Branża kryptowalut doświadczyła w 2025 roku dużego wzrostu globalnej kradzieży kryptowalut. Zgodnie z nowym raportem Chainalysis, w tym okresie stracono ponad 3,4 miliarda USD. Szczególnie w centrum uwagi znalazł się kurs Bitcoina oraz bezpieczeństwo na giełdach kryptowalut. Przede wszystkim hakerzy z Korei Północnej wnieśli w tym roku największy wkład w skradzione fundusze.
Korea Północna szokuje rekordem: ujawniono kradzież kryptowalut o wartości 2 miliardów USD!
W bieżącym raporcie firma zajmująca się analizą blockchain, Chainalysis, wskazuje, że ataki z Korei Ludowo-Demokratycznej stały się rzadsze, ale skradziono szczególnie wysokie kwoty – rekordowy rok w kradzieży kryptowalut.
Północnokoreańscy hakerzy zrabowali w 2025 roku co najmniej 2,02 miliarda USD w aktywach cyfrowych. To wzrost o 51 procent w porównaniu do roku poprzedniego. W porównaniu do 2020 roku stanowi to wzrost o około 570 procent.
„Rekordowa wartość w tym roku wynika z zdecydowanie mniejszej liczby znanych incydentów. Ten rozwój - mniej incydentów, ale znacznie wyższe kwoty - pokazuje, jak silnie wpłynął wielki atak na Bybit w marcu 2025 roku,” mówi Chainalysis.
Zgodnie z raportem, powiązane z Północną Koreą podmioty były odpowiedzialne za rekordowe wartości ataków na usługi kryptograficzne. Udział wyniósł w 2025 roku 76 procent.
Łączna szacunkowa kwota skradzionych przez Północną Koreę kryptowalut wynosi teraz co najmniej 6,75 miliarda USD.
„Ten rozwój kontynuuje długoterminowy trend. Północnokoreańscy hakerzy są bardzo zaawansowani, a ich działania w 2025 roku pokazują, że nieustannie opracowują nowe taktyki i cele,” powiedział Andrew Fierman, szef krajowego wywiadu ds. bezpieczeństwa w Chainalysis, w rozmowie z BeInCrypto.
Patrząc na dane historyczne, Chainalysis zauważa, że ataki z Północnej Korei często dotyczą znacznie wyższych kwot niż ataki innych grup.
„Ten wzór pokazuje, że północnokoreańscy hakerzy celowo atakują duże usługi kryptograficzne. Chcą wyrządzić maksymalne szkody,” mówi raport.
Chainalysis informuje, że hakerzy związani z Północną Koreą coraz częściej umożliwiają szczególnie duże kradzieże poprzez infiltrację pracowników technicznych w firmach kryptograficznych. W ten sposób - jedna z ich najważniejszych metod ataku - napastnicy uzyskują podwyższone uprawnienia dostępu i mogą przeprowadzać poważne ataki. Dlatego środki bezpieczeństwa blockchain i kryptowalut są szczególnie w centrum uwagi.
W lipcu analityk blockchain ZachXBT opublikował raport, według którego powiązane z Północną Koreą podmioty mogły infiltrować od 345 do 920 miejsc pracy w firmach kryptograficznych.
„Rekordowy rok prawdopodobnie wynika też z tego, że Północna Korea intensyfikowała infiltrację IT w giełdach kryptograficznych, depozytariuszach i firmach Web3. W ten sposób szybko uzyskują dostęp i mogą później ukraść większe kwoty,” głosi raport.
Napastnicy wykorzystują także metody takie jak celowe rekrutacje i podszywanie się pod pracodawców, aby uzyskać dane logowania pracowników branży.
Niedawno BeInCrypto informowało również, że hakerzy występują w fałszywych spotkaniach Zoom lub Microsoft Teams jako znani kontakty kryptograficzne i w ten sposób mogli ukraść ponad 300 mln USD.
„DVRK zawsze będzie poszukiwać nowych metod ataku i znajdować istniejące słabości, aby zdobyć pieniądze. Ponieważ Północna Korea ma ograniczony dostęp do gospodarki światowej, tworzy to wysoko zmotywowane i profesjonalne zagrożenie, które chce zabezpieczyć jak najwięcej kapitału dla reżimu. Dlatego kompromitacje kluczy prywatnych w centralnych usługach kryptograficznych stanowią znaczną część strat w tym roku,” tłumaczy Fierman.
„Chainalysis ujawnia: Tak Północnokoreańscy hakerzy piorą kryptowaluty w zaledwie 45 dni!”
Chainalysis odkryło, że Północna Korea przy praniu skradzionych kryptowalut postępuje inaczej niż inne grupy. Często pranie pieniędzy odbywa się w małych transakcjach blockchainowych - w ponad 60 procentach przypadków chodzi o transfery o wartości poniżej 500 000 USD.
W przeciwieństwie do tego, inni napastnicy przekazują większość łupu naraz - często między 1 mln USD a ponad 10 mln USD. Chainalysis wyjaśnia, że to podejście Północnej Korei pokazuje, że mimo wysokich sum kradzieży działają bardzo celowo i z dużą profesjonalizmem.
