Actor vinculado a Corea del Norte acusado de $14M WOO X robo, conversión rápida de BTC reportada

El 24 de julio de 2025, la plataforma de intercambio basada en Taiwán WOO X se convirtió en la última víctima en un verano brutal de violaciones de criptomonedas, cuando los atacantes se llevaron aproximadamente $14 millones en retiros no autorizados de nueve cuentas de usuario, obligando al intercambio a pausar los retiros mientras investigaba y prometía reembolsar a los usuarios afectados.

Un nuevo análisis de cadena compartido por Yehor Rudytsia, Jefe de Forense y Respuesta a Incidentes en Hacken, pinta el panorama posterior al robo como algo mucho más organizado que un robo aislado. Según Rudytsia, la explotación, que Hacken data de julio, resultó en pérdidas totales de aproximadamente $14 millones y fue llevada a cabo por un actor vinculado a la DPRK, rastreado en círculos de aplicación de la ley como “TraderTraitor.”

Hacken dice que está monitoreando activamente los movimientos en cadena y está apoyando los esfuerzos de recuperación al señalar direcciones maliciosas a la comunidad de seguridad en general. La coreografía de lavado, según lo mapeado por Hacken, dejó la mitad de los fondos robados en redes EVM y el resto en Tron y Bitcoin.

En las últimas 24 horas, las huellas en la cadena muestran que la mayor parte de los ingresos del lado EVM, más de $7 millones, fueron canalizados a través de THORChain y cambiados por Bitcoin, una técnica que los observadores han señalado cada vez más como una ruta común de lavado después de los grandes robos en intercambios a principios de este año. Rudytsia señaló que la funcionalidad nativa de intercambio entre cadenas de THORChain se ha utilizado repetidamente para convertir grandes sumas de ETH y tokens ERC-20 en BTC, lo que la hace atractiva para operadores sofisticados que mueven activos robados a través de ecosistemas.

No es necesario cambiar la ruta de lavado cuando @THORChain está a cargo. La primera transacción del puente fue por solo 1 ETH – probablemente para ver si “conecta” bien… Sí, “conectó” sin problemas por casi 700 ETH solo para esta única dirección: de @GlobalLedger pic.twitter.com/Mvac6RwRZq

— Ye en Web3 (@muststopye) 1 de octubre de 2025

Evidencia en cadena

El informe de Hacken también documenta el manejo de la parte denominada en Tron ( sobre $2.5 millones en TRX ). Esos fondos, encontró el equipo, fueron convertidos en USDT, pasados a Ethereum a través de la infraestructura de LayerZero, y desde allí, parte del USDT puenteado fue nuevamente enviado a Bitcoin a través de THORChain.

La evidencia en cadena de una transferencia de nueve cifras de USDT que llega a Ethereum desde un ejecutor de LayerZero aparece en los registros de transacciones públicas del 1 de octubre de 2025, que coinciden con el patrón que describió Hacken.

Complicando la pista, parte de los fondos que aparecieron en Ethereum fueron enviados a una cartera previamente vinculada al exploit del hot-wallet de BingX en 2024, que los investigadores atribuyeron a grupos vinculados a Corea del Norte, lo que sugiere ya sea el reuso de la infraestructura de lavado o la coordinación entre múltiples robos.

La dirección que recibió esas transferencias es públicamente visible en los registros del explorador de Ethereum, y los investigadores dicen que el vínculo profundiza la imagen de una cadena de blanqueo organizada que conecta múltiples incidentes de alto perfil.

Tomados en conjunto, los movimientos indican que aproximadamente $8–9 millones del incumplimiento de WOO X se transfirieron el mismo día de Ethereum a Bitcoin, casi en su totalidad a través de THORChain, dejando un estimado del 90% del valor robado ahora en direcciones de Bitcoin mientras los perpetradores aceleran la conversión en el activo en cadena más antiguo y líquido.

Los equipos de seguridad que monitorean los flujos advierten que una vez que los fondos se consolidan en Bitcoin, el rastreo y la intervención convencionales se vuelven más difíciles y el riesgo de eventual retiro de efectivo aumenta. Rudytsia le dijo a Blockchain Reporter que Hacken continúa monitoreando las cuentas y presionará a las direcciones señaladas a las plataformas de intercambio y socios de cumplimiento con la esperanza de congelar o, de otro modo, detener los caminos de flujo donde sea posible.

Por ahora, el caso es un recordatorio fresco de que a medida que las herramientas de cadena cruzada se vuelven más poderosas, también ofrecen a los atacantes sofisticados rutas más rápidas y de menor fricción para convertir tokens robados en activos más difíciles de rastrear, y que el trabajo forense en múltiples cadenas, junto con la cooperación de los servicios de entrada y salida, sigue siendo la única línea de defensa inmediata en el tiempo actual.