Vuonna 2025 kryptovaluuttavarkaudet ovat kehittyneet yksinkertaisista huijauksista ja tilaisuuksiin perustuvista petoksista hienostuneiksi, valtion tukemiksi operaatioiksi, jotka kohdistuvat suuriin pörsseihin ja kriittiseen infrastruktuuriin. Yli 2,17 miljardia dollaria varastettiin vuoden 2025 ensimmäisellä puoliskolla, ja tämä luku kasvaa kuukausi kuukaudelta.
Pelkästään syyskuussa 20 kryptoon liittyvää hyökkäystä aiheutti 127,06 miljoonan dollarin raportoidut tappiot, mikä korostaa kasvavaa uhkaa. Alla on kolme korkean profiilin hakkeria, jotka ovat olleet mukana merkittävissä kryptoiskussa.
1. Lazarus Group
Lazarus Group on pahamaineinen, pitkään toiminut hakkerointiorganisaatio, jota Pohjois-Korea tukee. Tunnetaan myös nimillä APT 38, Labyrinth Chollima ja HIDDEN COBRA, ryhmä on jatkuvasti osoittanut kykynsä ohittaa jopa kehittyneimmät turvallisuusjärjestelmät.
Lisäksi Hacken huomautti, että heidän toimintansa juontavat juurensa vähintään vuoteen 2007, alkaen Etelä-Korean hallituksen järjestelmiin kohdistuneista tunkeutumisista. Muita merkittäviä hyökkäyksiä ovat Sony Picturesin hakkerointi vuonna 2014 (kostona elokuvasta The Interview), WannaCry-lunnasohjelmahyökkäys vuonna 2017 ja jatkuvat kampanjat, jotka kohdistuvat Etelä-Korean taloussektoreihin.
Viime vuosina Lazarus on keskittynyt voimakkaasti kryptovaluuttavarkauksiin, varastaen yli 5 miljardia dollaria vuosien 2021 ja 2025 välillä. Merkittävin oli Bybit-hakkerointi helmikuussa 2025, jolloin ryhmä varasti 1,5 miljardia dollaria Ethereumia (ETH)—suurin kryptovarkaus tähän mennessä. Muita operaatioita olivat 3,2 miljoonan dollarin Solana (SOL) varkaus toukokuussa 2025.
“DPRK:n ByBit-hakkerointi muutti perustavanlaatuisesti vuoden 2025 uhkakenttää. 1,5 miljardilla dollarilla tämä yksittäinen tapaus ei ainoastaan edusta historian suurinta kryptovarkautta, vaan se kattaa myös noin 69 % kaikista tänä vuonna palveluista varastetuista varoista,” Chainalysis kirjoitti heinäkuussa.
2. Gonjeshke Darinde
Gonjeshke Darande (saalistava varpunen) on poliittisesti motivoitunut kyberhyökkäysryhmä, jonka uskotaan laajalti olevan yhteydessä Israeliin. Israelin ja Iranin konfliktien kärjistyessä ryhmä hyödynsi Nobitexiä, Iranin suurinta kryptopörssiä, varastaen noin 90 miljoonaa dollaria ennen varojen polttamista.
Gonjeshke Darande myös paljasti Nobitexin lähdekoodin julkisesti, heikentäen pörssin omia järjestelmiä ja aiheuttaen merkittävän iskun sen uskottavuudelle käyttäjien ja kumppaneiden keskuudessa.
“12 tuntia sitten 8 poltto-osoitetta poltti 90 miljoonaa dollaria hallinnon suosikkisanktioiden kiertotyökalun, Nobitexin, lompakoista. 12 tunnin kuluttua Nobitexin lähdekoodi on julkinen, ja Nobitexin suljettu puutarha on ilman seiniä. Missä haluat omaisuutesi olevan?” he julkaisivat kesäkuussa.
Ryhmä on kohdistunut myös muihin Iranin infrastruktuureihin, pankkeihin ja muuhun.
- Heinäkuussa 2021 Gonjeshke Darande häiritsi Iranin rautatiejärjestelmiä, aiheuttaen suuria viivästyksiä ja julkaisten pilkkaavia viestejä julkisilla tauluilla.
- Lokakuussa 2022 ryhmä hyökkäsi kolmeen suureen terästehtaaseen, julkaisten kuvamateriaalia tulipaloista, jotka aiheuttivat vakavaa fyysistä ja taloudellista vahinkoa.
- Toukokuussa 2025 he murtautuivat Bank Sepahiin, Iranin valtion omistamaan pankkiin, vuotaen arkaluonteisia tietoja ja häiriten taloudellisia toimintoja.
3. UNC4899
UNC4899 on toinen Pohjois-Korean valtion tukema kryptohakkerointiyksikkö. Googlen Cloud Threat Horizons -raportin mukaan ryhmä toimii Reconnaissance General Bureaun (RGB), Pohjois-Korean pääasiallisen tiedusteluviraston, alaisuudessa.
Raportti paljasti, että ryhmä on ollut aktiivinen vähintään vuodesta 2020. Lisäksi UNC4899 on keskittynyt kryptovaluutta- ja lohkoketjusektoreihin. Ryhmä on osoittanut edistyneitä kykyjä toteuttaa toimitusketjun kompromisseja.
“Merkittävä esimerkki on heidän epäilty hyödyntäminen JumpCloudista, jota he käyttivät tunkeutuakseen ohjelmistoratkaisuyritykseen ja sen jälkeen uhreiksi joutuneisiin asiakkaisiin kryptovaluuttasektorilla, mikä korostaa tällaisten edistyneiden vastustajien aiheuttamia kaskadivaikutuksia,” raportti lukee.
Vuosina 2024 ja 2025 kryptohakkeri toteutti kaksi suurta kryptovarkautta. Yhdessä tapauksessa he houkuttelivat uhrin Telegramissa, levittivät haittaohjelmia Docker-konttien kautta, ohittivat MFA:n Google Cloudissa ja varastivat miljoonia kryptovaluutassa.
Toisessa tapauksessa he lähestyivät kohdetta LinkedInin kautta, varastivat AWS-istuntokeksit ohittaakseen turvakontrollit, injektoivat haitallista JavaScriptiä pilvipalveluihin ja jälleen siirsivät miljoonia digitaalisia omaisuuseriä.
Tänä vuonna kryptovarkaudesta on tullut yhtä paljon geopoliittisen konfliktin väline kuin talousrikos. Tänä vuonna menetetyt miljardit ja monien hyökkäysten strategiset motiivit osoittavat, että pörssien, infrastruktuuritoimittajien ja jopa hallitusten on nyt käsiteltävä kryptoturvallisuutta kansallisena turvallisuuskysymyksenä. Ilman koordinoitua puolustusta, tiedustelutiedon jakamista ja vahvempia suojatoimia koko ekosysteemissä tappiot vain kasvavat.