Firma dostrzega również różnice w wykorzystywanych usługach: Północnokoreańscy hakerzy przede wszystkim polegają na chińskojęzycznych usługach finansowych, mostach i narzędziach do mieszania, aby zatarć swoje ślady. Korzystają także z wyspecjalizowanych platform takich jak Huione do prania pieniędzy.
Inne grupy korzystają z DEX-ów, centralnych giełd kryptograficznych, usług peer-to-peer i protokołów pożyczkowych.
„Te wzorce pokazują, że Północna Korea działa w innych warunkach i z innymi celami niż niepaństwowi cyberprzestępcy. Intensywne korzystanie z profesjonalnych chińskojęzycznych usług prania pieniędzy i dealerów OTC sugeruje, że północnokoreańscy aktorzy zagrożeń ściśle współpracują z sieciami przestępczymi w regionie Azji i Pacyfiku. Pasuje to do tradycyjnego korzystania Północnej Korei z sieci w Chinach, aby uzyskać dostęp do międzynarodowego systemu finansowego,” mówi firma analityczna.
Chainalysis zaobserwowało, że północnokoreańskie grupy przestrzegają wyraźnej sekwencji przy praniu pieniędzy z kryptowalut, która często trwa 45 dni. Bezpośrednio po ataku (dzień zero do pięciu) te podmioty próbują najpierw jak najszybciej usunąć skradzione monety z miejsca pochodzenia. W tej fazie szczególnie wzrasta wykorzystanie protokołów DeFi i usług mieszania.
W drugim tygodniu (dzień sześć do dziesięciu) aktywność przesuwa się na usługi, które umożliwiają szerszą integrację. Przepływy pieniężne docierają do pierwszych centralnych giełd kryptograficznych i platform, na których prawie nie ma weryfikacji KYC.
Pranie przez inne usługi mieszające postępuje później wolniej. Jednocześnie wykorzystywane są mosty międzyłańcuchowe, aby dalej ukrywać ścieżki monet.
„Ta faza to kluczowa zmiana, w której monety kierują się w stronę możliwych punktów wypłaty,” skomentowała firma.
W ostatniej fazie (dzień 20 do 45) coraz więcej usług staje się dominujących, które umożliwiają konwersję lub wypłatę monet. Giełdy bez KYC, modele gwarancyjne, platformy natychmiastowej wymiany oraz oferty w języku chińskim są w tym przypadku częściej wykorzystywane. Ponadto następuje ponowny wzrost wykorzystania centralnych giełd kryptograficznych w celu zmieszania nielegalnych monet z legalnymi działaniami.
Zgodnie z Chainalysis, zawsze widoczne 45-dniowe wzorce w praniu pieniędzy pomagają dostarczyć cennych wskazówek dla organów ścigania. Ponadto pokazuje, jakie procesy i zależności mają napastnicy oraz na jakich pomocników polegają.
„Północna Korea stawia na szybką i skuteczną taktykę prania. Dlatego szybka reakcja całej branży jest konieczna: od wymiany po analizę blockchaina, organy ścigania i prywatne firmy powinny ściśle współpracować, aby zatrzymać skradzione monety - niezależnie od tego, czy przepływają przez stablecoiny, czy lądują na giełdzie, gdzie mogą być natychmiast zablokowane,” powiedział Fierman.
Nawet jeśli nie wszystkie skradzione monety podążają za tym schematem, wzór ten opisuje typowe zachowanie na blockchainie. Zespół jednak zwraca uwagę, że mogą występować martwe punkty: Niektóre działania, takie jak transfery kluczy prywatnych czy transakcje OTC poza łańcuchem, są często niewidoczne w danych on-chain bez dodatkowych informacji.
Perspektywy na 2026 rok
Szef krajowej analizy bezpieczeństwa w Chainalysis powiedział w BeInCrypto, że Północna Korea poszukuje każdej słabości. Incydenty związane z Bybit, BTCTurk i Upbit w tym roku pokazują, że zcentralizowane giełdy kryptograficzne coraz bardziej znajdują się w celowniku. Metody napastników mogą się jednak w każdej chwili zmienić.
Ostatnie ataki na Balancer i Yearn pokazują, że nawet uznane protokoły DeFi nie są bezpieczne i stają się celem napastników. Dodał dalej:
„Chociaż nie możemy przewidzieć, co wydarzy się w 2026 roku, wiemy, że Północna Korea zawsze dąży do maksymalnych zysków. Dlatego dostawcy z dużymi rezerwami muszą przestrzegać szczególnie wysokich standardów bezpieczeństwa, aby nie stać się następnym celem.”
Raport podkreśla dalej: Ponieważ Północna Korea coraz bardziej wykorzystuje skradzione kryptowaluty do finansowania projektów państwowych i unikania sankcji, branża musi zrozumieć: te podmioty mają zupełnie inne ograniczenia i zachęty niż zwykli cyberprzestępcy.
„Rekord Północnej Korei w roku 2025 - uzyskany przy 74 procentach mniej znanych ataków - sugeruje, że widzimy tylko najbardziej widoczną część ich działań,” napisała Chainalysis.
Firma podkreśla, że dużym wyzwaniem na 2026 rok będzie wczesne wykrywanie i zatrzymywanie tych ukierunkowanych ataków, zanim podmioty z Północnej Korei znów przeprowadzą atak w skali podobnej do ataku na Bybit.
