Кража криптовалюты Lazarus Group на $3,4 млрд: новая эра государственного киберкриминала
Цифры ошеломляют: в 2025 году с криптовалютных платформ было украдено 3,4 миллиарда долларов, причем одно-единственное государство несет ответственность почти за две трети этой добычи. Северокорейская Lazarus Group не просто побила рекорды — она переписала правила государственного киберкриминала, совершая меньше атак, но извлекая из них экспоненциально больше выгоды. Вступая в 2026 год, криптовалютная индустрия сталкивается с неприятной правдой: парадигмы безопасности последних пяти лет фундаментально разрушены.
Тревожный звонок на 3,4 миллиарда долларов
В декабре 2025 года аналитическая компания Chainalysis, специализирующаяся на блокчейн-разведке, опубликовала свой ежегодный отчет о преступности в криптосфере, подтвердив худшие опасения инсайдеров отрасли. Общий объем краж криптовалюты достиг 3,4 миллиарда долларов, при этом на долю северокорейских хакеров пришлось 2,02 миллиарда долларов — это на 51 % больше по сравнению с уже рекордными 1,34 миллиарда долларов в 2024 году. Таким образом, общая сумма похищенных КНДР криптовалют за все время составила примерно 6,75 миллиарда долларов.
Что делает кражи 2025 года беспрецедентными, так это не только долларовая сумма. Это эффективность. Северокорейские хакеры достигли этого рекордного улова, совершив на 74 % меньше известных атак, чем в предыдущие годы. Группировка Lazarus превратилась из разрозненного злоумышленника в инструмент точечного �воздействия в финансовой войне.
TRM Labs и Chainalysis независимо подтвердили эти цифры, при этом TRM отметила, что криптопреступность стала «более организованной и профессиональной», чем когда-либо прежде. Атаки стали быстрее, лучше скоординированы и гораздо легче масштабируются по сравнению с предыдущими циклами.
Ограбление Bybit: мастер-класс по атакам на цепочку поставок
21 февраля 2025 года мир криптовалют стал свидетелем крупнейшей в истории единичной кражи. Хакеры вывели около 401 000 ETH — на тот момент стоимостью 1,5 миллиарда долларов — с Bybit, одной из крупнейших криптовалютных бирж в мире.
Атака не была взломом методом перебора или эксплойтом смарт-контракта. Это была мастерская компрометация цепочки поставок. Группировка Lazarus, действуя под псевдонимом «TraderTraitor» (так�же известная как Jade Sleet и Slow Pisces), нацелилась на разработчика Safe{Wallet}, популярного провайдера мультиподписных кошельков. Внедряя вредоносный код в пользовательский интерфейс кошелька, они полностью обошли традиционные уровни безопасности.
В течение 11 дней хакеры отмыли 100 % украденных средств. Генеральный директор Bybit Бен Чжоу в начале марта сообщил, что они потеряли след почти 300 миллионов долларов. ФБР официально приписало атаку Северной Корее 26 февраля 2025 года, но к тому времени средства уже исчезли в протоколах микширования и сервисах мостов.
Один только взлом Bybit обеспечил 74 % всех краж криптовалюты Северной Кореей в 2025 году и продемонстрировал пугающую эволюцию тактики. Как отметила охранная фирма Hacken, группировка Lazarus проявила «явное предпочтение китайскоязычным сервисам по отмыванию денег, мостам и протоколам микширования с 45-дневным циклом отмывания после крупных краж».
Тактика Lazarus: от фишинга до глубокого внедрения
Кибероперации Северной Кореи претерпели фундаментальную трансформацию. Прошли те времена, когда использовались простые фишинговые атаки и компрометация «горячих» кошельков. Группировка Lazarus разработала многостороннюю стратегию, которая делает обнаружение практически невозможным.
Стратегия Wagemole
Возможно, самой коварной тактикой является то, что исследователи называют «Wagemole» — внедрение законспирированных IT-сотрудников в криптовалютные компании по всему миру. Под вымышленными именами или через подставные компании эти оперативники получают легитимный доступ к корпоративным системам, включая криптофирмы, кастодианы и Web3-платформы.
