Согласно отчёту Многосторонней группы по мониторингу санкций (MSMT), северокорейские хакеры похитили криптоактивы на сумму $2,83 млрд в период с января 2024 года по сентябрь 2025 года. Эти средства составили около трети общего объёма иностранной валютной выручки КНДР за 2024 год, подчеркивая стратегическую роль киберпреступности в экономике страны.
Динамика хищений демонстрирует резкий рост: если в 2024 году было украдено $1,19 млрд, то за первые девять месяцев 2025 года эта сумма достигла $1,64 млрд, что означает увеличение более чем на 50%. Ключевым инцидентом 2025 года стала атака на глобальную криптобиржу Bybit в феврале, организованная группировкой TraderTraitor. Хакеры скомпрометировали провайдера мультиподписных кошельков SafeWallet через фишинговые письма и вредоносное ПО, маскируя внешние переводы под внутренние операции для получения контроля над смарт-контрактом холодного кошелька.
Отчёт детализирует девятиэтапную схему отмывания средств: конвертация украденных активов в Ethereum (ETH) на децентрализованных биржах, использование миксеров (Tornado Cash, Wasabi Wallet), обмен ETH на Bitcoin (BTC) через бридж-сервисы, перевод на холодные кошельки, повторное смешивание, конвертация BTC в Tron (TRX) и затем в стейблкоин USDT, а также последующая продажа USDT через OTC-брокеров с выводом в фиатные валюты.
Финальная стадия — обналичивание — осуществляется при посредничестве сетей в Китае, России и Камбодже. В Китае участниками схемы названы граждане Е Диньжун и Тан Юнчжи из Shenzhen Chain Element Network Technology, а также трейдер Ван Ицун, предоставлявшие поддельные идентификаторы. Российские посредники помогли вывести около $60 млн от взлома Bybit, а камбоджийская платёжная система Huione Pay, несмотря на отзыв лицензии центральным банком, продолжает использоваться для операций с украденными активами. MSMT уведомила власти Камбоджи о нарушениях в конце 2024 года.
SOL
XRP
MIM
LTC