År 2025 har kryptovalutastölder utvecklats från enkla bedrägerier till sofistikerade operationer sponsrade av nationer som riktar sig mot stora börser och kritisk infrastruktur. Över 2,17 miljarder USD stals under första halvåret 2025, och den siffran fortsätter att öka varje månad.
Enbart i september resulterade 20 kryptorelaterade attacker i rapporterade förluster på 127,06 miljoner USD, vilket visar på det ökande hotet. Nedan följer tre kända hackare som varit inblandade i stora kryptostölder.
1. Lazarus Group
Lazarus Group är en ökänd, långvarig hackarorganisation stödd av Nordkorea. Känd under alias som APT 38, Labyrinth Chollima och HIDDEN COBRA, har gruppen konsekvent visat förmågan att kringgå även de mest avancerade säkerhetssystemen.
Hacken noterade dessutom att deras operationer går tillbaka till minst 2007, med intrång i sydkoreanska regeringssystem. Andra anmärkningsvärda attacker inkluderar Sony Pictures-hacket 2014 (som hämnd för filmen The Interview), WannaCry-ransomware-utbrottet 2017 och pågående kampanjer som riktar sig mot ekonomiska sektorer i Sydkorea.
Under de senaste åren har Lazarus fokuserat starkt på kryptovalutastölder och stulit mer än 5 miljarder USD mellan 2021 och 2025. Den mest betydande var Bybit-hacket i februari 2025, när gruppen stal 1,5 miljarder USD i Ethereum (ETH)—den största kryptostölden någonsin. Ytterligare operationer inkluderade en stöld av 3,2 miljoner USD Solana (SOL) i maj 2025.
“DPRK:s ByBit-hack förändrade fundamentalt hotlandskapet 2025. Med 1,5 miljarder USD representerar denna enskilda incident inte bara den största kryptostölden i historien, utan står också för cirka 69 % av alla stulna medel från tjänster i år,” skrev Chainalysis i juli.
2. Gonjeshke Darinde
Gonjeshke Darande (predatory sparrow) är en politiskt motiverad cyberattack-grupp, allmänt trodd att ha kopplingar till Israel. Mitt i eskalerande Israel-Iran-konflikter utnyttjade gruppen Nobitex, Irans största kryptobörs, och stal cirka 90 miljoner USD innan de brände medlen.
Gonjeshke Darande exponerade också Nobitex källkod offentligt, vilket underminerade börsens egna system och gav ett stort slag mot dess trovärdighet hos användare och partners.
“För 12 timmar sedan brände 8 brännadresser 90 miljoner USD från plånböckerna hos regimens favoritverktyg för sanktionsbrott, Nobitex. Om 12 timmar kommer Nobitex källkod att vara öppen för allmänheten, och Nobitex trädgård kommer att vara utan murar. Var vill du ha dina tillgångar?” postade de i juni.
Gruppens andra attacker har också fokuserat på iransk infrastruktur, banker och mer.
- I juli 2021 störde Gonjeshke Darande Irans järnvägssystem, vilket orsakade stora förseningar och publicerade hånfulla meddelanden på offentliga tavlor.
- I oktober 2022 attackerade gruppen tre stora stålverk och släppte filmer av bränder som orsakade allvarliga fysiska och ekonomiska skador.
- I maj 2025 bröt de sig in i Bank Sepah, Irans statliga bank, läckte känslig data och störde finansiella operationer.
3. UNC4899
UNC4899 är en annan nordkoreansk statssponsrad kryptohackningsenhet. Enligt Googles Cloud Threat Horizons Report opererar gruppen under Reconnaissance General Bureau (RGB), Nordkoreas primära underrättelsebyrå.
Rapporten avslöjade att gruppen varit aktiv sedan minst 2020. Dessutom har UNC4899 koncentrerat sina ansträngningar på kryptovaluta-och blockkedjesektorerna. Gruppen har visat avancerade förmågor i att genomföra leveranskedjekompromisser.
“Ett anmärkningsvärt exempel är deras misstänkta utnyttjande av JumpCloud, som de använde för att infiltrera en mjukvarulösningsenhet och därefter offra nedströmskunder inom kryptovalutavertikalen, vilket understryker de kaskaderisker som sådana avancerade motståndare utgör,” står det i rapporten.
Mellan 2024 och 2025 genomförde kryptohackaren två stora kryptostölder. I ett fall lurade de ett offer på Telegram, distribuerade skadlig programvara genom Docker-containrar, kringgick MFA i Google Cloud och stal miljoner i kryptovaluta.
I ett annat fall närmade de sig ett mål via LinkedIn, stal AWS-sessionskakor för att kringgå säkerhetskontroller, injicerade skadlig JavaScript i molntjänster och återigen stal miljoner i digitala tillgångar.
Således har kryptostöld i år blivit ett verktyg för geopolitiska konflikter lika mycket som finansiell brottslighet. De miljarder som gått förlorade i år—och de strategiska motiven bakom många attacker—visar att börser, infrastrukturleverantörer och till och med regeringar nu måste behandla kryptosäkerhet som en fråga om nationell säkerhet. Utan samordnat försvar, informationsdelning och starkare skyddsåtgärder i hela ekosystemet kommer förlusterna bara att fortsätta öka.