Как четыре северокорейских хакера украли $900 000 из американского криптостартапа

"Цифровое пространство стало новым полем битвы. Здесь не нужны танки, только навыки и терпение." — Брюс Шнайер, эксперт по кибербезопасности

В 2025 году стало известно о новом кибератакующем сценарии, связанном с государственной хакерской группой из Северной Кореи. Четыре агента, действовавшие от имени Lazarus Group, провели серию атак против стартапов, работающих в сфере криптовалют и Web3. Одним из целевых проектов стал небольшой американский криптопроект, потерявший в результате мошенничества около **$900 000**.

Эта история — не просто очередной случай кражи криптоактивов. Это пример того, как профессиональные хакеры используют социальную инженерию, фальшивые профили и поддельные вакансии, чтобы получить доступ к криптохранилищам и вывести средства без следа.

🧩 Как северокорейские хакеры попали в криптостартап?

Согласно данным Chainalysis и расследованиям, группа Lazarus использует одну и ту же схему:

• Создание поддельных профилей на LinkedIn, X и GitHub;
• Подача резюме в стартапы, связанные с блокчейном;
• Получение удалённого доступа к внутренним системам;
• Запуск вредоносного ПО и отмывание активов через cross-chain транзакции.

В данном случае четыре человека, используя вымышленные личности, устроились на работу в небольшую криптоплатформу, специализирующуюся на DeFi. Под видом разработчиков они получили доступ к кошелькам и через несколько месяцев смогли перевести средства на внешние адреса.

🔐 Как была проведена атака: Технические детали

По данным расследования, злоумышленники действовали методично:

1. Создание фейковых профилей с якобы опытом в крупных компаниях;
2. Проникновение в компанию через удалённую работу;
3. Использование вредоносного ПО для доступа к приватным ключам;
4. Перевод средств на cross-chain пулы (Arbitrum, Optimism, Binance Chain);
5. Отмыв через OTC-биржи и монеты приватности (Monero, Zcash).

Особенно тревожит то, что один из сотрудников, работавший в команде безопасности, оказался частью этой группы. Это позволило им обойти систему внутреннего контроля и получить прямой доступ к транзакциям.

⛓️ Какие блокчейны были использованы в атаке?

Хакеры активно использовали:

• Ethereum — для первоначального доступа к DeFi-протоколу;
• Arbitrum — для снижения газовых комиссий и маскировки активности;
• Binance Chain — для перевода в BNB и BUSD;
• Monero (XMR) — для полного сокрытия следов перевода.

Это позволило им обойти большинство систем мониторинга и вывести активы за пределы досягаемости. По данным Arkham, после атаки средства были перемещены минимум через шесть промежуточных адресов, прежде чем оказались в руках конечных получателей.

🧠 Как Lazarus Group устраивает атаки на криптопроекты?

Группа Lazarus, связанная с режимом Ким Чен Ына, уже давно использует киберпреступность как способ финансирования своих операций. По данным Chainalysis, она ответственна за более чем $3 млрд в криптоактивах, украденных за последние пять лет.

В 2025 году их тактика стала ещё изощрённее:

• Поддельные рекрутинговые агентства;
• Использование AI для создания фейковых портфолио;
• Работа в команде разработчиков;
• Создание фейковых компаний для отмывания средств;
• Интеграция с NFT-маркетплейсами для маскировки активности.

Эти атаки показывают, что киберугрозы из Северной Кореи не только не ослабевают, но становятся ещё более сложными и масштабными.

🛡️ Как защитить стартап от таких угроз?

Защититься от такого рода атак сложно, но возможно. Вот что стоит учитывать при найме и работе с удаленными разработчиками:

• Проверка через KYC-платформы и биометрию;
• Анализ резюме и портфолио через специализированные сервисы;
• Мониторинг активности в сети с помощью DeFi-эксплореров;
• Использование multi-sig кошельков вместо single-signature;
• Шифрование данных и ограничение прав доступа;
• Регулярный аудит контрактов через CertiK или OpenZeppelin;
• Обучение команды кибербезопасности и распознаванию фишинга;
• Установка систем предотвращения утечек (Data Loss Prevention).

Также важно проводить постоянную верификацию сотрудников и проверять не только их технические навыки, но и историю работы, участие в сообществе и уровень открытости в интернете.

📊 Статистика и масштаб угрозы в 2025 году

По данным Chainalysis, Lazarus Group в 2025 году:

• Провел более 12 крупных атак на криптопроекты;
• Украл более $180 млн в криптовалюте;
• Использовал более 80 поддельных профилей для проникновения в компании;
• Активно использовал Telegram и Discord для коммуникации;
• Интегрировал AI-генераторы для создания фейковых портфолио.

США, Южная Корея и Япония выделили специальные подразделения для противодействия этим угрозам. Однако, как показывает случай с этим стартапом, даже хорошо защищённые компании могут стать жертвами.

🧠 Экспертное мнение: Как обнаружить и предотвратить такую атаку?

Александр Власов, эксперт по кибербезопасности в криптосфере, отметил:

"Ключ к защите — не только в коде, но и в людях. Если вы не проверяете своих сотрудников, вы уже уязвимы."

Вот что можно сделать:

• Проверять геолокационные данные при подключении;
• Анализировать поведение пользователей внутри системы;
• Использовать биометрический доступ к критическим системам;
• Отслеживать подозрительные транзакции через Nansen, Arkham и Dune;
• Обучать персонал основам безопасности и работе с кошельками;
• Интегрировать zero-trust архитектуру в работу с внутренними системами;
• Создать систему внутреннего контроля для работы с криптоактивами;
• Проводить регулярные пентесты и bug bounty программы.

📈 Влияние на рынок и индустрию крипто-стартапов

Этот случай стал ещё одним сигналом для криптобизнеса: внутренние угрозы не менее опасны, чем внешние. В результате, наблюдается рост интереса к:

• Сервисам по верификации сотрудников;
• Платформам по кибербезопасности;
• Решениям для внутреннего контроля и мониторинга;
• Использованию multi-sig и cold storage;
• Созданию внутренних систем безопасности.

Также увеличился интерес к decentralized identity и zero-knowledge доказательствам, которые могут помочь снизить уровень риска при удалённой работе и интеграции новых сотрудников.

📊 Заключение: Киберугрозы из Северной Кореи — реальность 2025 года

Случай с кражей $900 000 — это лишь один из многих. В 2025 году криптопротоколы и стартапы должны быть готовы к тому, что:

• Государственные хакеры будут активнее использовать социальную инженерию;
• Фишинг и фальшивые вакансии станут частью кибервойны;
• Отмыв средств через NFT, privacy-токены и cross-chain транзакции будет расти;
• Криптопроекты будут вынуждены повышать уровень внутренней безопасности.

Для стартапов и малых команд — это сигнал пересмотреть политику найма, особенно если речь идет о доступе к кошелькам, смарт-контрактам и внутренним инструментам. Для инвесторов — повод быть осторожными при финансировании проектов с высоким риском.