Актер, связанный с Северной Кореей, обвиняется в $14M WOO X краже, сообщается о быстром обмене BTC.

24 июля 2025 года тайваньская торговая платформа WOO X стала последней жертвой в жестоком лете крипто-нарушений, когда злоумышленники похитили около $14 миллионов в несанкционированных выводах с девяти пользовательских счетов, заставив биржу приостановить вывод средств, пока она проводила расследование и пообещала вернуть средства пострадавшим пользователям.

Новое исследование цепочной аналитики, опубликованное Егором Рудицией, руководителем судебной экспертизы и реагирования на инциденты в Hacken, показывает, что ситуация после кражи гораздо более организованная, чем единичное преступление. Согласно Рудицие, эксплойт, который Hacken датирует июлем, привел к общим убыткам около $14 миллионов и был осуществлен участником, связанным с КНДР, которого в правоохранительных кругах отслеживают как “TraderTraitor.”

Hacken сообщает, что активно отслеживает движения в сети и поддерживает усилия по восстановлению, помечая вредоносные адреса для более широкой безопасности сообщества. Хореография отмывания, как ее описал Hacken, оставила половину похищенных средств на EVM сетях и остальную часть на Tron и Bitcoin.

В последние 24 часа данные цепочки показывают, что основная часть доходов со стороны EVM, более чем $7 миллион, была направлена через THORChain и обменена на биткойн, что, по мнению наблюдателей, все чаще считается распространенным путем отмывания средств после крупных краж на биржах в начале этого года. Рудьция отметил, что нативная функция кросс-цепочного обмена THORChain неоднократно использовалась для преобразования крупных сумм ETH и токенов ERC-20 в BTC, что делает ее привлекательной для сложных операторов, перемещающих украденные активы между экосистемами.

Нет необходимости менять путь отмывания, когда @THORChain у руля. Первый мостовой транзакция была всего на 1 ETH – вероятно, чтобы проверить, «соединяется» ли он хорошо… Да, он «соединился» гладко на почти 700 ETH только для этого единственного адреса: от @GlobalLedger pic.twitter.com/Mvac6RwRZq

— Ye в Web3 (@muststopye) 1 октября 2025 года

Он-цепное доказательство

Отчет Hacken также документирует обработку части, деноминированной в Tron, ( около 2,5 миллионов TRX). Команда обнаружила, что эти средства были конвертированы в USDT, перенесены на Ethereum через инфраструктуру LayerZero, и оттуда часть перенесенного USDT снова была отправлена в Bitcoin через THORChain.

В цепочке есть доказательства трансфера USDT на девятизначную сумму, поступившего на Ethereum от исполнителя LayerZero, которые появляются в публичных записях транзакций с 1 октября 2025 года и соответствуют описанному паттерну Hacken.

Усложняя след, часть средств, которые появились в Ethereum, были отправлены на кошелек, ранее связанный с эксплойтом горячего кошелька BingX в 2024 году, который, по данным следователей, был связан с группами, связанными с Северной Кореей, что предполагает либо повторное использование инфраструктуры отмывания, либо координацию между несколькими кражами.

Адрес, который получил эти переводы, публично виден в записях Ethereum explorer, и следователи утверждают, что связь углубляет картину организованной цепи отмывания, соединяющей несколько высокопрофильных инцидентов.

В совокупности, движения указывают на то, что примерно 8–9 миллионов долларов из взлома WOO X были переведены в тот же день с Ethereum на Bitcoin, почти полностью через THORChain, оставив примерно 90% украденной стоимости, теперь находящейся на адресах Bitcoin, поскольку преступники ускоряют конвертацию в самый старый и ликвидный актив на блокчейне.

Команды безопасности, следящие за потоками, предупреждают, что как только средства консолидируются на Биткойне, традиционное отслеживание и вмешательство становятся сложнее, и риск окончательного вывода средств увеличивается. Рудьция сообщил Blockchain Reporter, что Hacken продолжает следить за счетами и будет передавать отмеченные адреса биржам и партнерам по соблюдению требований в надежде заморозить или иным образом заморозить пути потоков, где это возможно.

На данный момент этот случай служит свежим напоминанием о том, что с увеличением мощностей кросс-цепочного инструментария у злоумышленников появляются более быстрые и менее трудоемкие пути превращения украденных токенов в более труднодоступные активы, и что судебно-экспертная работа на нескольких цепочках, вместе с сотрудничеством с услугами на входе и выходе, остается единственной немедленной линией обороны в наше время.