與北朝鮮相關的行爲者被指控盜取$14M WOO X，快速轉換BTC的報告

2025年7月24日，總部位於臺灣的交易平台WOO X成爲了加密貨幣泄露事件的最新受害者，攻擊者從九個用戶帳號中非法提取了大約$14 百萬，迫使交易所暫停提現，同時展開調查並承諾補償受影響的用戶。

新鏈分析由Hacken的取證與事件響應負責人Yehor Rudytsia分享，描繪了這起盜竊後的情況遠比一次性盜竊更有組織。根據Rudytsia的說法，這起黑客事件，Hacken將其追溯到七月，造成的總損失約爲$14 百萬，並且是由一個與朝鮮民主主義人民共和國（DPRK）相關的參與者實施的，在執法圈中被追蹤爲“TraderTraitor”。

Hacken表示，它正在積極監測鏈上活動，並通過向更廣泛的安全社區標記惡意地址來支持恢復工作。Hacken繪制的洗錢舞蹈將一半被盜資金留在EVM網路上，其餘則在Tron和比特幣上。

在過去的24小時內，鏈上痕跡顯示，大部分EVM側的收益，超過$7 百萬，通過THORChain進行路由並兌換成比特幣，這種技術觀察者們越來越多地指出是今年早些時候重大交易所盜竊後的常見洗錢路徑。Rudytsia指出，THORChain的原生跨鏈交換功能已被多次用於將大量ETH和ERC-20代幣轉換爲BTC，使其對在生態系統之間轉移被盜資產的復雜操作員具有吸引力。

不需要更改洗錢路徑，當@THORChain負責時。第一次橋接交易只涉及1個ETH——可能是爲了看看它是否“連接”得好……是的，對於這個單一地址，幾乎700個ETH“連接”得很順利：來自@GlobalLedger pic.twitter.com/Mvac6RwRZq

— Ye 在 Web3 (@muststopye) 2025 年 10 月 1 日

鏈上證據

Hacken的報告還記錄了處理以Tron計價的部分(約250萬美元的TRX)。這些資金，團隊發現，已被轉換爲USDT，通過LayerZero基礎設施橋接到以太坊，從那裏，一些橋接的USDT又通過THORChain推送到比特幣。

鏈上證據顯示，來自LayerZero執行者的九位數USDT轉帳在2025年10月1日的公共交易記錄中出現，這與Hacken所描述的模式相符。

使調查變得復雜的是，部分在以太坊上浮現的資金被轉移到一個與2024年BingX熱錢包漏洞相關聯的錢包，該漏洞被調查人員歸因於與朝鮮相關的團體，這表明要麼是洗錢基礎設施的重復使用，要麼是跨多個盜竊事件的協調。

接收這些轉帳的地址在以太坊瀏覽器記錄上是公開可見的，調查人員表示，這一連結加深了有關一個組織化洗錢鏈的情況，連接了多個高調事件。

綜合來看，這些動向表明，約800萬到900萬美元的WOO X漏洞資金在同一天通過THORChain從以太坊橋接到比特幣，幾乎全部轉移，預計現在90%的被盜價值仍然存放在比特幣地址上，因爲犯罪者加速將其轉換爲最古老、最具流動性的鏈上資產。

安全團隊監控資金流動警告稱，一旦資金集中在比特幣上，傳統的追蹤和幹預變得更加困難，最終提現的風險增加。Rudytsia告訴Blockchain Reporter，Hacken正在繼續監控這些帳號，並將向交易所和合規合作夥伴通報被標記的地址，希望能夠凍結或以其他方式凍結可能的資金流動路徑。

目前，這個案例清楚地提醒我們，隨着跨鏈工具變得越來越強大，它也爲復雜的攻擊者提供了更快、摩擦更小的途徑，將被盜的代幣轉化爲更難追蹤的資產，而在多個鏈上的取證工作，以及來自上下車服務的合作，仍然是當今唯一的即時防線。