Этот подход позволяет хакерам полностью обходить внешнюю защиту. Они не взламывают дверь — они уже внутри.
Эксплуатация на базе ИИ
В 2025 году государственные группировки начали использовать искусственный интеллект для усиления каждого этапа своих операций. Теперь ИИ сканирует тысячи смарт-контрактов за считанные минуты, выявляет уязвимый код и автоматизирует многоцепочечные атаки. То, что раньше требовало недель ручного анализа, теперь занимает часы.
Анализ Coinpedia показал, что северокорейские хакеры переосмыслили криптопреступность за счет интеграции ИИ, сделав свои операции более масштабируемыми и труднообнаружимыми, чем когда-либо.
Выдача себя за руководителей
Переход от чисто технических эксплойтов к атакам на человеческий фактор стал определяющей тенденцией 2025 года. Охранные фирмы отметили, что «аномальные потери были в подавляющем большинстве случаев вызваны сбоями в контроле доступа, а не новой ончейн-математикой». Хакеры перешли от отравленных фронтендов и уловок с интерфейсом мультиподписи к выдаче себя за руководителей и краже ключей.
Помимо Bybit: ландшафт взломов 2025 года
Хотя Bybit доминировала в заголовках газет, операции Северной Кореи выходили далеко за пределы одной цели:
- DMM Bitcoin (Япония): похищено 305 миллионов долларов, что способствовало последующему закрытию биржи.
- WazirX (Индия): выведено 235 миллионов долларов с крупнейшей криптовалютной биржи Индии.
- Upbit (Южная Корея): в конце 2025 года изъято 36 миллионов долларов путем эксплуатации инфраструктуры подписания транзакций.
Это не были единичные инциденты — они представляли собой скоординированную кампанию, нацеленную на централизованные биржи, платформы дец�ентрализованных финансов и провайдеров индивидуальных кошельков в различных юрисдикциях.
Независимые подсчеты выявили более 300 крупных инцидентов безопасности в течение года, что высветило системные уязвимости во всей экосистеме криптовалют.
Связь с Huione: камбоджийская машина по отмыванию денег на 4 миллиарда долларов
Что касается отмывания денег, Сеть по борьбе с финансовыми преступлениями (FinCEN) Министерства финансов США выявила критический узел в операциях Северной Кореи: камбоджийскую Huione Group.
FinCEN установила, что Huione Group отмыла не менее 4 миллиардов долларов незаконных доходов в период с августа 2021 года по январь 2025 года. Блокчейн-компания Elliptic оценивает реальную цифру ближе к 11 миллиардам долларов.
Расследование Министерства финансов показало, что Huione Group обработала 37 миллионов долларов, напрямую связанных с Lazarus Group, включая 35 миллионов долларов от взлома DMM Bitcoin. Компания работала напрямую с Главным разведывательным бюро Северной Кореи — основной организацией внешней разведки Пхеньяна.
Что делало Huione особенно опасной, так это полное отсутствие комплаенс-контроля. Ни одно из трех ее бизнес-подразделений — Huione Pay (банкинг), Huione Guarantee (эскроу) и Huione Crypto (биржа) — не опубликовало политику AML / KYC.
Связи компании с правящей в Камбодже семьей Хун, включая двоюродного брата премьер-министра Хун Манета в качестве крупного акционера, осложняли международные усилия по обеспечению правопорядка до тех пор, пока США не предприняли шаги по прекращению ее доступа к американской финансовой системе в мае 2025 года.
Реакция регуляторов: MiCA, PoR и не только
Масштаб краж 2025 года ускорил регуляторные действия по всему миру.
Европейская MiCA, этап 2
Европейский союз ускорил внедрение «Этапа 2» регламента рынков криптоактивов (MiCA), который теперь требует ежеквартального аудита сторонних поставщиков программного обеспечения для любой биржи, работающей в еврозоне. Вектор атаки на цепочку поставок при взломе Bybit стал причиной появления этого конкретного требования.
Мандаты на подтверждение резервов (Proof-of-Reserves) в США
В Соединенных Штатах внимание сместилось в сторону обязательных требований по подтверждению резервов (PoR) в режиме реального времени. Теория такова: если биржи должны доказывать наличие своих активов ончейн в реальном времени, подозрительные оттоки средств становятся заметны мгновенно.
