Новости ГайдыАналитика Дайджест месяца Подкасты
Курсы Спецпроекты RU
Крипто · Блокчейн · Цифровая экономика · ИИ
Telegram →
BTC$77,452-0.92%
ETH$2,317-3.06%
BNB$632-1.54%
XRP$1.41-2.62%
SOL$85.46-3.19%
Все курсы →
Новости DeFi Новости Ethereum Новости Solana Новости крипторынка

Северная Корея украла более 500 миллионов долларов в криптовалюте за месяц — угроза в 6,75 миллиарда долларов еще не устранена

А
Аналитик
1 мин 6 просм.
Северная Корея украла более 500 миллионов долларов в криптовалюте за месяц — угроза в 6,75 миллиарда долларов еще не устранена

За менее чем три недели кибероперативы, связанные с Корейской Народно-Демократической Республикой (КНДР), похитили более 500 миллионов долларов с платформ децентрализованных финансов (DeFi). Это событие стало значительным шагом в государственной кампании Пхеньяна по финансированию своих программ вооружений через кражу криптовалюты. Два крупных инцидента, затронувших Drift Protocol и KelpDAO, значительно увеличили общий объем нелегально полученной криптовалюты КНДР в этом году, превысив 700 миллионов долларов.

Увеличение кибератак и новые тактики

Поражения, понесенные в результате атак на Drift и KelpDAO, подчеркивают изменение тактики киберармии Ким Чен Ына, которая все чаще использует сложные уязвимости в цепочках поставок и внедряется в человеческие ресурсы для обхода стандартных мер безопасности. 20 апреля провайдер кросс-цепочной инфраструктуры LayerZero подтвердил, что KelpDAO подвергся атаке, в результате которой было потеряно около 290 миллионов долларов. Этот инцидент, произошедший 18 апреля, стал крупнейшей кражей криптовалюты 2026 года. Первоначальные данные указывают на TraderTraitor, специализированную ячейку, действующую в рамках известной группы Lazarus.

Всего за несколько недель до этого, 1 апреля, децентрализованная биржа на базе Solana Drift Protocol была обворована на сумму около 286 миллионов долларов. Блокчейн-аналитическая компания Elliptic быстро связала методы отмывания средств, последовательность транзакций и сетевые подписи с ранее установленными векторами атак КНДР, отметив, что это был уже 18-й подобный инцидент, зафиксированный в этом году.

Методы атак и их эволюция

Методология апрельских атак демонстрирует развитие подходов киберпреступников, поддерживаемых государством, к децентрализованным финансам (DeFi). Вместо того чтобы атаковать основную инфраструктуру смарт-контрактов, операторы выявляют и используют уязвимости на периферии. В случае атаки на KelpDAO LayerZero объяснил, что хакеры скомпрометировали инфраструктуру удаленного вызова процедур (RPC), используемую в сети децентрализованных верификаторов LayerZero Labs. Путем отравления этих критически важных каналов данных злоумышленники смогли манипулировать операциями протокола, не затрагивая его основную криптографию. Хотя LayerZero уже устранил затронутые узлы и восстановил работу сети, финансовый ущерб был уже нанесен.

Этот косвенный подход подчеркивает тревожную эволюцию в кибервойне. Блокчейн-безопасность Cyvers сообщила, что хакеры, связанные с КНДР, демонстрируют повышенную сложность и инвестируют больше ресурсов как в подготовку, так и в выполнение своих атак. Они постоянно находят самые слабые места, и в данном случае это была третья сторона, а не основная инфраструктура протокола.

Внедрение в криптоиндустрию

Помимо технических атак, КНДР в настоящее время осуществляет масштабное и скоординированное внедрение в глобальный рынок труда в области криптовалют. Модель угрозы кардинально изменилась: вместо удаленных хакерских кампаний происходит внедрение злонамеренных сотрудников непосредственно в компании Web3. Исследование, проведенное проектом Ketman, который работает в рамках программы безопасности ETH Rangers Фонда Ethereum, показало, что около 100 кибероперативов из КНДР в настоящее время работают в различных блокчейн-компаниях.

