北朝鮮が暗号資産窃取作戦を拡大、2025年に過去最高の20億2000万ドルが盗まれる

ブロックチェーンの採用拡大とデジタル資産価格の上昇は、北朝鮮による暗号資産窃盗の急激なエスカレーションと同時に発生し、中央集権型サービス、分散型金融、個人ウォレットにわたるグローバルリスクを再構築しています。

2025年に34億ドル以上が盗まれ、暗号資産窃盗が変化

Chainalysisの新しい報告書によると、暗号資産セクターでは2025年1月から12月初旬までの間に34億ドル以上が盗まれ、2月のBybit侵害だけで15億ドルが失われました。しかし、この見出しの数字の背後で、暗号資産犯罪の構造はわずか3年間で著しく変化しました。

さらに、個人ウォレットの侵害は全体的な窃盗に占める割合が急増しています。盗難価値の7.3%だった2022年から2024年には44%に上昇しました。2025年には、Bybitの侵害がデータを大きく歪めていなければ、総損失の37%を占めていたでしょう。

中央集権型サービスは、豊富なリソースとプロフェッショナルなセキュリティーチームを持っているにもかかわらず、秘密鍵の侵害によってますます大きな損失を被り続けています。このような事件は頻繁には発生しませんが、依然として壊滅的です。2025年第1四半期には、全損失の88%を占め、単一障害点が生み出すシステミックリスクを浮き彫りにしています。

とはいえ、高い窃盗量の持続は、一部のセグメントでより良い慣行があるにもかかわらず、攻撃者が依然として複数のベクトルとプラットフォームにわたる弱点を悪用できることを示しています。

異常なメガハッキングが暗号資産窃盗を支配

暗号資産窃盗は常に少数の大規模な侵害に偏ってきましたが、2025年は新たな極端を記録しました。窃盗時の米ドル価値に基づいて、最大のハッキングと中央値の事件との比率が初めて1,000倍を超えました。

その結果、2025年のトップ3のハッキングは全サービス損失の69%を占めました。事件数と中央値の損失は資産価格と共に動く傾向がありますが、個々の異常値の規模はさらに速く上昇しています。この集中リスクは、単一の侵害が現在、業界全体の年間損失統計を再構築できることを意味します。

北朝鮮がグローバル暗号資産窃盗の状況をリード

朝鮮民主主義人民共和国(DPRK)は、デジタル資産犯罪における最も重要な国家主体であり続けています。2025年、北朝鮮のハッカーは少なくとも20億2,000万ドル相当の暗号資産を盗み、2024年から6億8,100万ドル増加し、奪取価値で51%の前年比上昇を記録しました。

これらの活動により、2025年は価値別でDPRK関連窃盗の記録上最悪の年となりました。さらに、DPRK攻撃は全サービス侵害の記録的な76%を占め、平壌関連主体によって盗まれた累積総額の下限値を67億5,000万ドルに押し上げました。注目すべきことに、この記録的な成果は、確認された事件の評価上の急激な減少にもかかわらず達成されました。

北朝鮮の工作員は、取引所、カストディアン、web3企業内にIT労働者を埋め込むという中核的なベクトルの1つをますます悪用しています。

内部に入ると、これらの労働者は特権アクセスを育成し、横方向の移動を容易にし、最終的に大規模な窃盗を組織することができます。2025年2月のBybit攻撃は、この浸透モデルの影響を増幅した可能性があります。

しかし、DPRK関連グループはソーシャルエンジニアリング戦術も適応させています。単に求人に応募するのではなく、現在では著名なweb3およびAI企業のリクルーターになりすまし、精巧な偽の採用プロセスを演出することが頻繁にあります。これらはしばしば、ターゲットを騙して認証情報、ソースコード、または現在の雇用主へのVPNおよびSSOアクセスを引き渡させる「技術スクリーニング」で終わります。

経営幹部レベルでは、同様のソーシャルエンジニアリングキャンペーンが、戦略的投資家または買収者を装った偽のアウトリーチを特徴としています。

ピッチミーティングや疑似デューデリジェンスプロセスは、機密システムの詳細を調査し、高価値インフラストラクチャへのアクセスパスをマッピングするために使用されます。この進化は、以前のIT労働者詐欺スキームに直接基づいており、戦略的に重要なAIおよびブロックチェーンビジネスへのより厳密な焦点を強調しています。

2022年から2025年にかけて、DPRK起因のハッキングは一貫して最高の価値帯を占めており、非国家主体は事件規模にわたってより正常な分布を示しています。このパターンは、北朝鮮が攻撃するとき、大規模な中央集権型サービスを好み、最大の財政的および政治的影響を目指していることを示しています。

2025年の顕著な特徴の1つは、この記録的な合計がはるかに少ない既知の活動で達成されたことです。

巨大なBybit侵害により、DPRK関連グループは、より多くの中規模の侵害の代わりに、少数の極めて有利な攻撃を実行できたようです。

特徴的なDPRK暗号資産洗浄パターン

2025年初頭の前例のない盗難資産の流入は、平壌関連主体が大規模に資金を移動する方法について異例なほど明確な可視性を提供しました。彼らの暗号資産洗浄パターンは、他の犯罪グループのものとは大きく異なり、時間の経過とともに進化し続けています。

