الممثل المرتبط بكوريا الشمالية متهم بسرقة $14M WOO X، وتم الإبلاغ عن تحويل سريع لـ BTC

في 24 يوليو 2025، أصبحت منصة التداول WOO X التي تتخذ من تايوان مقراً لها الضحية الأحدث في صيف قاسٍ من انتهاكات العملات المشفرة عندما تمكن المهاجمون من سحب حوالي $14 مليون من تسع حسابات مستخدمين غير مصرح بها، مما أجبر التبادل على تعليق السحوبات بينما كان يجري تحقيقاً ووعد بتعويض المستخدمين المتضررين.

تظهر تحليل سلسلة جديدة شاركها يهور روديستيا، رئيس الطب الشرعي والاستجابة للحوادث في Hacken، أن الصورة بعد السرقة أكثر تنظيماً بكثير من كونها سرقة لمرة واحدة. وفقاً لروديستيا، أدى الاستغلال، الذي حددته Hacken في يوليو، إلى خسائر إجمالية تبلغ حوالي $14 مليون وتم تنفيذه بواسطة جهة مرتبطة بـ DPRK تتبعها دوائر إنفاذ القانون باسم “TraderTraitor.”

تقول Hacken إنها تراقب بنشاط التحركات على السلسلة وتدعم جهود الاسترداد من خلال الإبلاغ عن العناوين الخبيثة إلى مجتمع الأمان الأوسع. تركت رقصة غسل الأموال، كما رسمتها Hacken، نصف الأموال المسروقة على شبكات EVM والباقي على Tron و Bitcoin.

في الساعات الأربع والعشرين الماضية، تُظهر آثار السلسلة أن الجزء الأكبر من العائدات من جانب EVM، أكثر من $7 مليون، تم توجيهه عبر THORChain وتبديله إلى بيتكوين، وهي تقنية أشار إليها المراقبون بشكل متزايد كمسار شائع لغسل الأموال بعد عمليات سرقة كبيرة في البورصات في وقت سابق من هذا العام. لاحظ Rudytsia أن وظيفة التبادل عبر السلاسل الأصلية لـ THORChain قد تم استخدامها مرارًا لتحويل مبالغ كبيرة من ETH ورموز ERC-20 إلى BTC، مما يجعلها جذابة للمشغلين المتقدمين الذين ينقلون الأصول المسروقة عبر الأنظمة البيئية.

لا حاجة لتغيير مسار غسيل الأموال عندما يكون @THORChain مسؤولاً. كانت أول عملية جسر فقط ل1 ETH - ربما لرؤية ما إذا كانت “تتصل” بشكل جيد… نعم، “اتصلت” بسلاسة لحوالي 700 ETH فقط لهذه العنوان الواحد: من @GlobalLedger pic.twitter.com/Mvac6RwRZq

• يي في Web3 (@muststopye) 1 أكتوبر 2025

دليل على سلسلة الكتل

يوثق تقرير Hacken أيضًا معالجة الجزء المرقم بالترون ( حوالي 2.5 مليون دولار أمريكي من TRX ). وقد وجدت الفريق أن تلك الأموال تم تحويلها إلى USDT، وتم نقلها إلى Ethereum عبر بنية LayerZero التحتية، ومن هناك، تم دفع بعض من USDT المنقول مرة أخرى إلى Bitcoin من خلال THORChain.

تظهر أدلة على سلسلة لعملية تحويل USDT بتسعة أرقام تصل إلى Ethereum من منفذ LayerZero في سجلات المعاملات العامة من 1 أكتوبر 2025، والتي تتطابق مع النمط الذي وصفته Hacken.

تعقيد المسار، جزء من الأموال التي ظهرت على Ethereum تم إرساله إلى محفظة مرتبطة سابقًا باستغلال محفظة BingX الساخنة في 2024، والتي نسبها المحققون إلى مجموعات مرتبطة بكوريا الشمالية، مما يشير إلى إما إعادة استخدام بنية غسيل الأموال أو التنسيق عبر عدة سرقات.

العنوان الذي تلقى تلك التحويلات مرئي علنًا في سجلات مستكشف إيثيريوم، ويقول المحققون إن الرابطة تعمق الصورة لسلسلة غسيل منظمة تربط بين عدة حوادث بارزة.

تشير الحركات مجتمعة إلى أن حوالي 8-9 مليون دولار من خرق WOO X تم تحويلها في نفس اليوم من Ethereum إلى Bitcoin، تقريبًا بالكامل عبر THORChain، مما ترك حوالي 90% من القيمة المسروقة الآن موجودة على عناوين Bitcoin حيث يقوم الجناة بتسريع التحويل إلى أقدم وأكبر الأصول على السلسلة.

تحذر الفرق الأمنية التي تراقب التدفقات من أنه بمجرد أن تتجمع الأموال على البيتكوين، يصبح تتبعها والتدخل فيها أكثر صعوبة، مما يزيد من خطر تحويلها في النهاية إلى نقود. أخبر روديستيا مراسل Blockchain أن Hacken تواصل مراقبة الحسابات وستقوم بدفع العناوين المعلّمة إلى التبادلات وشركاء الامتثال على أمل تجميد مسارات التدفق أو تجميدها بطريقة أخرى حيثما كان ذلك ممكنًا.

في الوقت الحالي، تُعتبر هذه القضية تذكيرًا جديدًا بأن أدوات الشبكة المتعددة تصبح أكثر قوة، مما يمنح المهاجمين المتطورين طرقًا أسرع وأقل احتكاكًا لتحويل الرموز المسروقة إلى أصول أصعب في التتبع، وأن العمل الجنائي على سلاسل متعددة، مع التعاون من خدمات الدخول والخروج، لا يزال الخط الدفاعي الوحيد الفوري في زمننا الحالي.