Ator vinculado à Coreia do Norte acusado de $14M WOO X roubo, conversão rápida de BTC relatada

Em 24 de julho de 2025, a plataforma de negociação baseada em Taiwan WOO X tornou-se a mais recente vítima de um verão conturbado de violações de criptomoedas, quando atacantes roubaram cerca de $14 milhões em retiradas não autorizadas de nove contas de usuários, forçando o exchange a pausar as retiradas enquanto investigava e prometia reembolsar os usuários afetados.

A nova análise de cadeia compartilhada por Yehor Rudytsia, Chefe de Forense e Resposta a Incidentes na Hacken, pinta o quadro pós-roubo como muito mais organizado do que um roubo isolado. De acordo com Rudytsia, a exploração, que a Hacken data de julho, resultou em perdas totais de cerca de $14 milhões e foi realizada por um ator vinculado à DPRK rastreado em círculos de aplicação da lei como “TraderTraitor.”

A Hacken diz que está a monitorizar ativamente os movimentos em cadeia e está a apoiar os esforços de recuperação ao sinalizar endereços maliciosos para a comunidade de segurança mais ampla. A coreografia de branqueamento, conforme mapeada pela Hacken, deixou metade dos fundos roubados em redes EVM e o resto em Tron e Bitcoin.

Nas últimas 24 horas, os rastros on-chain mostram que a maior parte dos rendimentos do lado EVM, mais de $7 milhões, foram canalizados através do THORChain e trocados por Bitcoin, uma técnica que os observadores têm cada vez mais destacado como um caminho comum de lavagem após grandes roubos em exchanges no início deste ano. Rudytsia observou que a funcionalidade nativa de troca entre cadeias do THORChain tem sido repetidamente utilizada para converter grandes somas de ETH e tokens ERC-20 em BTC, tornando-a atraente para operadores sofisticados que movem ativos roubados entre ecossistemas.

Não há necessidade de mudar o caminho de lavagem quando @THORChain está no comando. A primeira transação da ponte foi por apenas 1 ETH – provavelmente para ver se “conecta” bem… Sim, “conectou” suavemente para quase 700 ETH apenas para este único endereço: de @GlobalLedger pic.twitter.com/Mvac6RwRZq

— Ye em Web3 (@muststopye) 1 de Outubro de 2025

Evidência em cadeia

O relatório da Hacken também documenta o manuseio da parte denominada em Tron ( cerca de $2,5 milhões em TRX ). Esses fundos, a equipe descobriu, foram convertidos em USDT, transferidos para Ethereum através da infraestrutura LayerZero e, a partir daí, parte do USDT transferido foi novamente enviado para Bitcoin através do THORChain.

Evidência on-chain de uma transferência de nove dígitos de USDT chegando ao Ethereum a partir de um executor LayerZero aparece em registros de transação públicos de 1 de outubro de 2025, que coincidem com o padrão descrito pela Hacken.

Complicando a trilha, parte dos fundos que surgiram no Ethereum foram enviados para uma carteira anteriormente ligada ao exploit da hot-wallet da BingX em 2024, atribuído pelos investigadores a grupos ligados à Coreia do Norte, sugerindo ou a reutilização da infraestrutura de lavagem ou a coordenação entre múltiplos roubos.

O endereço que recebeu essas transferências é visível publicamente nos registros do explorador Ethereum, e os investigadores dizem que o vínculo aprofunda a imagem de uma cadeia de lavagem organizada conectando múltiplos incidentes de alto perfil.

Tomados em conjunto, os movimentos indicam que aproximadamente $8–9 milhões da violação do WOO X foram transferidos no mesmo dia de Ethereum para Bitcoin, quase que inteiramente via THORChain, deixando cerca de 90% do valor roubado agora em endereços de Bitcoin, enquanto os perpetradores aceleram a conversão para o ativo on-chain mais antigo e mais líquido.

Equipes de segurança que monitoram os fluxos alertam que, uma vez que os fundos se consolidam no Bitcoin, o rastreamento convencional e a intervenção se tornam mais difíceis e o risco de eventual retirada aumenta. Rudytsia disse ao Blockchain Reporter que a Hacken continua a monitorar as contas e irá pressionar os endereços sinalizados para exchanges e parceiros de conformidade na esperança de congelar ou, de outra forma, bloquear os caminhos de fluxo onde for possível.

Por enquanto, o caso é um lembrete fresco de que, à medida que as ferramentas de cross-chain se tornam mais poderosas, também oferece a atacantes sofisticados rotas mais rápidas e com menos atrito para transformar tokens roubados em ativos mais difíceis de rastrear, e que o trabalho forense em múltiplas chains, juntamente com a cooperação de serviços de entrada e saída, continua a ser a única linha de defesa imediata nos dias de hoje.