W 2025 roku kradzież kryptowalut przekształciła się z prostych oszustw i okazjonalnych scamów w zaawansowane operacje sponsorowane przez całe państwa. Rekordowe straty w krypto są wynikiem ataków na główne giełdy i kluczową infrastrukturę. W pierwszej połowie 2025 roku skradziono ponad 2,17 mld USD, a ta liczba rośnie z miesiąca na miesiąc.
Tylko we wrześniu 20 ataków związanych z kryptowalutami spowodowało straty w wysokości 127,06 mln USD. To tylko ukazuje rosnące zagrożenia. Poniżej przedstawiamy TOP 3 znanych hakerów, którzy brali udział w dużych atakach na kryptowaluty.
Sponsored1. Grupa Lazarus powoduje rekordowe straty w krypto
Grupa Lazarus to słynna, działająca od dawna organizacja hakerska wspierana przez Koreę Północną. Znana pod pseudonimami takimi jak APT 38, Labyrinth Chollima i HIDDEN COBRA, grupa ta konsekwentnie wykazuje zdolność do omijania nawet najbardziej zaawansowanych systemów bezpieczeństwa.
Co więcej, Hacken zauważył, że ich operacje sięgają co najmniej 2007 roku i zaczęły się od włamań do systemów rządowych Korei Południowej. Inne znane ataki to włamanie do Sony Pictures w 2014 roku (odwet za film The Interview) i wybuch ransomware WannaCry w 2017 roku. Ponadto słynne są trwające kampanie wymierzone w sektory gospodarcze Korei Południowej.
W ostatnich latach Lazarus skupił się mocno na kradzieży kryptowalut, przywłaszczając sobie ponad 5 mld USD między 2021 a 2025 rokiem. Najważniejszym było włamanie do Bybit w lutym 2025 roku, kiedy grupa ukradła 1,5 mld USD w Ethereum (ETH) — były to zdecydowanie rekordowe straty w krypto. Dodatkowe operacje obejmowały kradzież 3,2 mln USD Solana (SOL) w maju 2025 roku. Dlatego Chainalysis napisał w lipcu:
„Włamanie do Bybit przez KRLD zasadniczo zmieniło krajobraz zagrożeń w 2025 roku. Przy 1,5 mld USD, ten pojedynczy incydent nie tylko stanowi największą kradzież kryptowalut w historii, ale także odpowiada za około 69% wszystkich skradzionych funduszy z usług w tym roku.”
2. Gonjeshke Darinde
Gonjeshke Darande (drapieżny wróbel) to politycznie motywowana grupa cyberataków, powszechnie uważana za powiązaną z Izraelem. W obliczu eskalujących konfliktów izraelsko-irańskich, grupa wykorzystała Nobitex, największą giełdę kryptowalut w Iranie, kradnąc około 90 mln USD, zanim spaliła fundusze.
Sponsored SponsoredGonjeshke Darande również ujawnił publicznie kod źródłowy Nobitex. Podważył systemy własnościowe giełdy i zadając poważny cios jej wiarygodności w oczach użytkowników i partnerów. W czerwcu napisali:
„12 godzin temu, 8 adresów spalających spaliło 90 mln USD z portfeli ulubionego narzędzia reżimu do łamania sankcji, Nobitex. Za 12 godzin kod źródłowy Nobitex będzie dostępny publicznie, a zamknięty ogród Nobitex będzie bez murów. Gdzie chcesz, aby były twoje aktywa?”
Inne ataki grupy również koncentrowały się na irańskiej infrastrukturze, bankach i innych celach.
- W lipcu 2021 roku Gonjeshke Darande zakłócił systemy kolejowe Iranu. Spowodowała poważne opóźnienia i publikując drwiące wiadomości na tablicach publicznych.
- Następnie w październiku 2022 roku grupa zaatakowała trzy duże huty stali, publikując nagrania pożarów, które spowodowały poważne szkody fizyczne i ekonomiczne.
- W maju 2025 roku włamali się do Banku Sepah, państwowego banku Iranu, ujawniając wrażliwe dane i zakłócając operacje finansowe.
3. UNC4899
UNC4899 to kolejna sponsorowana przez państwo północnokoreańska jednostka hakerska. Według raportu Google Cloud Threat Horizons, grupa działa pod Biurem Rozpoznania Ogólnego (RGB), główną agencją wywiadowczą Korei Północnej.
Raport ujawnił, że grupa jest aktywna co najmniej od 2020 roku. Ponadto UNC4899 skoncentrowała swoje wysiłki na sektorach kryptowalut i blockchain. Grupa wykazała zaawansowane zdolności w realizacji kompromisów łańcucha dostaw. Dlatego czytamy w raporcie:
Sponsored„Godnym uwagi przykładem jest ich podejrzewane wykorzystanie JumpCloud, które wykorzystali do infiltracji podmiotu dostarczającego rozwiązania programowe. Następnie oferowali to klientom w pionie kryptowalut, co podkreśla kaskadowe ryzyko stwarzane przez takich zaawansowanych przeciwników.”
Między 2024 a 2025 rokiem hakerzy przeprowadzili dwa duże napady na kryptowaluty. W jednym przypadku zwabili ofiarę na Telegramie, wdrożyli złośliwe oprogramowanie przez kontenery Docker, ominęli MFA w Google Cloud i ukradli miliony w kryptowalutach.
Natomiast w innym przypadku podeszli do celu przez LinkedIn, ukradli ciasteczka sesji AWS. Zrobili to, aby ominąć kontrole bezpieczeństwa, wstrzyknęli złośliwy JavaScript do usług chmurowych i ponownie wyprowadzili miliony w cyfrowych aktywach.
W tym roku kradzież kryptowalut stała się narzędziem konfliktu geopolitycznego, a nie tylko przestępstwem finansowym. Miliardy zostały stracone w tym roku. Strategiczne motywy wielu ataków pokazują, że giełdy, dostawcy infrastruktury, a nawet rządy muszą teraz traktować bezpieczeństwo kryptowalut jako kwestię bezpieczeństwa narodowego.
Co więcej, bez skoordynowanej obrony, wymiany informacji wywiadowczych i silniejszych zabezpieczeń w całym ekosystemie, straty będą tylko rosły.
Aby zapoznać się z najnowszą analizą rynku kryptowalut od BeInCrypto, kliknij tutaj.