Закон Южной Кореи о безопасности цифровых финансов
После взлома Upbit Комиссия по финансовым услугам Южной Кореи предложила «Закон о безопасности цифровых финансов» в декабре 2025 года. Закон вводит обязательные коэффициенты холодного хранения, регулярное тестирование на проникновение и усиленный мониторинг подозрительной активности для всех криптовалютных бирж.
Что необходимо для защиты в 2026 году
Взлом Bybit заставил централизованные биржи кардинально изменить подход к управлению безопасностью. Лидеры отрасли определили несколько критически важных обновлений на 2026 год:
Миграция на многосторонние вычисления (MPC)
Большинство платформ высшего уровня перешли от традиционных мультисигов на базе смарт-контрактов к технологии многосторонних вычислений (MPC). В отличие от конфигурации Safe{Wallet}, использованной в 2025 году, MPC разделяет закрытые ключи на фрагменты (шарды), которые никогда не существуют в одном месте, что делает подмену интерфейса (UI-spoofing) и техники «ледяного фишинга» (Ice Phishing) практически невозможными для выполнения.
Стандарты холодного хранения
Авторитетные кастодиальные биржи теперь внедряют коэффициенты холодного хранения на уровне 90–95%, сохраняя подавляющее большинство средств пользователей в автономном режиме в аппаратных модулях безопасности. Кошельки с мультиподписью требуют одобрения крупных транзакций несколькими авторизованными сторонами.
Аудит цепочки поставок
Ключевой вывод 2025 года заключается в том, что безопасность распространяется за пределы блокчейна на весь программный стек. Биржи должны проверять свои отношения с поставщиками с той же строгостью, которую они применяют к собственному коду. Взлом Bybit удался из-за компрометации сторонней инфраструктуры, а не из-за уязвимостей самой биржи.
Защита от человеческого фактора
Постоянное обучение по вопросам фишинга и использования безопасных паролей стало обязательным, поскольку человеческий фактор остается основной причиной взломов. Эксперты по безопасности рекомендуют проводить периодические учения «красных» и «синих» команд (red and blue team exercises) для выявления слабых мест в управлении процессами безопасности.
Квантово-устойчивые обновления
Заглядывая в будущее, постквантовая криптография (PQC) и квантово-защищенное оборудование становятся критически важными рубежами обороны. Прогнозируемый совокупный среднегодовой темп роста (CAGR) рынка холодных кошельков на уровне 15,2% с 2026 по 2033 год отражает уверенность институциональных инвесторов в эволюции систем безопасности.
Путь впереди
Заключительное предупреждение Chainalysis в отчете за 2025 год должно найти отклик во всей индустрии: «Рекордные показатели страны в 2025 году, достигнутые при уменьшении количества известных атак на 74 процента, позволяют предположить, что мы видим лишь самую заметную часть ее деятельности. Задачей 2026 года станет обнаружение и предотвращение этих высокоэффективных операций до того, как субъекты, связанные с КНДР, совершат еще один инцидент масштаба Bybit».
Северная Корея доказала, что поддерживаемые государством хакеры могут опережать защиту индустрии, когда они мотивированы обходом санкций и финансированием вооружений. Совокупная сумма в 6,75 миллиарда долларов представляет собой не просто украденную криптовалюту — она представляет собой ракеты, ядерные программы и выживание режима.
Для криптовалютной индустрии 2026 год должен стать годом трансформации безопасности. Не постепенных улучшений, а фундаментального перепроектирования способов хранения, доступа и передачи активов. Lazarus Group показала, что вчерашние лучшие практики — это сегодняшние уязвимости.
Ставки никогда не были выше.
Обеспечение безопасности блокчейн-инфраструктуры требует постоянной бдительности и передовых отраслевых практик. BlockEden.xyz предоставляет инфраструктуру узлов корпоративного уровня с многоуровневой архитектурой безопасности, помогая разработчикам и компаниям строить на фундаменте, предназначенном для противостояния меняющимся угрозам.