За перші шість місяців 2025 року було викрадено понад $2,1 млрд у результаті щонайменше 75 хакерських атак та експлойтів. Це значно перевищує попередній рекорд першого півріччя 2022 року (приблизно на 10%) і майже дорівнює загальній сумі, викраденій за весь 2024 рік. Про це свідчать дані звіту TRM Labs.
► Читайте телеграмм-канал «Мінфіну»: головні фінансові новини
Атака на Bybit: ключова подія з державним слідом
Найбільший злом в історії криптовалют змінив усю картину першого півріччя 2025 року: атака на криптовалютну біржу Bybit у Дубаї в лютому, в результаті якої було викрадено активи на $1,5 млрд.
За оцінками TRM Labs, за нею стоїть Північна Корея. Цей інцидент становив майже 70% від загальних збитків за цей рік, збільшивши середній розмір втрат від хакерських атак майже до $30 млн — що вдвічі більше, ніж у першому півріччі 2024 року.
Хоча злам Bybit значно спотворив загальну суму першого півріччя, у січні, квітні, травні та червні 2025 року загальні крадіжки все одно перевищували $100 млн, що вказує на постійну загрозу.
Панування Північної Кореї
Експерти вважають, що хакери, пов'язані з Північною Кореєю, відповідальні за $1,6 млрд від загальної суми, викраденої у першому півріччі 2025 року.
«Це становить близько 70% всіх викрадених коштів і зміцнює їхню позицію як найактивнішого державного суб'єкта загрози у криптопросторі», — йдеться у повідомленні.
Ця приголомшлива цифра вказує на постійні та зростаючі зусилля КНДР використовувати незаконні криптовалютні надходження не лише для уникнення санкцій та фінансування стратегічних цілей, таких як програма ядерної зброї, а й як невід'ємний компонент своєї державної політики.
Попри домінування Північної Кореї у сфері криптохаків, останні інциденти свідчать, що й інші держави активно використовують криптоатаки у геополітичних цілях.
Зокрема, 18 червня 2025 року ізраїльська хакерська група Gonjeshke Darande (Predatory Sparrow) зламала найбільшу криптобіржу Ірану — Nobitex, викравши понад $90 млн.
За словами самих хакерів, атакували вони біржу через її ключову роль у допомозі іранському режиму обходити санкції та фінансувати нелегальну діяльність.
Вкрадені кошти переказали на адреси, до яких неможливо отримати доступ, що свідчить про символічну або політичну мотивацію, а не фінансовий зиск.
Такі події підкреслюють, як крадіжка цифрових активів стає прихованим інструментом у геополітичних конфліктах та національній політиці.
Методи злочинців
У першій половині 2025 року понад 80% викрадених коштів припадало на атаки на інфраструктуру — зокрема, крадіжки приватних ключів, seed-фраз і компрометацію інтерфейсу користувача. У середньому ці атаки були вдесятеро масштабнішими за інші типи інцидентів.
Йдеться про технічні методи, спрямовані на порушення основної інфраструктури цифрових активів — для отримання несанкціонованого доступу, введення в оману користувачів або перенаправлення їхніх коштів. Часто такі атаки можливі через соціальну інженерію або інсайдерський доступ і виявляють глибинні вразливості у сфері криптобезпеки.
Ще 12% втрат припало на експлойти протоколів — включаючи «flash loan» та «re-entrancy”-атаки, що демонструють сталі вразливості смарт-контрактів у DeFi. Такі атаки використовують недоліки логіки контрактів для виведення коштів або дестабілізації протоколу.
Подальший шлях
Експерти зазначають, що галузь повинна посилити фундаментальну безпеку — багатофакторну автентифікацію (MFA), холодне зберігання та аудити — одночасно критично підвищуючи захист від можливостей державного рівня, віддаючи пріоритет виявленню інсайдерських загроз та вдосконаленим заходам протидії соціальній інженерії.
Подальший шлях вимагає багатосторонньої співпраці. Посилення співпраці між глобальними правоохоронними органами, підрозділами фінансової розвідки та спеціалізованими фірмами з блокчейн-розвідки.
