Північнокорейські хакери за місяць викрали 500 мільйонів доларів США, ставши головною загрозою безпеці криптовалют.

Написано: Oluwapelumi Adejumo

Переклад: Chopper, Foresight News

За менш ніж три тижні, пов’язані з Північною Кореєю хакерські групи викрали понад 500 мільйонів доларів з криптовалютних платформ DeFi, прорив у атаках хакерів змістився з основних смарт-контрактів на периферійні вразливості інфраструктури.

Злочини Drift та KelpDAO

Два серйозні напади на Drift Protocol та KelpDAO вже принесли Північнокорейським хакерам понад 700 мільйонів доларів незаконних доходів у цьому році. Величезні втрати підкреслюють їхню зміну тактики: все частіше використовують складні вразливості, глибоку проникнення агентів, обходячи стандартні засоби безпеки.

20 квітня провайдер міжланцюгової інфраструктури LayerZero підтвердив: 18 квітня KelpDAO зазнала атаки, внаслідок якої було вкрадено близько 290 мільйонів доларів, що стало найбільшим за 2026 роком окремим випадком крадіжки криптовалюти. Компанія заявила, що попередні слідчі дані прямо вказують на TraderTraitor — відому північнокорейську групу Lazarus Group, яка має внутрішню підгрупу.

Лише кілька тижнів тому, 1 квітня, децентралізована платформа для безперервної торгівлі контрактами Drift Protocol, побудована на Solana, була зламаною на близько 286 мільйонів доларів. Блокчейн-аналітична компанія Elliptic швидко пов’язала цю атаку з відмиванням грошей, послідовністю транзакцій та підписами у мережі, що мають зв’язки з відомими шляхами атак Північної Кореї, і зазначила, що це вже 18-й подібний випадок, зафіксований у цьому році.

Зміщення фокусу: проникнення у периферійні компоненти інфраструктури

Методи атаки у квітні показують, що атаки Північнокорейських хакерів на DeFi стають більш зрілими. Вони вже не атакують безпосередньо основні смарт-контракти, а шукають і використовують периферійні вразливості структури.

На прикладі атаки на KelpDAO: хакери зламали децентралізовану верифікаційну мережу LayerZero Labs (DVN), яка використовує нижньорівневу RPC (віддалений виклик). Маніпулюючи цими ключовими каналами даних, зловмисники, не порушуючи криптографію, контролювали роботу протоколу. LayerZero припинила роботу уражених вузлів і повністю відновила DVN, але фінансові втрати вже неможливо компенсувати.

Такий опосередкований спосіб атаки демонструє страшний розвиток кібервійни. Компанія з безпеки блокчейнів Cyvers повідомила CryptoSlate: атаки, пов’язані з Північною Кореєю, стають все більш досвідченими, інвестуючи більше ресурсів у підготовку та виконання.

Компанія додала: «Ми також спостерігаємо, що вони завжди точно знаходять найслабкіші місця. Цього разу прорив стався через сторонні компоненти, а не через основну інфраструктуру протоколу.»

Ця стратегія дуже схожа на традиційні корпоративні шпигунські операції і свідчить про те, що атаки, пов’язані з Північною Кореєю, стають дедалі важчими для запобігання. Останні події, такі як проникнення у широко використовуваний пакет npm Axios через дослідження Google, пов’язане з конкретною загрозливою організацією UNC1069, свідчать, що зловмисники систематично знищують програмне забезпечення ще до його входу у блокчейн-екосистему.

Проникнення Північної Кореї у глобальну криптоіндустрію

Крім технічних проривів, Північна Корея наразі активно і організовано проникає у глобальний ринок праці у сфері криптовалют.

Модель загроз вже повністю змінилася: замість віддалених хакерських операцій вони безпосередньо вставляють агентів у безпечні Web3-стартапи.

За результатами шести місяців розслідування проекту Ketman Project під егідою безпеки Ethereum Foundation ETH Rangers, було зроблено приголомшливий висновок: близько 100 північнокорейських кіберзлочинців проникли у внутрішні структури кількох блокчейн-компаній. Вони використовують підроблені особистості, легко проходять стандартні HR-скринінги, отримують доступ до внутрішніх кодових баз і мовчки працюють у командах місяцями або роками, перш ніж почати цілеспрямовану атаку.

