Північнокорейські хакери викрили себе: що вони шукали на CryptoQuant
Аналітична платформа CryptoQuant зафіксувала унікальну подію: візит користувача з IP-адресою, що належить КНДР. Це не просто статистична аномалія — це пряма вказівка на те, що північнокорейські державні хакери активно вивчають ринкові метрики біткоїна. Йдеться не про випадкового перехожого, а про професійного агента, який має доступ до глобальної мережі в умовах жорсткої інтернет-ізоляції країни.
Як показує скріншот із системи аналітики Amplitude, відвідувач потрапив на сторінку з метрикою Bitcoin: MVRV Ratio через пошук Google. Його операційна система — Mac OS X, країна — Північна Корея. Враховуючи, що доступ до інтернету в КНДР — це привілей, який надається лише обраним (держслужбовцям, дипломатам та військовим), цей візит з високою ймовірністю здійснив державний агент, а не пересічний громадянин.
Метрика MVRV Ratio (Market Value to Realized Value) порівнює поточну ринкову капіталізацію біткоїна із середньою ціною придбання всіх монет. Вона використовується для оцінки перегрітості або недооціненості активу. Навіщо північнокорейському хакеру цей інструмент? Відповідь очевидна: для планування стратегії виведення коштів або оцінки моменту для нових атак.
Контекст кіберзагрози
Ця подія не є поодинокою. КНДР систематично фігурує у звітах блокчейн-аналітиків як одне з головних джерел криптозагроз. Угруповання, такі як Lazarus Group, пов'язують з найбільшими крадіжками в історії: злам мережі Ronin (Axie Infinity) на суму понад $600 млн у 2022 році та атака на біржу Coincheck зі збитками близько $534 млн у 2018 році. Цифрові активи стали для ізольованого Пхеньяна ключовим економічним ресурсом, який складно отримати легальними шляхами через санкції.
Одиничний візит сам по собі не доводить особу користувача, але в поєднанні з контекстом північнокорейської кіберактивності він стає потужним сигналом. Пхеньян продовжує нарощувати свої можливості в криптосфері, і інтерес до фундаментальних метрик біткоїна — лише верхівка айсберга.
Моя професійна думка: Цей інцидент — яскраве нагадування про те, що державні хакери не лише атакують інфраструктуру, але й активно аналізують ринок. Ігнорувати такі сигнали не можна: вони вказують на підготовку до масштабних операцій. Для інвесторів це означає необхідність підвищеної пильності при роботі з DeFi-протоколами та централізованими біржами, особливо в періоди високої волатильності.