Des hackers nord‑coréens ont volé 2,1 Md$ en 2025

Le développement

L'analyse récente de CertiK, rapportée par Decrypt le 12 mai 2026, attribue 2,1 milliards de dollars de vols de cryptomonnaies en 2025 à des groupes parrainés par l'État nord‑coréen, soit environ 60 % des pertes totales l'an dernier. Cette attribution implique des vols agrégés d'environ 3,5 milliards de dollars en 2025 (2,1/0,60 = 3,5), une concentration sensiblement plus élevée que celle signalée par les observateurs de l'industrie pour de nombreuses années antérieures. Le rapport souligne que ces opérations ont utilisé des réseaux de blanchiment inter‑chaînes de plus en plus sophistiqués pour déplacer la valeur via des ponts, des mixeurs et des intermédiaires apparemment conformes. Pour les gestionnaires de risque institutionnels, le rapport représente une reclassification du paysage des menaces crypto : l'acteur dominant est désormais un acteur étatique doté d'objectifs géopolitiques et d'un accès à des ressources nationales.

Cette évolution est significative non seulement pour les chiffres annoncés, mais aussi pour ce que CertiK décrit comme un déplacement systémique. Alors que des rings cybercriminels privés expliquaient historiquement la majorité des casses crypto, la distribution observée en 2025 pointe vers une centralisation du risque chez des acteurs plus difficiles à dissuader par les moyens classiques d'application de la loi, en raison de la protection d'État et de la complexité des sanctions internationales. L'article de Decrypt cite les méthodologies forensiques de CertiK ; la déclaration publique et le jeu de données de CertiK restent la source principale pour le chiffre de 2,1 milliards (CertiK via Decrypt, 12 mai 2026). Les intervenants du marché et les équipes conformité devraient traiter cette divulgation à la fois comme une confirmation des tactiques connues de la RPDC et comme une preuve que ces tactiques se sont amplifiées.

Sur les marchés, la réaction immédiate a été mesurée : les prix spot des cryptomonnaies ont affiché de la volatilité intrajournalière sans mouvement directionnel soutenu lié uniquement au rapport. Les acteurs institutionnels sont plus susceptibles de réévaluer le risque contrepartie, les modalités de conservation et les expositions implicites liées à l'activité inter‑chaînes que de modifier leur allocation macro du jour au lendemain. Cela dit, un renforcement de la surveillance réglementaire suit souvent l'attribution de vols d'envergure liés à un État, et toute réponse politique — des sanctions supplémentaires aux restrictions sur les ponts et les outils de confidentialité — aurait des effets secondaires sur la liquidité et les valorisations dans la DeFi et sur les carnets d'ordres des bourses centralisées. Pour contexte et éléments de fond sur les tendances réglementaires pertinentes, voir contexte.

Contexte

L'utilisation par la Corée du Nord de la cybercriminalité à visée financière n'est pas nouvelle ; des équipes d'attribution et des autorités des sanctions ont lié des groupes tels que « Lazarus » à plusieurs incidents de haut niveau au cours de la dernière décennie. Des exemples historiques incluent le braquage de la Bangladesh Bank en 2016 — environ 81 millions de dollars détournés via les systèmes SWIFT — et l'exploit du pont Ronin en 2022 qui a retiré environ 625 millions de dollars d'une sidechain Ethereum. Ces incidents contextualisent les données 2025 de CertiK : les acteurs de la RPDC combinent depuis longtemps capacité technique et besoin stratégique de générer des devises fortes en dehors des canaux bancaires conventionnels. La concentration des pertes sous des bannières liées à l'État en 2025 semble constituer la prochaine étape d'une escalade.

Les moteurs géopolitiques sont mesurables. Les sanctions internationales contre la République populaire démocratique de Corée (RPDC) ont fortement restreint les revenus d'exportation légitimes ; le Trésor et les panels de l'ONU ont documenté à plusieurs reprises l'utilisation par la RPDC d'opérations cyber pour contourner ces restrictions. Cet environnement incite à un effort persistant et bien financé pour monétiser les actifs numériques. Les données de CertiK doivent donc être lues à la fois comme une constatation en cybersécurité et comme un signal macro‑financier : elles reflètent la manière dont la pression géopolitique se traduit en flux financiers numériques.

Du point de vue de l'industrie, les mécanismes de blanchiment ont évolué. Les ponts inter‑chaînes ont représenté des mouvements de valeur disproportionnés entre 2022 et 2025 ; si les totaux précis des ponts pour 2025 varient selon les sources, les schémas documentés par CertiK montrent des flux d'actifs routés à travers plusieurs réseaux pour obscurcir la provenance. La conséquence pratique est que le traçage forensique est plus consommateur de ressources, tandis que la vélocité et l'automatisation de ces flux augmentent la probabilité que la valeur volée soit re‑tokenisée et dépensée avant une interdiction. Les équipes conformité institutionnelles doivent donc évaluer non seulement la garde (custody) mais également le risque de chaîne de propriété de bout en bout pour les actifs on‑chain.

Analyse approfondie des données

Le chiffre annoncé par CertiK : 2,1 milliards de dollars volés en 2025 par des groupes liés à la Corée du Nord, que le rapport quantifie à 60 % de l'ensemble des pertes crypto cette année‑là (CertiK, tel que rapporté par Decrypt, 12 mai 2026). L'arithmétique implique des vols totaux d'environ 3,5 milliards de dollars en 2025. Ces chiffres sont dérivés du traçage on‑chain, de l'analyse de clusters et des données publiques d'interaction avec les exchanges et les mixeurs. La méthodologie de CertiK aurait utilisé le clustering d'adresses, la surveillance des ponts inter‑chaînes et l'étiquetage historique d'entités liées à la RPDC pour attribuer les flux ; la société note également que le niveau de confiance de l'attribution varie selon les incidents et que les techniques d'obfuscation on‑chain peuvent réduire la certitude.

Au‑delà des chiffres, la distribution des actifs volés montre une concentration sur une poignée de ponts et de contrats intelligents intermédiaires, qui ont servi de points de convergence pour le blanchiment. Le rapport de CertiK identifie des schémas récurrents : exploitation ou compromission initiale ; mouvement vers des adresses intermédiaires ; conversion en jetons préservant la confidentialité ou protocoles de wrapping ; puis transfert inter‑chaînes vers des juridictions ou des exchanges à application AML limitée. Bien que CertiK ne publie pas la liste complète des exchanges impliqués dans son brief public, le rapport souligne l'importance de la surveillance des ponts et d'un renforcement des KYC (connaissance client) aux points de sortie.

À titre comparatif, les groupes criminels privés des années précédentes monétisaient plutôt via des exchanges centralisés ou des desks OTC avec des contrôles plus faibles, produisant des flux identifiables que les régulateurs et les firmes d'analyse on‑chain interrompaient. Le modèle lié à l'État décrit par CertiK est plus industrialisé : montants plus importants par événement, obfuscation multi‑couche et réutilisation d'infrastructures à travers les incidents. T