Bybit и КНДР: почему AML начинается с incident response

FBI связало февральскую кражу у Bybit примерно на $1,5 млрд с северокорейскими киберакторами. Публичная история обычно останавливается на заголовке: огромный hack, state actor, stolen crypto.

Для комплаенса полезная история начинается после кражи. Украденные средства не сидят в одном адресе. Они дробятся, идут через мосты, swaps, тестируют площадки, бьют по сервисам и ищут слабые review-очереди.

Крупный exploit создает временную карту давления. Любая биржа, мост, OTC-desk, платежный процессор или крупный трейдер может стать частью laundering path, даже не желая этого. Первые часы решают, кто увидит риск рано, а кто станет выходной ликвидностью.

Поэтому incident response не отделен от AML. Свежие метки, быстрые watchlist updates, остановка выводов и понятные escalation rules — это разница между "мы заблокировали exposure" и "мы обработали это до публикации отчета".

Не ждите громкого кейса. Держите процесс для срочных risk updates. Заранее знайте, кто может остановить вывод. Заранее знайте, как новые адреса попадают в watchlist. Заранее знайте, как оператор объяснит отказ клиенту, не раскрывая детали детекта.

Инцидент может быть чужим. Попытка отмыва через ваш сервис может стать вашей через несколько минут.

FBI, North Korea responsible for the $1.5B Bybit hack: https://www.fbi.gov/investigate/cyber/alerts/2025/north-korea-responsible-for-1-5-billion-bybit-hack

Chainalysis, introduction to 2026 crypto crime report: https://www.chainalysis.com/blog/2026-crypto-crime-report-introduction/