I 2025 har tyveri af kryptovaluta udviklet sig fra simple rug pulls og opportunistiske svindelnumre til sofistikerede, statssponsorerede operationer, der målretter sig mod store børser og kritisk infrastruktur. Over 2,17 milliarder dollars blev stjålet i første halvdel af 2025, og det tal fortsætter med at stige måned for måned.
Alene i september resulterede 20 krypto-relaterede angreb i rapporterede tab på 127,06 millioner dollars, hvilket understreger den stigende trussel. Nedenfor er tre højtprofilerede hackere, der har været involveret i store kryptoangreb.
1. Lazarus Group
The Lazarus Group er en berygtet, langvarig hackerorganisation støttet af Nordkorea. Kendt under aliaser som APT 38, Labyrinth Chollima og HIDDEN COBRA, har gruppen konsekvent demonstreret evnen til at omgå selv de mest avancerede sikkerhedssystemer.
Desuden noterede Hacken, at deres operationer går tilbage til mindst 2007, begyndende med indtrængen i sydkoreanske regeringssystemer. Andre markante angreb inkluderer Sony Pictures-hacket i 2014 (gengældelse for filmen The Interview), WannaCry ransomware-udbruddet i 2017 og igangværende kampagner rettet mod økonomiske sektorer i Sydkorea.
I de seneste år har Lazarus fokuseret kraftigt på tyveri af kryptovaluta, og stjålet mere end 5 milliarder dollars mellem 2021 og 2025. Det mest betydningsfulde var Bybit-hacket i februar 2025, hvor gruppen stjal 1,5 milliarder dollars i Ethereum (ETH)—det største kryptotyveri nogensinde. Yderligere operationer inkluderede et tyveri på 3,2 millioner dollars Solana (SOL) i maj 2025.
“DPRK’s ByBit-hack ændrede fundamentalt trusselslandskabet i 2025. Med 1,5 milliarder dollars repræsenterer denne enkeltstående hændelse ikke kun det største kryptotyveri i historien, men udgør også cirka 69% af alle midler stjålet fra tjenester i år,” skrev Chainalysis i juli.
2. Gonjeshke Darinde
Gonjeshke Darande (predatory sparrow) er en politisk motiveret cyberangrebsgruppe, der bredt antages at have forbindelser til Israel. Under de eskalerende Israel-Iran konflikter udnyttede gruppen Nobitex, Irans største kryptobørs, og stjal omkring 90 millioner dollars, før de brændte midlerne.
Gonjeshke Darande offentliggjorde også Nobitex’s kildekode, underminerede børsens proprietære systemer og gav et stort slag mod dens troværdighed hos brugere og partnere.
“For 12 timer siden brændte 8 burn-adresser 90 millioner dollars fra wallets tilhørende regimets foretrukne værktøj til sanktionsovertrædelser, Nobitex. Om 12 timer vil kildekoden til Nobitex være offentlig, og Nobitex’s lukkede have vil være uden mure. Hvor vil du have dine aktiver?” postede de i juni.
Gruppens andre angreb har også fokuseret på iransk infrastruktur, banker og mere.
- I juli 2021 forstyrrede Gonjeshke Darande Irans jernbanesystemer, hvilket forårsagede store forsinkelser og postede hånende beskeder på offentlige tavler.
- I oktober 2022 angreb gruppen tre store stålværker og frigav optagelser af brande, der forårsagede alvorlig fysisk og økonomisk skade.
- I maj 2025 brød de ind i Bank Sepah, Irans statsejede bank, lækkede følsomme data og forstyrrede finansielle operationer.
3. UNC4899
UNC4899 er en anden nordkoreansk statssponsoreret krypto-hackerenhed. Ifølge Googles Cloud Threat Horizons Report opererer gruppen under Reconnaissance General Bureau (RGB), Nordkoreas primære efterretningsagentur.
Rapporten afslørede, at gruppen har været aktiv siden mindst 2020. Desuden har UNC4899 koncentreret sine bestræbelser på kryptovaluta og blockchain-sektorerne. Gruppen har demonstreret avancerede evner i at udføre forsyningskædekompromitteringer.
“Et markant eksempel er deres formodede udnyttelse af JumpCloud, som de brugte til at infiltrere en softwareløsning og efterfølgende ofre nedstrøms kunder inden for kryptovalutaområdet, hvilket understreger de kaskaderende risici, der er forbundet med sådanne avancerede modstandere,” læser rapporten.
Mellem 2024 og 2025 udførte krypto-hackeren to store kryptotyverier. I et tilfælde lokkede de et offer på Telegram, implementerede malware gennem Docker-containere, omgåede MFA i Google Cloud og stjal millioner i kryptovaluta.
I et andet tilfælde kontaktede de et mål via LinkedIn, stjal AWS-session cookies for at omgå sikkerhedskontroller, injicerede skadelig JavaScript i cloud-tjenester og igen stjal millioner i digitale aktiver.
Dermed er kryptotyveri i år blevet et redskab i geopolitiske konflikter såvel som finansiel kriminalitet. De milliarder, der er gået tabt i år—og de strategiske motiver bag mange angreb—viser, at børser, infrastrukturudbydere og endda regeringer nu skal betragte kryptosikkerhed som et spørgsmål om national sikkerhed. Uden koordineret forsvar, efterretningsdeling og stærkere beskyttelsesforanstaltninger på tværs af økosystemet vil tabene kun fortsætte med at stige.