DPRKの流出は、特徴的な括弧構造を示しています。取引量のわずかに60%以上が50万ドル未満の振替で移動するのに対し、他の盗難資金主体は、100万ドルから1,000万ドル以上の間の分割払いで、オンチェーンフローの60%以上を送信します。

通常はより大きな合計を盗むにもかかわらず、DPRKグループは支払いをより小さなセグメントに分割しており、より洗練された構造化を通じて検出を回避する意図的な試みを示唆しています。

さらに、DPRK主体は一貫して特定の洗浄接点を好みます。

彼らは中国語の資金移動および保証サービスに大きく依存しており、コンプライアンス基準が弱い可能性のあるプロの洗浄業者の緩く接続されたネットワークを通じて運営されることが多いです。また、クロスチェーンブリッジおよびミキシングサービス、Huioneなどの専門プロバイダーを広範に使用して、難読化と管轄の複雑さを高めています。

対照的に、他の多くの犯罪グループは、流動性と匿名性のために貸出プロトコル、KYC不要の取引所、P2Pプラットフォーム、分散型取引所を好みます。DPRK団体は、分散型金融のこれらの分野との統合が限られており、彼らの制約と目的が典型的な金銭的動機のあるサイバー犯罪者のものとは異なることを強調しています。

これらの好みは、DPRKネットワークがアジア太平洋地域全体の違法事業者と密接に結びついていることを示しており、特にグローバル金融システムへの間接的なアクセスを提供する中国ベースのチャネルと結びついています。これは、制裁を回避し、オフショアで価値を移動するために中国の仲介者を使用してきた平壌のより広い歴史と一致しています。

DPRK暗号資産窃盗後の45日間の洗浄サイクル

2022年から2025年の間のDPRK関連窃盗のオンチェーン分析は、約45日間続く比較的安定した複数波の洗浄サイクルを明らかにしています。すべての活動がこのタイムラインに従うわけではありませんが、盗まれた資金が積極的に移動されるときに繰り返し現れます。

0日目から5日目にまたがる第1波は、即時の階層化に焦点を当てています。分散型金融プロトコルは、初期エントリーポイントとして盗難資金フローの激しいスパイクを見る一方、ミキシングサービスは難読化の最初の層を作成するために大量のジャンプを記録します。この一連の動きは、簡単に識別できるソースアドレスから資金を遠ざけるように設計されています。

6日目から10日目をカバーする第2波は、より広いエコシステムへの統合の開始を示します。限定的なKYC管理を持つ取引所、一部の中央集権型プラットフォーム、およびセカンダリミキサーがフローを受け取り始め、しばしばトランザクショントレイルを断片化して複雑にするクロスチェーンブリッジによって促進されます。この段階は、資金が潜在的な出口ランプに向かって移行するため、重要です。

20日目から45日目にわたる第3波は、統合の長い尾を特徴としています。KYC不要の取引所、インスタントスワップサービス、および中国語の洗浄サービスが主要なエンドポイントとして浮上します。中央集権型取引所もますます預金を受け取り、しばしば規制の少ない管轄区域のオペレーターを通じて、違法な収益を正当な取引フローに混ぜる努力を反映しています。

この広範な45日間のウィンドウは、リアルタイムでフローを妨害しようとする法執行機関とコンプライアンスチームに貴重な情報を提供します。しかし、アナリストは重要な盲点を指摘しています。秘密鍵の振替、特定のOTC暗号資産対法定通貨取引、または完全にオフチェーンの取り決めは、追加のインテリジェンスと組み合わせない限り、見えないままになる可能性があります。

個人ウォレットの侵害が量的に急増

注目度の高いサービス侵害とともに、個人への攻撃が急激にエスカレートしています。下限値の推定では、個人ウォレットの侵害は2025年に盗まれた総価値の約20%を占め、2024年の44%から減少しましたが、依然として大規模な損害を反映しています。

事件数は2022年の54,000件から2025年には158,000件にほぼ3倍になりました。同じ期間に、固有の被害者の数は約40,000人から少なくとも80,000人に倍増しました。これらの増加は、自己保管資産のより広いユーザー採用を反映している可能性があります。たとえば、最も活発な個人ウォレットを持つチェーンの1つであるSolanaは、他のネットワークよりもはるかに多い約26,500人の影響を受けたユーザーを記録しました。

しかし、個人が失った総ドル価値は2024年の15億ドルから2025年には7億1,300万ドルに減少しました。これは、攻撃者が検出リスクを減らし、より洗練されていないユーザーを悪用するために、アカウントごとにより小さな金額を抽出しながら、より多くの被害者に努力を広げていることを示唆しています。

ネットワークレベルの犯罪指標は、どのチェーンが現在最大のユーザーリスクを提示しているかを明らかにします。2025年、100,000ウォレットあたりの窃盗を測定すると、イーサリアムとTronが最高の犯罪率を示しています。イーサリアムの膨大な規模は、高い事件数とウォレットあたりのリスクの上昇を組み合わせていますが、Tronは、より小さなアクティブベースにもかかわらず、比較的高い窃盗率を示しています。対照的に、BaseとSolanaは、ユーザーコミュニティが大規模であるにもかかわらず、より低い率を示しています。

