Хакеры КНДР всё ещё представляют угрозу для криптовалют, и, возможно, разрабатывают новые методы проникновения. Спустя год после рекордного взлома Bybit аналогичные операции продолжаются, хотя и в меньших масштабах.
Согласно недавнему исследованию Elliptic, операции КНДР с криптоактивами продолжались несмотря на медвежий рынок, и не наблюдается никаких признаков их замедления. Основным способом атаки оставалась социальная инженерия и различные формы проникновения.
Главное отличие заключается в том, что хакеры КНДР теперь не только проникают в IT- и крипто-проекты, но и создают собственные платформы. Такой подход стал основной причиной инцидента с Tenexium, который напрямую затронул всех пользователей, подключивших свои кошельки.
Как сообщал Cryptopolitan, хакеры также становятся более эффективными и быстрыми при переводе и отмывании похищенных криптовалют.
Взлом Bybit стал переломным моментом для хакеров КНДР
Спустя год после взлома Bybit почти все средства были отмыты, за исключением небольшой части, которую удалось перехватить. Elliptic отмечает, что хакеры использовали новые тактики отмывания, включая стратегическое использование адресов возврата, создание бесполезных токенов и разнообразное применение миксеров.
Более $1 млрд из средств Bybit были отмыты всего за шесть месяцев, и этот набор инструментов для микширования стал переломным моментом для хакеров КНДР и их кампаний.
После рекордного успеха хакеры не остановились и продолжили активную деятельность на протяжении всего 2025 года. По данным Elliptic, за 2025 год хакеры КНДР совершили атак на сумму $2 млрд, а общий объём эксплойтов мог превысить $6 млрд. Эти средства, возможно, используются в ядерной и ракетной программах Северной Кореи, что даёт хакерам сильную мотивацию продолжать.
Согласно Elliptic, эта тенденция продолжилась в 2026 году — количество эксплойтов удвоилось по сравнению с январём 2025 года.
Хотя взломы КНДР технически сложны, они также опираются на социальную инженерию и человеческие ошибки.
Запускают ли хакеры КНДР криптопродукты?
Elliptic сообщил о кейсе Tenexium — проекта, созданного в сети Bittensor (TAO). Проект Tenexium вызвал хаос 1 января, став первой атакой 2026 года.
Tenexium использовал стандартный подход к созданию permissionless-проекта в экосистеме Bittensor. Несмотря на то, что проект был относительно небольшим, он всё же привлёк ликвидность, но в какой-то момент сайт исчез, а на рынке проекта были зафиксированы подозрительные выводы на сумму $2,5 млн.
Tenexium должен был быть нейтральным торговым протоколом, однако выяснилось, что часть команды проекта могла состоять из хакеров КНДР, выдающих себя за IT-специалистов. На этот раз отличием стало то, что IT-персонаж из КНДР, возможно, и есть сам основатель проекта.
Личность создателя Tenexium пока не подтверждена. Однако этот случай поднимает вопрос о безопасности небольших DeFi-проектов, хранилищ и клонов permissionless-приложений. Поскольку Web3-инструменты всё ещё популярны, хакеры могут напрямую атаковать конечных пользователей с помощью вредоносных приложений, мем-токенов или других новых запусков. Лучший подход — тщательно проверять команды и платформы либо пользоваться более устоявшимися DeFi-хабами.
