سرق القراصنة الكوريون الشماليون رقمًا قياسيًا قدره 2.02 مليار دولار في العملات المشفرة في عام 2025، وفقًا لتقرير جديد من Chainalysis، متجاوزًا غنيمة العام السابق بنسبة 51 في المئة ومرفعًا إجماليهم إلى 6.75 مليار دولار. شكلت السرقات، التي مثلت 60 في المئة من الإجمالي العالمي البالغ 3.4 مليار دولار المسروقة، مدفوعة بهجمات أقل عددًا لكنها أكبر حجمًا، بما في ذلك خرق بقيمة 1.5 مليار دولار في بورصة Bybit ذات المقر في دبي في فبراير. يعزو الخبراء النجاح إلى تكتيكات متطورة مثل إدراج عمال تكنولوجيا المعلومات في شركات الكريبتو وانتحال صفة المجندين.
يبرز تقرير Chainalysis، الذي صدر في 18 ديسمبر 2025، تحولًا في أنماط سرقة العملات المشفرة، مع بقاء جمهورية كوريا الديمقراطية الشعبية (RPDK) التابعة لكوريا الشمالية كالجهة المهددة المهيمنة. على الرغم من انخفاض عدد الحوادث المؤكدة بنسبة 74 في المئة مقارنة بعام 2024، حقق قراصنة RPDK نتائج مفرطة من خلال استهداف الخدمات المركزية ذات الاحتياطيات العالية. هجوم فبراير على Bybit، الذي ربطته السلطات الأمريكية بمجموعة لازاروس النخبوية التابعة لكوريا الشمالية، شكل وحده 1.5 مليار دولار في الإيثريوم وأصول أخرى، مسجلاً أكبر سرقة كريبتو في التاريخ.
يلاحظ محللو البلوكشين أن عملاء RPDK يتسللون بشكل متزايد إلى شركات الكريبتو من خلال الحصول على وظائف تكنولوجيا معلومات عن بعد بشكل احتيالي أو انتحال صفة المجندين على منصات مثل Upwork. «إن فاعلي التهديد الكوريين الشماليين يحققون هذه النتائج المفرطة غالبًا من خلال إدراج عمال تكنولوجيا المعلومات داخل خدمات الكريبتو للحصول على وصول مميز»، كما ينص التقرير. على مستوى التنفيذيين، يحاكون عروض الاستثمار لاستخراج البيانات الاعتمادية والوصول إلى النظام. قدر باحث الأمن Pablo Sabbatella أن 30 إلى 40 في المئة من طلبات التوظيف في شركات الكريبتو تأتي من عملاء كوريين شماليين.
تكشف أنماط غسيل الأموال عن تفضيلات RPDK للخدمات باللغة الصينية، والجسور عبر السلاسل، وبروتوكولات الخلط، مع نقل الأموال في دفعات صغيرة أقل من 500,000 دولار على مدى دورة نمطية مدتها 45 يومًا. يختلف هذا عن المجرمين الإلكترونيين الآخرين، الذين يفضلون التحويلات الكبيرة وقروض DeFi. اتهمت الأمم المتحدة كوريا الشمالية منذ فترة طويلة باستخدام هذه الأموال للالتفاف على العقوبات وتمويل برامجها النووية والصاروخية.
عالميًا، ارتفعت الانتهاكات للمحافظ الشخصية إلى 158,000 حادثة أثرت على 80,000 ضحية، على الرغم من انخفاض القيمة الإجمالية المسروقة إلى 713 مليون دولار. بقيت الهجمات على DeFi منخفضة رغم ارتفاع القيمة الإجمالية المقفلة، مما يشير إلى تحسينات في الإجراءات الأمنية، كما رأينا في استجابة بروتوكول Venus السريعة لهجوم في سبتمبر استردت فيه جميع الأموال.
يحذر الخبراء من المخاطر المستمرة. «نشاط سرقة الكريبتو لكوريا الشمالية هو قضية عقوبات وأمن قومي وجريمة مالية»، قال Chris Wong، الوكيل السابق في مكتب التحقيقات الفيدرالي في TRM Labs. شدد رئيس استخبارات الأمن القومي في Chainalysis، Andrew Fierman، على الحاجة إلى كشف أفضل لسلوكيات RPDK المميزة على السلسلة.