Они действуют под вымышленными именами и успешно проходят стандартные проверки кадровых служб, получают доступ к конфиденциальным внутренним репозиториям кода и могут находиться в командах разработки в течение месяцев или даже лет, прежде чем инициировать запланированную атаку. Эта терпеливость, напоминающая действия разведывательных агентств, была подтверждена независимым блокчейн-расследователем ZachXBT, который раскрыл специализированную сеть КНДР, зарабатывающую около 1 миллиона долларов в месяц, используя мошеннические личности для получения удаленной работы.

Сеть отмывания денег и выживание в макроэкономике

Масштаб операций КНДР в области цифровых активов значительно превышает деятельность любых традиционных киберпреступных синдикатов. По данным аналитической компании Chainalysis, хакеры, связанные с КНДР, украли рекордные 2 миллиарда долларов только в 2025 году, что составило поразительные 60% всех краж криптовалюты в мире в тот год. Эта цифра была значительно увеличена благодаря разрушительной атаке на биржу Bybit в феврале 2025 года, в результате которой было похищено 1,5 миллиарда долларов. Учитывая жестокую кампанию этого года, общая сумма криптоактивов, похищенных КНДР, оценивается в 6,75 миллиарда долларов.

После кражи операторы группы Lazarus демонстрируют высоко специфические и регионализированные схемы отмывания денег. В отличие от обычных криптопреступников, которые часто используют децентрализованные биржи и пиринговые кредитные протоколы, актеры из КНДР активно избегают их. Вместо этого данные показывают, что они полагаются на китайскоязычные гарантии, глубокие сети внебиржевой торговли и сложные услуги по смешиванию кросс-цепочек. Эта специфическая предрасположенность указывает на структурные ограничения и глубоко укоренившиеся, географически ограниченные выходы, а не на широкий доступ к глобальной финансовой системе.

Как предотвратить атаки?

Исследователи безопасности и руководители отрасли утверждают, что ответ положительный, но только если криптофирмы устранят те же операционные слабости, которые продолжают проявляться в крупных утечках. Терренс Квок, основатель Humanity, отметил, что паттерн многих потерь, связанных с КНДР, все еще указывает на знакомые слабости, а не на совершенно новые формы кибервторжений. По его мнению, северокорейские актеры улучшают как свои методы доступа, так и способность перемещать украденные средства, но ущерб часто все еще связан с плохими мерами контроля доступа и сосредоточенными операционными рисками.

Квок объяснил, что поразительно, как часто ущерб все еще сводится к тем же слабым местам, связанным с контролем доступа и единичными точками отказа. Это указывает на то, что в отрасли все еще существуют основные проблемы с дисциплиной безопасности, которые не были решены. Учитывая это, Квок заявил, что первой линией защиты в отрасли должно стать усложнение перемещения активов. Это означает введение более строгих мер контроля над частными ключами, внутренними разрешениями и доступом третьих сторон по всему программному стеку.

В заключение, необходимо отметить, что криптоиндустрия сталкивается с серьезными вызовами в области безопасности. Атаки, подобные тем, что были осуществлены КНДР, подчеркивают необходимость более строгих мер безопасности и быстрого реагирования на инциденты. Устранение уязвимостей и повышение уровня защиты должны стать приоритетом для всех участников рынка, чтобы предотвратить дальнейшие потери и обеспечить безопасность криптовалютных активов.

Заключение

Ситуация с кибератаками, связанными с КНДР, продолжает оставаться серьезной угрозой для криптоиндустрии. Увеличение числа атак и их сложность требуют от компаний более внимательного подхода к безопасности. Важно, чтобы все участники рынка работали над улучшением своих систем защиты и реагирования на инциденты, чтобы минимизировать риски и защитить свои активы от потенциальных угроз.

DeFi ETH KelpDAO LayerZero RPC TraderTraitor ZachXBT
Поделиться:
Telegram Twitter Facebook