По данным отчёта компании CertiK Skynet, хакерские группировки, связанные с Северной Кореей, похитили криптоактивы на общую сумму $6,75 млрд в период с 2016 года по начало 2026 года. Экспертами зафиксировано 263 атаки за этот период.

Аналитики CertiK отмечают эволюцию методов северокорейских киберпреступников: если изначально они искали уязвимости в коде, то сейчас основной упор делается на социальную инженерию и атаки на цепочки поставок.

Меньше атак, больше ущерб

Характерная особенность северокорейских кибергрупп — целенаправленность и планирование операций. Статистика показывает: количество инцидентов снижается, но убытки от каждого растут.

В 2025 году из 656 зафиксированных взломов криптопроектов только 79 были связаны с КНДР. Однако именно эти атаки принесли $2,06 млрд убытков — 60% от общего ущерба индустрии в $3,4 млрд за год.

С начала 2026 года индустрия потеряла $1,1 млрд в результате 185 взломов. На северокорейские группировки приходится $620,9 млн — около 55% от общей суммы. Почти половина этого ущерба связана с одной атакой на проект KelpDAO.

Социальная инженерия вместо взлома кода

CertiK провели детальный анализ трёх крупнейших инцидентов: взлом моста Ronin, биржи Bybit и протокола Drift. Совокупные потери составили $2,4 млрд. Во всех случаях хакеры использовали методы социальной инженерии, а не поиск уязвимостей в смарт-контрактах.

«На протяжении почти десяти лет операций их основным вектором атак редко был код. Почти всегда — люди», — подчёркивают авторы отчёта.

Наиболее уязвимым звеном эксперты называют цепочки поставок — поставщиков услуг, подрядчиков и сотрудников криптокомпаний. Хакеры КНДР готовы месяцами готовить атаку, внедряясь в окружение целевой организации.

Промышленная инфраструктура отмывания средств

Северная Корея создала масштабную систему отмывания украденных активов. Инфраструктура включает миксеры, кроссчейн-мосты, децентрализованные биржи и сеть OTC-брокеров. По данным CertiK, средства от взломов направляются на финансирование военных программ КНДР.

Причина активности северокорейских хакеров — международные санкции, изолировавшие страну от глобальной финансовой системы. Криптовалюта стала для режима способом обойти эти ограничения.

«Цифровые активы можно похищать дистанционно, перемещать через границы без посредников и конвертировать в фиат через сети соучастников или ничего не подозревающих брокеров», — отмечают эксперты.

Государственная структура хакерских операций

По информации CertiK, северокорейские хакеры — не независимые преступники, а государственные служащие. Наиболее известная группировка Lazarus Group является зонтичной структурой для нескольких специализированных подразделений.

Именно государственное финансирование позволяет хакерам КНДР планировать сложные многомесячные операции, тогда как обычные киберпреступники действуют оппортунистически, атакуя доступные цели.

Что это значит для российских инвесторов

Для пользователей из России угроза северокорейских хакеров актуальна, если вы держите средства на биржах или используете DeFi-протоколы. Наиболее защищёнными считаются крупные международные площадки вроде Bybit, MEXC и OKX, доступные россиянам — они инвестируют в многоуровневую защиту и проходят регулярные аудиты безопасности.

Практические рекомендации: включайте двухфакторную аутентификацию на всех аккаунтах, не переходите по ссылкам в личных сообщениях от незнакомцев (даже если они представляются сотрудниками биржи), храните основную часть средств в холодных кошельках. Будьте особенно осторожны с новыми DeFi-проектами — именно цепочки поставок и молодые протоколы наиболее уязвимы для социальной инженерии. При использовании обменников выбирайте проверенные сервисы с историей работы и резервами.