Хакер Триона украл 2,83 миллиарда USD crypto за менее чем два года: Отчет

Новый отчет от Многосторонней группы мониторинга санкций (MSMT) сообщает, что хакерские группы из Северной Кореи украли в общей сложности 2,83 миллиарда USD криптоактивов в период с января 2024 года по сентябрь 2025 года.

Эта цифра составляет почти треть от общего дохода от иностранной валюты Северной Кореи в 2024 году, что отражает растущую зависимость Пхеньяна от киберпреступной деятельности для обхода международных санкций.

Атака на Bybit является крупнейшей

MSMT — союз из 11 стран, созданный в октябре 2024 года — был создан для мониторинга того, как Северная Корея избегает наказаний через кибератаки. Последний отчет показывает, что объем кражи криптовалюты значительно увеличился в 2025 году, с 1,64 миллиарда USD, похищенных всего за первые 9 месяцев года, что на 50% больше по сравнению с 1,19 миллиарда USD предыдущего года.

Большая часть этих средств поступила от атаки на биржу Bybit в феврале 2025 года, предположительно, осуществленной группой TraderTraitor (, также известной как Jade Sleet или UNC4899). Хакеры нацелились на SafeWallet, поставщика мультиподписных кошельков Bybit, отправив фишинговые электронные письма с вредоносным ПО для проникновения в внутреннюю систему. Затем они замаскировали транзакции по переводу средств как внутренние транзакции, захватив контроль над смарт-контрактом холодного кошелька и вывели средства незаметно.

Согласно MSMT, группы хакеров из Северной Кореи обычно не атакуют напрямую биржи, а сосредотачиваются на третьих лицах, предоставляющих услуги. Такие группы, как TraderTraitor, CryptoCore и Citrine Sleet, используют поддельные профили разработчиков, украденные личности и глубокие знания о цепочке поставок программного обеспечения для осуществления атак.

Одним из примечательных случаев является проект Web3 Munchables, из которого было украдено 63 миллиона USD, но эта сумма была впоследствии возвращена, когда группа хакеров столкнулась с проблемами в процессе отмывания денег.

Процесс отмывания денег.

Анализ MSMT описывает девятиступенчатую цепочку отмывания денег, которую часто используют северокорейские хакеры для преобразования украденных криптовалют в наличные. Процесс начинается с обмена украденных активов на Ethereum (ETH) на децентрализованных биржах, после чего используются такие сервисы, как Tornado Cash и Wasabi Wallet для стирания следов транзакций.

ETH затем переводится в Bitcoin (BTC) через мосты, снова смешивается, хранится в холодном кошельке, а затем конвертируется в Tron (TRX) перед обменом на USDT. В конце концов, USDT отправляется брокерам OTC, которые обменяют его на наличные.

Отчет определяет лица и предприятия в Китае, России и Камбодже, играющие ключевую роль в этом процессе.

• В Китае граждане Е Динронг и Тан Ёнчжи из Shenzhen Chain Element Network Technology, а также трейдер Ванг Ицунг помогли перемещать деньги и создавать поддельные идентификации.
• В России посредники отмыли около 60 миллионов USD из дела Bybit через сеть OTC.
• Что касается Камбоджи, платформа Huione Pay (, которой руководит кузен премьер-министра Хун Манета, была обнаружена в содействии переводу денег, несмотря на то, что лицензия истекла из-за того, что центральный банк не продлил ее.

MSMT также сообщило, что хакеры из Северной Кореи сотрудничали с русскоязычными киберпреступниками с 2010 года, и в 2025 году группа Moonstone Sleet арендовала инструменты программ-вымогателей у русской группировки Qilin.

В условиях этой нарастающей угрозы 11 стран-членов СМТ выпустили совместное заявление, призывающее государства-члены Организации Объединенных Наций повысить осведомленность о киберпреступной деятельности Северной Кореи, одновременно настаивая на том, чтобы Совет Безопасности ООН восстановил Комитет экспертов по мониторингу санкций с прежним масштабом и полномочиями, как до его роспуска.

Тхак Сань