У 2025 році крадіжка криптовалюти перетворилася з простих перетягувань килима та опортуністичних шахрайств у складні операції, спонсоровані національними державами, націлені на великі біржі та критичну інфраструктуру. У першому півріччі 2025 року було вкрадено понад 2,17 мільярда доларів, і ця цифра продовжує зростати з кожним місяцем.
Лише у вересні 20 атак, пов’язаних із криптовалютою, призвели до збитків на суму 127,06 мільйона доларів, що підкреслює зростаючу загрозу. Нижче наведено трьох відомих хакерів, які були причетні до великих криптоатак.
1. Група «Лазар»
Lazarus Group – це сумнозвісна, давно працююча хакерська організація, яку підтримує Північна Корея. Відома під такими псевдонімами, як APT 38, Labyrinth Chollima та HIDDEN COBRA, група постійно демонструвала здатність обходити навіть найпередовіші системи безпеки.
Крім того, Хакен зазначив , що їхня діяльність датується щонайменше 2007 роком, починаючи з вторгнень у урядові системи Південної Кореї. Інші відомі атаки включають злом Sony Pictures у 2014 році (помста за фільм «Інтерв’ю»), спалах програми-вимагача WannaCry у 2017 році та поточні кампанії, спрямовані на сектори економіки в Південній Кореї.
Останніми роками Lazarus зосередився на крадіжці криптовалюти, вкравши понад 5 мільярдів доларів у період з 2021 по 2025 рік. Найбільш значущим став злом Bybit у лютому 2025 року, коли група вкрала 1,5 мільярда доларів в Ethereum (ETH) — це найбільше пограбування криптовалюти за всю історію спостережень. Додаткові операції включали крадіжку Solana (SOL) на суму 3,2 мільйона доларів у травні 2025 року.
“Злом КНДР ByBit докорінно змінив ландшафт загроз у 2025 році. Цей єдиний інцидент вартістю 1,5 мільярда доларів не тільки є найбільшою крадіжкою криптовалюти в історії, але й становить приблизно 69% усіх коштів, вкрадених із сервісів цього року», — написала Chainalysis у липні.
2. Гонєшке Дарінде
Gonjeshke Darande (хижий горобець) – це політично мотивоване угруповання кібератак, яке, як вважається, має зв’язки з Ізраїлем. На тлі ескалації ізраїльсько-іранських конфліктів група використала Nobitex, найбільшу криптовалютну біржу Ірану, вкравши близько 90 мільйонів доларів, перш ніж спалити кошти.
Гонджешке Даранде також публічно викрив вихідний код Nobitex, підірвавши власні системи біржі та завдавши серйозного удару по її авторитету серед користувачів та партнерів.
“12 годин тому 8 адрес спалення спалили $90 млн з гаманців улюбленого інструменту режиму для порушення санкцій – Nobitex. Через 12 годин вихідний код Nobitex буде відкритий для публіки, а обнесений стіною сад Nobitex буде без стін. Де ви хочете, щоб були ваші активи?» — написали вони у червні.
Інші атаки угруповання також були зосереджені на іранській інфраструктурі, банках тощо.
- У липні 2021 року Гонджешке Даранде порушив роботу залізничних систем Ірану, спричинивши серйозні затримки та розмістивши глузливі повідомлення на громадських дошках.
- У жовтні 2022 року угруповання атакувало три великі металургійні заводи, оприлюднивши кадри пожеж, які завдали серйозної фізичної та економічної шкоди.
- У травні 2025 року вони зламали Bank Sepah, державний банк Ірану, спричинивши витік конфіденційних даних і порушивши фінансові операції.
3. UNC4899
UNC4899 – ще один північнокорейський державний підрозділ криптохакерських атак. Згідно зі звітом Google Cloud Threat Horizons, угруповання діє під управлінням Загального розвідувального бюро (RGB), основного розвідувального агентства Північної Кореї.
Звіт показав, що група була активною принаймні з 2020 року. Крім того, UNC4899 зосередила свої зусилля на секторах криптовалют і блокчейну. Група продемонструвала передові можливості у виконанні компромісів у ланцюжку поставок.
«Яскравим прикладом є їх підозра на експлуатацію JumpCloud, яку вони використовували для проникнення в сутність програмних рішень і подальшого перетворення на жертв клієнтів у вертикалі криптовалют, що підкреслює каскадні ризики, пов’язані з такими просунутими супротивниками», – йдеться у звіті .
У період з 2024 по 2025 рік криптохакер здійснив два великих криптопограбування. В одному випадку вони заманили жертву в Telegram, розгорнули шкідливе програмне забезпечення через контейнери Docker, обійшли MFA в Google Cloud і вкрали мільйони криптовалюти.
В іншому вони підійшли до цілі через LinkedIn, викрали файли cookie сеансу AWS, щоб обійти контроль безпеки, впровадили шкідливий JavaScript у хмарні сервіси та знову викачали мільйони цифрових активів.
Таким чином, цього року крадіжка криптовалют стала інструментом геополітичного конфлікту так само, як і фінансові злочини. Мільярди, втрачені цього року, і стратегічні мотиви, що стоять за багатьма атаками, демонструють, що біржі, постачальники інфраструктури та навіть уряди тепер повинні ставитися до криптобезпеки як до питання національної безпеки. Без скоординованої оборони, обміну розвідувальною інформацією та посилення гарантій у всій екосистемі втрати лише зростатимуть.
