与北朝鲜相关的行为者被指控盗取$14M WOO X，快速转换BTC的报告

2025年7月24日，总部位于台湾的交易平台WOO X成为了加密货币泄露事件的最新受害者，攻击者从九个用户账号中非法提取了大约$14 百万，迫使交易所暂停提现，同时展开调查并承诺补偿受影响的用户。

新链分析由Hacken的取证与事件响应负责人Yehor Rudytsia分享，描绘了这起盗窃后的情况远比一次性盗窃更有组织。根据Rudytsia的说法，这起黑客事件，Hacken将其追溯到七月，造成的总损失约为$14 百万，并且是由一个与朝鲜民主主义人民共和国（DPRK）相关的参与者实施的，在执法圈中被追踪为“TraderTraitor”。

Hacken表示，它正在积极监测链上活动，并通过向更广泛的安全社区标记恶意地址来支持恢复工作。Hacken绘制的洗钱舞蹈将一半被盗资金留在EVM网络上，其余则在Tron和比特币上。

在过去的24小时内，链上痕迹显示，大部分EVM侧的收益，超过$7 百万，通过THORChain进行路由并兑换成比特币，这种技术观察者们越来越多地指出是今年早些时候重大交易所盗窃后的常见洗钱路径。Rudytsia指出，THORChain的原生跨链交换功能已被多次用于将大量ETH和ERC-20代币转换为BTC，使其对在生态系统之间转移被盗资产的复杂操作员具有吸引力。

不需要更改洗钱路径，当@THORChain负责时。第一次桥接交易只涉及1个ETH——可能是为了看看它是否“连接”得好……是的，对于这个单一地址，几乎700个ETH“连接”得很顺利：来自@GlobalLedger pic.twitter.com/Mvac6RwRZq

— Ye 在 Web3 (@muststopye) 2025 年 10 月 1 日

链上证据

Hacken的报告还记录了处理以Tron计价的部分(约250万美元的TRX)。这些资金，团队发现，已被转换为USDT，通过LayerZero基础设施桥接到以太坊，从那里，一些桥接的USDT又通过THORChain推送到比特币。

链上证据显示，来自LayerZero执行者的九位数USDT转账在2025年10月1日的公共交易记录中出现，这与Hacken所描述的模式相符。

使调查变得复杂的是，部分在以太坊上浮现的资金被转移到一个与2024年BingX热钱包漏洞相关联的钱包，该漏洞被调查人员归因于与朝鲜相关的团体，这表明要么是洗钱基础设施的重复使用，要么是跨多个盗窃事件的协调。

接收这些转账的地址在以太坊浏览器记录上是公开可见的，调查人员表示，这一链接加深了有关一个组织化洗钱链的情况，连接了多个高调事件。

综合来看，这些动向表明，约800万到900万美元的WOO X漏洞资金在同一天通过THORChain从以太坊桥接到比特币，几乎全部转移，预计现在90%的被盗价值仍然存放在比特币地址上，因为犯罪者加速将其转换为最古老、最具流动性的链上资产。

安全团队监控资金流动警告称，一旦资金集中在比特币上，传统的追踪和干预变得更加困难，最终提现的风险增加。Rudytsia告诉Blockchain Reporter，Hacken正在继续监控这些账号，并将向交易所和合规合作伙伴通报被标记的地址，希望能够冻结或以其他方式冻结可能的资金流动路径。

目前，这个案例清楚地提醒我们，随着跨链工具变得越来越强大，它也为复杂的攻击者提供了更快、摩擦更小的途径，将被盗的代币转化为更难追踪的资产，而在多个链上的取证工作，以及来自上下车服务的合作，仍然是当今唯一的即时防线。