Актор, пов'язаний з Північною Кореєю, звинувачується у крадіжці $14M WOO X та швидкій конвертації BTC.

24 липня 2025 року торгова платформа WOO X, що базується на Тайвані, стала останньою жертвою в жорстокому літі крипто-інцидентів, коли зловмисники викрали приблизно $14 мільйон у несанкціонованих виведеннях з дев'яти акаунтів користувачів, змусивши біржу призупинити виведення коштів, поки вона розслідувала ситуацію та обіцяла відшкодувати постраждалим користувачам.

Новий аналіз ланцюга, поділений Єгором Рудицею, керівником криміналістики та реагування на інциденти в Hacken, малює картину після пограбування як набагато більш організовану, ніж одноразова крадіжка. Згідно з Рудицею, експлуатація, яку Hacken датує липнем, призвела до загальних втрат приблизно в $14 мільйон і була здійснена актором, пов'язаним з КНДР, якого в правоохоронних колах відстежують під іменем “TraderTraitor”.

Hacken заявляє, що активно моніторить ончейн рухи та підтримує зусилля з відновлення, позначаючи зловмисні адреси для ширшої спільноти безпеки. Хореографія відмивання, як її змалював Hacken, залишила половину вкрадених коштів у мережах EVM, а решту на Tron і Bitcoin.

За останні 24 години, блокчейн-сліди показують, що більшість доходів з боку EVM, більше ніж $7 мільйон, були направлені через THORChain і обміняні на Bitcoin, техніка, яку спостерігачі все частіше відзначають як поширений шлях відмивання грошей після великих крадіжок на біржах раніше цього року. Рудиця зазначив, що рідна функція крос-ланцюгового обміну THORChain неодноразово використовувалася для конвертації великих сум ETH та токенів ERC-20 у BTC, що робить її привабливою для складних операторів, які переміщують вкрадені активи між екосистемами.

Немає потреби змінювати шлях відмивання, коли @THORChain відповідає. Перша транзакція моста була лише на 1 ETH – ймовірно, щоб перевірити, чи “з'єднується” добре… Так, воно “з'єдналося” без проблем для майже 700 ETH лише для цієї єдиної адреси: з @GlobalLedger pic.twitter.com/Mvac6RwRZq

— Ye в Web3 (@muststopye) 1 жовтня 2025 року

Он-ланкові докази

Звіт Hacken також документує обробку частини, що деномінована в Tron ( близько 2,5 мільйона TRX ). Команда виявила, що ці кошти були конвертовані в USDT, переведені в Ethereum через інфраструктуру LayerZero, а звідти частина переведеного USDT знову була переведена в Bitcoin через THORChain.

Он-лінійні докази девятизначного переказу USDT, що надійшов на Ethereum від виконавця LayerZero, з'являються у публічних записах транзакцій з 1 жовтня 2025 року, які відповідають шаблону, описаному Hacken.

Ускладнюючи слід, частина коштів, які з'явилися в Ethereum, була відправлена до гаманця, раніше пов'язаного з експлуатацією гарячого гаманця BingX у 2024 році, яку, як стверджують слідчі, пов'язують з групами, пов'язаними з Північною Кореєю, що свідчить про повторне використання інфраструктури відмивання або координацію між кількома крадіжками.

Адреса, яка отримала ці перекази, є публічно видимою в записах Ethereum explorer, і слідчі стверджують, що зв'язок поглиблює картину організованого ланцюга відмивання грошей, що пов'язує кілька високопрофільних інцидентів.

Загалом, ці рухи вказують на те, що приблизно $8-9 мільйонів з витоку WOO X було перенесено в той же день з Ethereum на Bitcoin, майже повністю через THORChain, залишаючи приблизно 90% вкраденої вартості зараз на адресах Bitcoin, оскільки злочинці прискорюють конверсію в найстарший та найбільш ліквідний актив на ланцюгу.

Команди безпеки, що контролюють потоки, попереджають, що як тільки кошти консолідуються на Bitcoin, традиційне відстеження та втручання стають складнішими, а ризик остаточного виведення коштів зростає. Рудьця повідомив Blockchain Reporter, що Hacken продовжує моніторити акаунти та буде надсилати позначені адреси на біржі та партнерам з відповідності в надії заморозити або іншим чином зупинити шляхи потоку, де це можливо.

На даний момент цей випадок є свіжим нагадуванням про те, що з розвитком інструментів міжланцюгового зв'язку, вони також надають досвідченим зловмисникам швидші та менш затруднені шляхи для перетворення вкрадених токенів на активи, які важче відстежити, і що судмедекспертна робота на кількох ланцюгах, разом з співпрацею з послугами на вході та виході, залишається єдиним терміновим захистом у наш час.