Un acteur lié à la Corée du Nord accusé de $14M WOO X vol, conversion rapide de BTC signalée

Le 24 juillet 2025, la plateforme de trading basée à Taïwan WOO X est devenue la dernière victime d'un été difficile de violations dans le secteur des crypto-monnaies lorsque des attaquants se sont emparés d'environ $14 millions de dollars en retraits non autorisés sur neuf comptes utilisateurs, forçant la plateforme d'échange à suspendre les retraits pendant qu'elle enquêtait et promettait de rembourser les utilisateurs affectés.

Une nouvelle analyse de chaîne partagée par Yehor Rudytsia, responsable de l'analyse judiciaire et de la réponse aux incidents chez Hacken, dépeint la situation post-Vol comme étant bien plus organisée qu'un vol isolé. Selon Rudytsia, l'exploitation, que Hacken date de juillet, a entraîné des pertes totales d'environ $14 millions et a été réalisée par un acteur lié à la RPDC, suivi dans les cercles d'application de la loi sous le nom de “TraderTraitor.”

Hacken dit qu'il surveille activement les mouvements en chaîne et soutient les efforts de récupération en signalant les adresses malveillantes à la communauté de sécurité élargie. La chorégraphie du blanchiment, telle que cartographiée par Hacken, a laissé la moitié des fonds volés sur les réseaux EVM et le reste sur Tron et Bitcoin.

Au cours des dernières 24 heures, les traces on-chain montrent que la majeure partie des produits côté EVM, plus de $7 millions, ont été routés via THORChain et échangés contre du Bitcoin, une technique que les observateurs ont de plus en plus signalée comme un chemin de blanchiment commun après des vols majeurs sur des plateformes d'échange plus tôt cette année. Rudytsia a noté que la fonctionnalité native d'échange inter-chaînes de THORChain a été répétitivement utilisée pour convertir de grandes sommes d'ETH et de tokens ERC-20 en BTC, ce qui la rend attrayante pour des opérateurs sophistiqués déplaçant des actifs volés à travers des écosystèmes.

Pas besoin de changer le chemin de blanchiment lorsque @THORChain est en charge. La première transaction de pont était pour seulement 1 ETH – probablement pour voir si ça “connecte” bien… Ouais, ça a “connecté” sans accroc pour presque 700 ETH juste pour cette seule adresse : de @GlobalLedger pic.twitter.com/Mvac6RwRZq

— Ye dans Web3 (@muststopye) 1 octobre 2025

Preuve on-chain

Le rapport de Hacken documente également la gestion de la portion dénommée en Tron ( d'environ 2,5 millions de TRX). Ces fonds, l'équipe a découvert, ont été convertis en USDT, transférés vers Ethereum via l'infrastructure LayerZero, et de là, une partie des USDT transférés a de nouveau été convertie en Bitcoin via THORChain.

Des preuves on-chain d'un transfert de neuf chiffres en USDT arrivant sur Ethereum d'un exécuteur LayerZero apparaissent dans les enregistrements de transaction publics du 1er octobre 2025, qui correspondent au modèle décrit par Hacken.

Complexifiant la piste, une partie des fonds qui ont refait surface sur Ethereum a été envoyée à un portefeuille précédemment lié à l'exploitation du portefeuille hot de BingX en 2024, elle-même attribuée par les enquêteurs à des groupes liés à la Corée du Nord, suggérant soit une réutilisation de l'infrastructure de blanchiment, soit une coordination à travers plusieurs vols.

L'adresse qui a reçu ces transferts est visible publiquement dans les enregistrements de l'explorateur Ethereum, et les enquêteurs affirment que le lien approfondit l'image d'une chaîne de blanchiment organisée reliant plusieurs incidents de haut profil.

Pris ensemble, les mouvements indiquent qu'environ 8 à 9 millions de dollars provenant de la violation de WOO X ont été transférés le même jour d'Ethereum à Bitcoin, presque entièrement via THORChain, laissant environ 90 % de la valeur volée maintenant sur des adresses Bitcoin alors que les auteurs accélèrent la conversion en l'actif on-chain le plus ancien et le plus liquide.

Les équipes de sécurité surveillant les flux avertissent qu'une fois que les fonds se consolident sur Bitcoin, le traçage et l'intervention conventionnels deviennent plus difficiles et le risque de retrait final augmente. Rudytsia a déclaré à Blockchain Reporter que Hacken continue de surveiller les comptes et poussera les adresses signalées vers les plateformes d'échange et les partenaires de conformité dans l'espoir de geler ou autrement geler les chemins de flux lorsque cela est possible.

Pour l'instant, l'affaire est un rappel frais que, à mesure que les outils inter-chaînes deviennent plus puissants, ils offrent également aux attaquants sophistiqués des voies plus rapides et moins contraignantes pour transformer des tokens volés en actifs plus difficiles à tracer, et que le travail d'analyse sur plusieurs chaînes, associé à la coopération des services de montée et de descente, reste la seule ligne de défense immédiate en ce moment.