Pagsapit ng 2025, nag-evolve na ang pagnanakaw ng cryptocurrency mula sa simpleng rug pulls at opportunistic scams patungo sa mas advanced na operasyon na sinusuportahan ng mga bansa, na target ang malalaking exchanges at critical infrastructure. Umabot na sa $2.17 bilyon ang nanakaw sa unang kalahati ng 2025, at patuloy pa itong tumataas kada buwan.
Noong September lang, 20 crypto-related na pag-atake ang nagresulta sa $127.06 milyon na reported losses, na nagpapakita ng lumalaking banta. Narito ang tatlong high-profile na hackers na sangkot sa malalaking crypto attacks.
1. Lazarus Group
Ang Lazarus Group ay isang kilalang hacking organization na suportado ng North Korea. Kilala rin sa mga alias tulad ng APT 38, Labyrinth Chollima, at HIDDEN COBRA, palagi nilang napapakita ang kakayahang malampasan ang pinaka-advanced na security systems.
Sinabi rin ng Hacken na nagsimula ang kanilang operasyon noong 2007 pa, simula sa pagpasok sa mga sistema ng gobyerno ng South Korea. Kasama sa iba pang kapansin-pansing pag-atake ang Sony Pictures hack noong 2014 (bilang ganti sa pelikulang The Interview), ang WannaCry ransomware outbreak noong 2017, at patuloy na kampanya laban sa mga economic sectors sa South Korea.
Sa mga nakaraang taon, nakatutok ang Lazarus sa pagnanakaw ng cryptocurrency, kung saan mahigit $5 bilyon ang nanakaw mula 2021 hanggang 2025. Ang pinaka-significant ay ang Bybit hack noong February 2025, kung saan nanakaw ng grupo ang $1.5 bilyon sa Ethereum (ETH)—ang pinakamalaking crypto heist na naitala. Kasama rin sa kanilang operasyon ang $3.2 milyon na Solana (SOL) theft noong May 2025.
“Fundamentally binago ng DPRK’s ByBit hack ang threat landscape ng 2025. Sa $1.5 bilyon, ang insidenteng ito ay hindi lang ang pinakamalaking crypto theft sa kasaysayan, kundi nagrerepresenta rin ng humigit-kumulang 69% ng lahat ng pondo na nanakaw mula sa mga serbisyo ngayong taon,” ayon sa Chainalysis noong July.
2. Gonjeshke Darinde
Ang Gonjeshke Darande (predatory sparrow) ay isang politically motivated na cyberattack group na malawakang pinaniniwalaang may koneksyon sa Israel. Sa gitna ng tumitinding alitan ng Israel-Iran, in-exploit ng grupo ang Nobitex, ang pinakamalaking crypto exchange ng Iran, at nanakaw ng humigit-kumulang $90 milyon bago sunugin ang mga pondo.
In-expose din ng Gonjeshke Darande ang source code ng Nobitex sa publiko, na nagdulot ng malaking dagok sa kredibilidad ng exchange sa mga user at partner.
“12 oras na ang nakalipas, 8 burn addresses ang nagsunog ng $90 milyon mula sa mga wallet ng paboritong tool ng rehimen para sa paglabag sa sanctions, ang Nobitex. 12 oras mula ngayon, magiging open sa publiko ang source-code ng Nobitex, at mawawalan ng pader ang walled garden ng Nobitex. Saan mo gustong ilagay ang iyong assets?” kanilang ipinost noong June.
Nakatutok din ang iba pang pag-atake ng grupo sa Iranian infrastructure, mga bangko, at iba pa.
- Noong July 2021, pinutol ng Gonjeshke Darande ang railway systems ng Iran, na nagdulot ng matinding pagkaantala at nagpost ng mga nakakatawang mensahe sa public boards.
- Noong October 2022, inatake ng grupo ang tatlong malalaking steel plants, naglabas ng footage ng mga sunog na nagdulot ng seryosong pisikal at economic na pinsala.
- Noong May 2025, na-breach nila ang Bank Sepah, ang state-owned bank ng Iran, nag-leak ng sensitibong data at nagdulot ng pagkaantala sa mga financial operations.
3. UNC4899
Ang UNC4899 ay isa pang North Korean state-sponsored crypto hacking unit. Ayon sa Google’s Cloud Threat Horizons Report, ang grupo ay nag-ooperate sa ilalim ng Reconnaissance General Bureau (RGB), ang pangunahing intelligence agency ng North Korea.
Ibinunyag ng report na aktibo na ang grupo mula pa noong 2020. Bukod dito, nakatutok ang UNC4899 sa cryptocurrency at blockchain sectors. Ipinakita ng grupo ang advanced na kakayahan sa pag-execute ng supply chain compromises.
“Isang kapansin-pansing halimbawa ay ang kanilang pinaghihinalaang pag-exploit sa JumpCloud, na ginamit nila para makapasok sa isang software solutions entity at kalaunan ay biktimahin ang mga downstream customers sa cryptocurrency vertical, na nagpapakita ng cascading risks na dulot ng ganitong advanced na kalaban,” ayon sa report.
Sa pagitan ng 2024 at 2025, ang crypto hacker ay nagsagawa ng dalawang malalaking crypto heists. Sa isang sitwasyon, niloko nila ang biktima sa Telegram, nag-deploy ng malware gamit ang Docker containers, in-bypass ang MFA sa Google Cloud, at nanakaw ng milyon-milyong halaga ng cryptocurrency.
Sa isa pang sitwasyon, nilapitan nila ang target sa LinkedIn, ninakaw ang AWS session cookies para i-bypass ang security controls, nag-inject ng malicious JavaScript sa cloud services, at muli, nanakaw ng milyon-milyong halaga ng digital assets.
Ngayon taon, naging bahagi na ng geopolitical conflict ang crypto theft, hindi lang basta financial crime. Ang bilyon-bilyong nawala ngayong taon—at ang mga strategic na motibo sa likod ng maraming pag-atake—ay nagpapakita na kailangan nang ituring ng mga exchanges, infrastructure providers, at pati ng mga gobyerno ang crypto security bilang usaping pambansang seguridad. Kung walang coordinated na depensa, pagbabahagi ng intelligence, at mas matibay na safeguards sa buong ecosystem, patuloy lang na lalala ang mga pagkalugi.
