Kryptoindustrin upplevde ett stort uppsving i globala kryptostölder under 2025, med förluster på över 3,4 miljarder USD mellan januari och början av december, enligt en ny rapport från Chainalysis.

Uppgången berodde mest på hackare kopplade till Nordkorea, som låg bakom merparten av de stulna pengarna under året.

Inuti Nordkoreas rekordstora kryptostöld på 2 miljarder USD

I sin senaste rapport påpekade Chainalysis att attackerna från Demokratiska folkrepubliken Korea (DPRK) minskade i antal. Men de lyckades ändå med rekordhöga kryptostölder.

Nordkoreanska hackare stal minst 2,02 miljarder USD i digitala tillgångar under 2025. Detta innebar en ökning på 51 % jämfört med föregående år. Jämfört med siffrorna 2020 så motsvarar det en uppgång på cirka 570 %.

”Årets rekord kom från betydligt färre kända händelser. Färre incidenter gav alltså mycket större vinster. Detta beror på den stora Bybit-attacken i mars 2025,” noterade Chainalysis.

Rapporten visar även att aktörer kopplade till DPRK låg bakom rekordhöga 76 % av alla tjänstekomromisser under året.

Totalt gör siffrorna för 2025 att den lägsta sammanlagda uppskattningen av kryptomedel stulna av Nordkorea nu ligger på 6,75 miljarder USD.

”Den här utvecklingen är en fortsättning på en långvarig trend. Nordkoreas hackare har länge visat att de behärskar avancerade metoder, och de visar under 2025 att de fortsätter att ändra både taktik och mål,” sa Andrew Fierman, chef för nationell säkerhetsunderrättelse på Chainalysis till BeInCrypto.

Med hjälp av historiska data slog Chainalysis fast att DPRK fortfarande utför attacker med mycket högre värde jämfört med andra aktörer.

”Detta mönster visar att när Nordkoreas hackare slår till så riktar de in sig på stora tjänster och siktar på maximal effekt,” står det i rapporten.

Enligt Chainalysis lyckas Nordkoreas hackare oftare få stora resultat genom att placera personer i tekniska roller på företag inom kryptobranschen. Med denna metod kan de få fördelar från insidan och utföra mer skadliga angrepp.

I juli publicerade ZachXBT, en blockchain-utredare, en granskning där han påstod att nordkoreanska aktörer infiltrerat mellan 345 och 920 jobb i kryptosektorn.

”En del av årets rekordnivå beror troligen på att fler IT-arbetare infiltrerade börser, depån och web3-bolag. Det kan göra att hackare lättare får tillgång och kan förflytta sig innan en stor stöld,” står det i rapporten.

Hotaktörer har även börjat använda rekryteringsmetoder, och låtsas vara arbetsgivare för att rikta sig mot personer som redan jobbar inom sektorn.

Dessutom rapporterade BeInCrypto nyligen att hackare utgav sig för att vara pålitliga branschkontakter vid fejkade Zoom- och Microsoft Teams-möten. Med denna metod stal de mer än 300 miljoner USD.

”DPRK kommer alltid försöka hitta nya vägar för attacker och leta efter svagheter att utnyttja. Eftersom regimen inte har tillgång till den globala ekonomin vill de ta så mycket kapital till sig som möjligt. Därför har attacker mot privata nycklar för centraliserade tjänster drivit på årets stora stölder,” förklarade Fierman.

Chainalysis visar en 45-dagars plan för penningtvätt som används av nordkoreanska hackare

Chainalysis fann att Nordkoreas penningtvätt skiljer sig mycket från andra gruppers. Rapporten visar att aktörer kopplade till DPRK ofta tvättar pengar i mindre överföringar på blockkedjan, där drygt 60 % av summan gäller överföringar under 500 000 USD.

Andra hotaktörer gör däremot oftast 60 % av överföringarna i betydligt större partier, ofta mellan 1 miljon och över 10 miljoner USD. Chainalysis menar att detta visar på en mer genomtänkt och avancerad strategi för penningtvätt, även om Nordkorea stjäl större belopp totalt.

