Diễn viên liên kết với Bắc Triều Tiên bị cáo buộc $14M WOO X trộm cắp, báo cáo về việc chuyển đổi BTC nhanh chóng.

Vào ngày 24 tháng 7 năm 2025, nền tảng giao dịch có trụ sở tại Đài Loan WOO X đã trở thành nạn nhân mới nhất trong một mùa hè đầy khó khăn của các vi phạm crypto khi những kẻ tấn công đã lấy đi khoảng $14 triệu từ chín tài khoản người dùng, buộc sàn giao dịch phải tạm dừng việc rút tiền trong khi họ điều tra và hứa hẹn sẽ hoàn tiền cho những người dùng bị ảnh hưởng.

Phân tích chuỗi mới được chia sẻ bởi Yehor Rudytsia, Trưởng bộ phận Pháp y và Phản ứng sự cố tại Hacken, mô tả bức tranh sau vụ trộm tinh vi hơn nhiều so với một vụ trộm thông thường. Theo Rudytsia, lỗ hổng này, mà Hacken xác định vào tháng Bảy, đã dẫn đến tổng thiệt hại khoảng $14 triệu và được thực hiện bởi một tác nhân liên quan đến DPRK được theo dõi trong các vòng pháp luật dưới cái tên “TraderTraitor.”

Hacken cho biết họ đang tích cực theo dõi các chuyển động trên chuỗi và đang hỗ trợ nỗ lực phục hồi bằng cách đánh dấu các địa chỉ độc hại cho cộng đồng an ninh rộng lớn hơn. Vũ đạo rửa tiền, như được Hacken lập bản đồ, đã để lại một nửa số tiền bị đánh cắp trên các mạng EVM và phần còn lại trên Tron và Bitcoin.

Trong 24 giờ qua, các dấu vết trên chuỗi cho thấy phần lớn số tiền thu được từ EVM, hơn $7 triệu, đã được chuyển qua THORChain và đổi thành Bitcoin, một kỹ thuật mà các nhà quan sát ngày càng chỉ ra là một con đường rửa tiền phổ biến sau các vụ trộm lớn từ sàn giao dịch vào đầu năm nay. Rudytsia lưu ý rằng chức năng hoán đổi xuyên chuỗi gốc của THORChain đã nhiều lần được sử dụng để chuyển đổi những khoản tiền lớn ETH và token ERC-20 thành BTC, khiến nó trở nên hấp dẫn đối với các nhà điều hành tinh vi trong việc di chuyển tài sản bị đánh cắp qua các hệ sinh thái.

Không cần thay đổi đường đi rửa tiền khi @THORChain phụ trách. Giao dịch cầu nối đầu tiên chỉ là 1 ETH - có lẽ để xem nó “kết nối” tốt không… Vâng, nó “kết nối” mượt mà cho gần 700 ETH chỉ cho địa chỉ duy nhất này: từ @GlobalLedger pic.twitter.com/Mvac6RwRZq

— Ye trong Web3 (@muststopye) ngày 1 tháng 10, 2025

Bằng chứng trên chuỗi

Báo cáo của Hacken cũng ghi lại việc xử lý phần denominated bằng Tron ( khoảng 2,5 triệu đô la Mỹ bằng TRX ). Nhóm đã phát hiện rằng số tiền đó đã được chuyển đổi thành USDT, được kết nối với Ethereum thông qua hạ tầng LayerZero, và từ đó, một phần của USDT đã được kết nối lại với Bitcoin thông qua THORChain.

Bằng chứng trên chuỗi về một giao dịch chuyển USDT chín chữ số đến Ethereum từ một trình thực thi LayerZero xuất hiện trong các hồ sơ giao dịch công khai từ ngày 1 tháng 10 năm 2025, khớp với mẫu mà Hacken đã mô tả.

Việc phức tạp hóa dấu vết, một phần quỹ xuất hiện trên Ethereum đã được gửi đến một ví trước đây có liên quan đến vụ khai thác ví nóng BingX vào năm 2024, vụ việc này được các nhà điều tra cho là có liên quan đến các nhóm liên kết với Triều Tiên, gợi ý về việc tái sử dụng cơ sở hạ tầng rửa tiền hoặc sự phối hợp giữa nhiều vụ trộm.

Địa chỉ đã nhận những khoản chuyển tiền đó có thể được nhìn thấy công khai trên các hồ sơ khám phá Ethereum, và các nhà điều tra cho biết mối liên kết này làm sâu sắc thêm bức tranh về một chuỗi rửa tiền có tổ chức kết nối nhiều sự cố nổi bật.

Taken together, the movements indicate that roughly $8–9 triệu từ vụ vi phạm WOO X đã được chuyển đổi trong cùng một ngày từ Ethereum sang Bitcoin, hầu như hoàn toàn qua THORChain, để lại khoảng 90% giá trị bị đánh cắp hiện đang nằm trên các địa chỉ Bitcoin khi những kẻ phạm tội tăng tốc chuyển đổi thành tài sản on-chain lâu đời và thanh khoản nhất.

Các đội ngũ an ninh theo dõi các dòng tiền cảnh báo rằng một khi các quỹ được tập trung vào Bitcoin, việc truy dấu và can thiệp thông thường trở nên khó khăn hơn và rủi ro rút tiền cuối cùng gia tăng. Rudytsia đã nói với Blockchain Reporter rằng Hacken đang tiếp tục theo dõi các tài khoản và sẽ đẩy các địa chỉ bị đánh dấu tới các sàn giao dịch và đối tác tuân thủ với hy vọng đóng băng hoặc đóng băng các đường đi của dòng tiền ở những nơi có thể.

Hiện tại, vụ việc là một lời nhắc nhở mới rằng khi công cụ cross-chain trở nên mạnh mẽ hơn, nó cũng cung cấp cho các kẻ tấn công tinh vi những con đường nhanh hơn, ít trở ngại hơn để biến các token bị đánh cắp thành các tài sản khó truy vết hơn, và rằng công việc pháp y trên nhiều chuỗi, cùng với sự hợp tác từ các dịch vụ on- và off-ramp, vẫn là tuyến phòng thủ duy nhất ngay lập tức trong thời đại ngày nay.