Незалежний дослідник блокчейнів ZachXBT підтвердив цю інформацію, викривши нещодавно північнокорейську спецгрупу, яка через фальшиві особистості працює віддалено і щомісяця отримує близько 1 мільйона доларів доходу.

Ця схема передбачає використання авторизованих глобальних фінансових каналів для переказу криптовалюти у фіатні гроші, і з кінця 2025 року вона обробила понад 3,5 мільйона доларів.

За оцінками експертів, загальний дохід від IT-персоналу, залученого Північною Кореєю, становить кілька мільйонів доларів щомісяця. Це створює двовекторний дохід: стабільна зарплата + великі крадіжки через внутрішніх співробітників.

Загальний обсяг крадіжок становить 6,75 мільярдів доларів

Масштаб діяльності Північнокорейських цифрових активів значно перевищує будь-які традиційні групи кіберзлочинців. За даними аналітичної компанії Chainalysis, лише у 2025 році хакери, пов’язані з Північною Кореєю, викрали рекордні 2 мільярди доларів, що становить 60% від загальної суми крадіжок у криптовалюті за цей рік.

З урахуванням активних атак у цьому році, загальна сума криптоактивів, викрадених Північною Кореєю, вже досягла 6,75 мільярдів доларів.

Після отримання коштів Lazarus Group демонструє високорозвинені, регіонально орієнтовані схеми відмивання грошей: на відміну від звичайних злочинців, які часто використовують DEX і протоколи P2P-кредитування, північнокорейські хакери навмисно уникають цих каналів. Дані на блокчейні показують, що вони сильно залежать від гарантійних сервісів у китайському регіоні, глибоких поза-кастодіальних брокерських мереж і складних міжланцюгових сервісів змішування. Така перевага вказує на структурні обмеження і географічні рамки для легалізації активів, а не на безмежний доступ до глобальної фінансової системи.

Чи можливо запобігти?

Фахівці з безпеки та керівники галузі вважають, що це можливо, але криптокомпанії мають усунути ті самі слабкі місця, що й під час попередніх великих атак.

Засновник Humanity Terence Kwok у коментарі CryptoSlate зазначив, що атаки, пов’язані з Північною Кореєю, все ще спрямовані на поширені вразливості, а не на нові форми кіберзлочинності. Він вважає, що північнокорейські зловмисники підвищують рівень проникнення і здатність переміщувати злочинні кошти, але корінь проблеми — у поганому контролі доступу і ризиках централізованої операційної моделі.

Він пояснив: «Дивно, але втрати все ще зводяться до старих проблем, таких як контроль доступу і єдині точки відмови. Це свідчить про те, що галузь досі не вирішила базові питання безпеки.»

З огляду на це, Kwok наголошує, що перший захист — значно ускладнити процес переказу активів, посилюючи контроль за приватними ключами, внутрішніми правами і доступом сторонніх. На практиці, компанії мають зменшити залежність від окремих операторів, обмежити привілеї, посилити безпеку постачальників і додати додаткові перевірки між основною інфраструктурою та зовнішнім світом.

Другий рівень захисту — швидкість. Якщо викрадені кошти переходять через міжланцюгові або міжмостові канали, шанс їх повернення зменшується різко. Kwok зазначив: біржі, емітенти стабільних монет, аналітичні компанії і правоохоронні органи мають швидко співпрацювати у перші хвилини або години після атаки, щоб підвищити ймовірність затримки коштів.

Він підкреслив реальність: найуразливіше місце у системі — у точках перетину коду, персоналу і операцій. Один зломаний ключ, слабкий постачальник або ігнорована вразливість у правах доступу може спричинити втрату сотень мільйонів доларів.

Виклики DeFi вже не зводяться до написання надійних смарт-контрактів, а до захисту операційної безпеки периферії протоколу перед наступною слабкою ланкою атаки.