Företaget såg också tydliga skillnader i val av tjänster. Hackare från DPRK är starkt beroende av kinesiskspråkiga pengaflödestjänster, garantitjänster, bryggor och “mixers” som döljer spår. De använder också särskilda plattformar, som Huione, för att få igenom tvättningen.

Andra aktörer hanterar stöldgods oftare via decentraliserade börser, centraliserade plattformar, peer-to-peer-tjänster och utlåningsprotokoll.

”Dessa mönster visar att DPRK har andra förutsättningar och mål än icke-statligt understödda cyberkriminella. Deras tunga användning av professionella kinesiskspråkiga penningtvättstjänster och OTC-handlare visar att DPRK-aktörer arbetar nära med illegala aktörer i Asien-Stillahavsregionen, vilket ligger i linje med Pyongyangs historiska användning av nätverk i Kina för att få tillgång till det internationella finanssystemet,” skriver företaget.

Chainalysis såg också ett återkommande mönster för penningtvätt som brukar pågå i 45 dagar. Under de första dagarna efter en hackning (dag 0-5) försöker Nordkorea-kopplade aktörer snabbt flytta de stulna pengarna bort från källan. De använder DeFi-protokoll och blandningstjänster mycket under denna period.

Under andra veckan (dag 6-10) fokuserar de på tjänster som gör att pengarna kan blandas in mer. Då börjar flöden nå centraliserade börser och plattformar med lite eller ingen KYC-kontroll.

Penningtvätten fortsätter genom andra blandningstjänster men med mindre aktivitet. Samtidigt använder de cross-chain-bryggor för att dölja förflyttningar.

“Denna fas är den viktiga övergångsperioden där pengarna börjar röra sig mot möjliga uttag,” sa företaget.

I sista fasen (dag 20-45) ser vi mer kontakt med tjänster för växling eller uttag. Börser utan KYC, garanterade tjänster, snabba växlingstjänster och kinesiskspråkiga plattformar används ofta, samtidigt som de använder centraliserade börser igen för att blanda olagliga pengar med vanliga transaktioner.

Chainalysis påpekade att detta återkommande 45-dagars fönster ger viktig information till polisen. Det visar också att hackarna arbetar under särskilda villkor och ofta behöver vissa medhjälpare.

“Nordkorea använder en snabb och effektiv tvättningsmetod. Därför måste hela branschen reagera snabbt. Polisen och företag, från börser till blockkedjeanalytiker, måste samarbeta för att stoppa pengar direkt när det går, oavsett om de passerar genom stablecoins eller hamnar på en börs där de kan frysas direkt,” kommenterade Fierman.

Alla stulna pengar följer inte alltid detta mönster, men detta är den vanliga kedjan. Teamet erkände ändå att de kan missa en del, eftersom vissa saker som privata nyckelöverföringar eller OTC-trading utanför kedjan inte syns på blockkedjan utan extra information.

Prognos för 2026

Chainalysis chef för nationell säkerhetsinformation berättade för BeInCrypto att Nordkorea troligen letar efter alla möjliga svagheter. Händelser på Bybit, BTCTurk och Upbit i år visar att centraliserade börser får mer press, men taktiker kan ändras när som helst.

Attacken mot Balancer och Yearn visar också att även äldre protokoll kan bli mål för hackarna. Han sa,

“Vi kan inte säga vad som händer 2026, men vi vet att DPRK vill få ut så mycket pengar som möjligt från sina mål – därför måste tjänster med höga reserver skydda sig extra noga för att inte bli nästa offer.”

Rapporten framhöll också att eftersom Nordkorea använder kryptostölder för att finansiera staten och undvika sanktioner, måste branschen förstå att denna aktör har helt andra mål och regler än vanliga nätbrottslingar.

“Landets rekordår 2025 – uppnått med 74 % färre kända attacker – visar att vi kanske bara ser den synliga delen av deras aktiviteter,” lade Chainalysis till.

Företaget betonade att den stora utmaningen inför 2026 blir att upptäcka och stoppa de stora attackerna innan Nordkorea-anknutna aktörer lyckas genomföra en ny attack på samma nivå som Bybit-attacken.