CertiK, firma założona w 2017 roku przez profesorów Yale i Columbia, zsumowała straty od początku 2026 roku na co najmniej 1,1 mld dol. rozłożone na 185 incydentów. Spośród tej kwoty ok. 621 mln dol. przypisano źródłom z Korei Północnej, w tym blisko 291 mln dol. z ataku na platformę KelpDAO.

Dominującym wektorem ataku pozostaje manipulacja społeczna. Fałszywe oferty pracy na LinkedIn, podszywanie się pod przedstawicieli funduszy venture capital, fikcyjne rozmowy rekrutacyjne i złośliwe repozytoria kodu – to przez te kanały hakerzy uzyskują pierwotny dostęp do infrastruktury ofiar.

-Zdecydowana większość poważnych ataków inicjowanych przez Koreę Północną zaczyna się od manipulowania ludźmi – napisali analitycy CertiK w 23-stronicowym raporcie.

Spektakularnym przykładem tej strategii jest lutowy atak na giełdę Bybit w 2025 roku, włamanie warte ponad miliard dolarów. Napastnicy nie złamali zabezpieczeń inteligentnych kontraktów ani instytucjonalnych portfeli z wielopodpisowym zimnym przechowywaniem. Zamiast tego skompromitowali interfejs użytkownika, któremu klienci bezgranicznie ufali podczas logowania. W ciągu miesiąca od kradzieży 86,3 proc. skradzionych środków w Ethereum zostało wymienionych na Bitcoina.

Do prania skradzionych kryptowalut ugrupowania północnokoreańskie stosują miksery transakcji, mosty między łańcuchami bloków, zdecentralizowane giełdy i małych brokerów działających poza rynkiem regulowanym.

Sankcje jako bodziec do cyberprzestępczości

Z raportu wynika, że sankcje Rady Bezpieczeństwa ONZ de facto uczyniły z kradzieży kryptowalut proceder usankcjonowany przez państwo. Reżim, po tym, jak od 2006 roku kolejne pakiety restrykcji odcięły go od międzynarodowego systemu finansowego, znalazł w cyfrowych aktywach idealne narzędzie pozyskiwania dewiz: można je kraść zdalnie, przenosić bez pośredników i wymieniać na gotówkę za pomocą sieci podatnych lub nieświadomych brokerów.

Dane CertiK uzupełniają ustalenia innych firm analitycznych. Chainalysis szacuje łączne straty z kradzieży kryptowalut w 2025 roku na ponad 3,4 mld dol. Z kolei TRM Labs w swoim raporcie o cyberprzestępczości na 2026 rok wykazał, że ataki na infrastrukturę, przejęcia kluczy prywatnych, fraz odzyskiwania, interfejsów użytkowników i uprzywilejowanych punktów dostępu odpowiadają za ok. 2,2 mld dol., czyli 76 proc. wszystkich strat z włamań. Samo przejęcie portfeli indywidualnych użytkowników dotknęło co najmniej 80 tys. osób w ok. 158 tys. incydentach.

Poza Koreą Północną

Nie tylko hakerzy z Korei Północnej kradną kryptowaluty. Rosyjskojęzyczna grupa Rublevka Team, według ustaleń Recorded Future, przeprowadziła ok. 240 tys. skutecznych ataków na portfele kryptowalutowe, generując przychody przekraczające 10 mln dolarów. W kwietniu 2026 roku Kaspersky wykrył w App Store 26 fałszywych aplikacji portfelowych, podszywających się pod popularne narzędzia do przechowywania kryptowalut. Wszystkie były częścią kampanii SparkCitty

FBI oficjalnie przypisało atak na Bybit północnokoreańskiej grupie TraderTraitor. Natomiast włamanie do irańskiej giełdy Nobitex zostało publicznie przypisane ugrupowaniu Predatory Sparrow, powiązanemu z Izraelem, skradzione środki zostały faktycznie zniszczone, co wskazuje na motywację o charakterze politycznym, a nie finansowym.