Государственные хакеры из Северной Кореи, связанные с печально известной группировкой Lazarus, остаются одной из наиболее серьёзных угроз для криптовалютной экосистемы. Согласно новому отчёту аналитической компании Elliptic, их тактика эволюционирует: вместо того чтобы взламывать существующие платформы, они теперь создают собственные поддельные криптопроекты для привлечения и обмана пользователей.
Новая стратегия заключается в использовании доступности Web3-инструментов для запуска вредоносных приложений, мем-токенов и копий сайтов, не требующих авторизации. Как отмечает Elliptic, основное отличие состоит в том, что хакеры КНДР теперь выходят за рамки простого проникновения в IT- и криптопроекты и создают собственные платформы. Этот подход в значительной степени опирается на социальную инженерию и человеческие ошибки, используя фишинговые ссылки и поддельные настройки для обмана жертв.
Инцидент с Tenexium, произошедший 1 января 2026 года, стал наглядным примером новой тактики. Tenexium был представлен как нейтральный торговый протокол в сети Bittensor (TAO). Однако, как полагают аналитики, проект мог быть создан северокорейским IT-специалистом, выдававшим себя за его основателя. Платформа привлекла ликвидность, после чего её веб-сайт внезапно исчез, что привело к подозрительным оттокам средств на сумму $2,5 млн. Этот инцидент стал первым подтверждённым взломом, связанным с КНДР, в 2026 году и привёл к удвоению количества эксплойтов по сравнению с январем 2025 года.
Взлом Bybit как переломный момент. Смена стратегии произошла после масштабного взлома криптобиржи Bybit в феврале 2025 года, который стал рекордным и точкой перелома в деятельности хакеров КНДР. За последующие шесть месяцев злоумышленники, используя новые инструменты для смешивания средств и тактики, отмыли более $1 млрд украденных средств. По данным Elliptic, общая сумма подтверждённых взломов, совершённых хакерами КНДР в 2025 году, составила $2 млрд, а с учётом нераскрытых или косвенных потерь общий ущерб может превышать $6 млрд. Считается, что средства от этих операций направляются на финансирование ядерной и ракетной программ КНДР, помогая режиму обходить международные санкции.
Активность хакеров не снижается даже на медвежьем рынке. Elliptic отмечает, что операции КНДР по криптоактивам продолжаются «без признаков замедления». Компания предупреждает, что под угрозой остаются небольшие DeFi-проекты, хранилища и приложения, не требующие разрешений. Для снижения рисков пользователям рекомендуется тщательно проверять команды проектов, придерживаться известных платформ и проявлять скептицизм в отношении новых или малознакомых инициатив.
