовувала північнокорейських IT‑працівників у понад 300 компаній США, при цьому заробіток спрямовувався назад до КНДР.

В обвинувальному акті стверджувалося, що окремі працівники заробляли від 250 000 до 300 000 доларів на рік, а загалом схема генерувала десятки мільйонів доларів протягом кількох років.

Обвинувальний акт Міністерства юстиції від травня 2024 року задокументував, що північнокорейські IT‑працівники заробляли до 300 000 доларів на рік кожен у крипто‑ та техкомпаніях США, а кошти переводилися до КНДР через мережу посередників у США, Великій Британії та Китаї.

Схема з IT‑працівниками є особливо підступною для криптоіндустрії, оскільки вона забезпечує інсайдерський доступ усередині команд розробників. IT‑фахівець із легітимними обліковими даними та доступом до репозиторію є небезпечнішим, ніж зовнішній зловмисник, який намагається прорватися через периметрові засоби захисту.

Кілька дослідників безпеки зазначили, що підозрілі патерни в комітах коду, незрозумілий доступ до репозиторіїв та нетипові години роботи тепер розглядаються безпеково орієнтованими криптокомпаніями як потенційні індикатори присутності IT‑працівників КНДР.

Перетин схеми з IT‑працівниками та кампанії соціальної інженерії проти розробників означає, що площа атаки КНДР на криптоіндустрію є мультивимірною. Зовнішні хакери, скомпрометовані розробники через фальшиві пропозиції роботи та впроваджені інсайдери — усе це активні вектори загрози, що діють одночасно.

Також читайте: OpenAI Wins GPT-5.6 Approval As Trump Clears Wider AI Rollout

Ширша відповідь індустрії на загрозу безпеці

Реакція індустрії на загрозу з боку КНДР була суттєвою, але нерівномірною.

Найбільш забезпечені протоколи нині проводять масштабні аудиті безпеки перед розгортанням, запускають програми багбаунті з винагородами у шість цифр і утримують внутрішні команди безпеки з бекґраундом в офенсивних дослідженнях.

Ця концентрація інвестицій у безпеку на верхньому щаблі протоколів відображає ту саму степеневу закономірність, яка характерна для криптоіндустрії загалом.

Immunefi, провідна платформа багбаунті у Web3, повідомила про загальні виплати за багбаунті понад 100 мільйонів доларів станом на середину 2025 року — завдяки виявленню вразливостей, які могли б призвести до потенційних збитків на мільярди.

Найбільша одноразова виплата в її історії становила 10 мільйонів доларів білим хакерам, які виявили критичну вразливість у великому DeFi‑протоколі до її експлуатації.

Але така концентрація витрат на безпеку у провідних протоколах залишає менші DeFi‑проєкти — які колективно все ще контролюють мільярди доларів TVL — значною мірою незахищеними.

Проблема кросчейн‑мостів, що лежить в основі такої кількості масштабних зламів, породила власні архітектурні відповіді.

Найголовнішою серед них є перехід до більш довірчо‑мінімізованих мостів, що використовують докази з нульовим розголошенням (ZK‑докази) для верифікації стану вихідного ланцюга без покладання на комітети валідаторів.

Такі проєкти, як Succinct Labs та Polyhedra Network, створили інфраструктуру ZK‑легких клієнтів, спеціально розроблену для усунення припущення про «довірений комітет», яке зробило мости на кшталт Ronin вразливими.

Чи зможе…що інфраструктура безпеки розвивається достатньо швидко, аби випереджати розвиток спроможностей КНДР, насправді лишається під питанням.

Частка у 66% у першій половині 2026 року свідчить, що навіть за умов значних інвестицій індустрії зловмисник не відстає.

Також читайте: SpaceXAI хоче створити «вбивцю Claude» на базі Cursor ще до закриття угоди на $60 млрд

Геополітичні ставки та що буде далі

Крадіжка криптовалют є найважливішим джерелом твердої валюти для Північної Кореї.

Це не риторична фігура. Це відображає задокументовану операційну реальність — визнану Міністерством фінансів США, Організацією Об’єднаних Націй та розвідслужбами країн-союзників.

Група експертів ООН оцінювала надходження КНДР від крадіжки криптовалют приблизно у $3 мільярди в період з 2017 по 2023 роки, причому темпи зростають у наступні роки.

Ці кошти не зникають у скарбниці режиму в будь-якому звичному розумінні.

Вони безпосередньо спрямовуються на програми озброєнь — зокрема на балістичні ракети та мініатюризацію ядерних боєголовок, що є головним стратегічним пріоритетом Пхеньяна.

Кожен долар, украдений із DeFi‑протоколу, потенційно перетворюється на матеріальну й технічну спроможність для систем озброєнь, які аналітики оборонних відомств США, Південної Кореї та Японії безпосередньо враховують у своїх оцінках загроз.

Група експертів ООН пов’язала ці $3 мільярди крадіжок у період з 2017 по 2023 роки безпосередньо з фінансуванням програм озброєнь — перетворивши безпеку блокчейну на реальний елемент розрахунків регіональної безпеки у Східній Азії.

Читайте далі: 5 дешевших конкурентів Fable 5: не переплачуйте за щоденну роботу з ШІ

Завершальні думки

Показник частки у 66,2% за першу половину 2026 року — це не статистична цікавинка.

Це сигнал про поточний стан протистояння між однією з найспроможніших державних кіберпрограм у світі та індустрією, яка історично віддавала перевагу швидкому виходу на ринок, а не операційній безпеці.

Траєкторія цього протистояння — від опортуністичних зламів бірж у 2017 році через злам мосту Ronin у 2022‑му до нинішньої багатовекторної кампанії, що одночасно націлюється на розробників, мости та інсайдерів, — демонструє зловмисника, який навчається, адаптується і масштабується швидше, ніж індустрія встигає наростити оборонні інвестиції.

Структурні чинники, що грають на користь КНДР, у близькій перспективі нікуди не зникнуть.

У Північної Кореї є інституціоналізована кіберармія без спокус приватного сектору, без публічної підзвітності та з державним мандатом генерувати дохід будь‑якими доступними засобами.

Криптоіндустрія, навпаки, має розпорошений ландшафт безпеки. Найцінніші протоколи стають дедалі краще захищеними — але довгий хвіст менших DeFi‑проєктів системно недоотримує ресурси.

А кросчейн‑мости — інфраструктура, що з’єднує «острови» ліквідності в екосистемі, — залишаються архітектурно складними у спосіб, який створює стійкі, придатні до експлуатації припущення.

Відмова від відповідальності та попередження про ризики: Інформація, надана в цій статті, призначена лише для освітніх та інформаційних цілей і базується на думці автора. Вона не є фінансовою, інвестиційною, правовою чи податковою консультацією. Криптоактиви є надзвичайно волатильними та піддаються високому ризику, включаючи ризик втрати всіх або значної частини ваших інвестицій. Торгівля або утримання криптоактивів може не підходити для всіх інвесторів. Думки, висловлені в цій статті, належать виключно автору(ам) і не представляють офіційну політику чи позицію Yellow, її засновників або керівників. Завжди проводьте власне ретельне дослідження (D.Y.O.R.) та консультуйтесь з ліцензованим фінансовим фахівцем перед прийняттям будь-яких інвестиційних рішень.
Схожі дослідницькі статті
Викрадення криптовалют вийшло на новий рівень, Північна Корея привласнила дві третини коштів | Yellow.com