これらの違いは、個人ウォレットの侵害がエコシステム全体に均等に分布していないことを示しています。ユーザーの人口統計、主要なアプリケーションタイプ、地元の犯罪インフラストラクチャ、および教育レベルなどの要因が、詐欺師やマルウェアオペレーターが努力を集中させる場所に影響を与える可能性があります。

DeFiハッキングは預かり資産のトレンドから乖離

分散型金融セクターは、市場成長とセキュリティー結果との間で注目すべき乖離を示しています。2020年から2025年までのデータは、分散型金融預かり資産(TVL)とハッキング関連損失との関係における3つの明確なフェーズを確認しています。

2020年から2021年のフェーズ1では、初期の分散型金融ブームが資本と洗練された攻撃者の両方を引き付けたため、TVLと損失が連動して上昇しました。2022年から2023年をカバーするフェーズ2では、市場が冷え込むにつれてTVLと損失の両方が後退しました。しかし、2024年と2025年にまたがるフェーズ3は、構造的な断絶を示しています。TVLは2023年の低水準から回復しましたが、ハッキング量は比較的抑制されたままです。

この乖離は、分散型金融セキュリティーの改善が測定可能な効果を持ち始めていることを示唆しています。さらに、個人ウォレット攻撃と中央集権型取引所ハッキングの同時上昇は、脅威主体が侵害しやすいと認識される領域にリソースをシフトさせるターゲット置換を示唆しています。

ケーススタディ:Venus Protocolが防御の進歩を強調

2025年9月のVenus Protocol事件は、階層化された防御が結果をどのように有意義に変えることができるかを強調しています。攻撃者は侵害されたZoomクライアントを使用して足がかりを得て、1,300万ドルの資産を保有するアカウントに対する委任制御を付与するようにユーザーを操作しました。

以前の分散型金融条件下では、このようなアクセスは取り返しのつかない損失をもたらした可能性があります。しかし、Venusはわずか1か月前にセキュリティー監視プラットフォームを統合していました。そのプラットフォームは、攻撃の約18時間前に疑わしい活動にフラグを立て、悪意のあるトランザクションが提出されたときに別のアラートを発行しました。

20分以内に、Venusはプロトコルを一時停止し、資金の移動を停止しました。部分的な機能は約5時間後に復帰し、7時間以内にプロトコルは攻撃者のウォレットを強制的に清算しました。12時間の時点までに、すべての盗まれた資金が回収され、通常の運用が再開されました。

さらなるステップとして、Venusガバナンスは、攻撃者の管理下にあるまだ約300万ドルの資産を凍結する提案を承認しました。敵は最終的に利益を得ることができず、代わりに純損失を被り、オンチェーンガバナンス、監視、およびインシデント対応フレームワークの成長する力を示しました。

とはいえ、このケースは自己満足を生むべきではありません。これは、プロトコルが監視とリハーサルされたプレイブックに早期に投資したときに可能なことを示していますが、多くの分散型金融プラットフォームは依然として同等の能力または明確な緊急時対応計画を欠いています。

2026年と将来の脅威環境への影響

2025年のデータは、より少ない活動でも記録的な結果を提供できる高度に適応性のあるDPRKエコシステムを描写しています。Bybit事件は、他の大規模な侵害と組み合わせて、1つの成功したキャンペーンが、グループが洗浄と運用セキュリティーに焦点を当てている間、長期間にわたって資金調達ニーズを維持できることを示しています。

さらに、他の違法活動と比較したDPRK暗号資産窃盗の独自のプロファイルは、貴重な検出機会を提供します。特定の振替サイズへの好み、特定の中国語ネットワークへの大きな依存、および特徴的な45日間の洗浄サイクルは、取引所、分析会社、および規制当局が疑わしい行動を早期にフラグ立てするのに役立ちます。

北朝鮮暗号資産ハッカーが国家の優先事項に資金を提供し、制裁を回避するためにデジタル資産を使用し続けるにつれて、業界はこの敵が通常の金銭的動機のある犯罪者とは異なるインセンティブの下で運営されていることを受け入れなければなりません。推定74%少ない既知の攻撃で達成された政権の記録破りの2025年のパフォーマンスは、多くの活動がまだ検出されていない可能性があることを示唆しています。

2026年を見据えて、中心的な課題は、別のBybit規模の侵害が発生する前に、これらの高影響度の活動を特定して妨害することです。中央集権型会場での管理の強化、個人ウォレットの強化、および法執行機関との協力の深化は、国家キャンペーンと暗号資産犯罪のより広い波の両方を封じ込めるために重要です。

要約すると、2025年は、分散型金融のような分野で防御が改善されている一方で、DPRKや大規模ウォレット窃盗者などの洗練された主体が構造的な弱点を悪用し続けており、調整されたグローバル対応をこれまで以上に緊急にすることを確認しました。