新報告揭示北韓加密貨幣駭客的驚人滲透範圍

根據Multilateral Sanctions Monitoring Team（MSMT）發布的一份報告，與北韓有關的駭客在2024年至2025年9月期間，竊取了高達28.3億美元的虛擬資產。

報告強調，平壤不僅擅長竊取資產，還擁有高級的非法資產變現手法。

駭客收入佔全國外匯收入三分之一

MSMT是一個由美國、南韓、日本等11個國家組成的多國聯盟，於2024年10月成立，旨在支持聯合國安理會對北韓的制裁執行。

根據MSMT的數據，2024年至2025年9月間被竊取的28.3億美元是一個關鍵數字。

「北韓2024年通過虛擬資產竊取所得，約佔該國全年外匯收入的三分之一，」該團隊指出。

竊取規模急劇加速，僅2025年就有16.4億美元被竊，比2024年的11.9億美元增長超過50%，而2025年的數據尚未包括最後一季。

Bybit駭客事件與TraderTraitor集團

MSMT指出，2025年2月全球交易所Bybit遭駭是2025年非法收入激增的主要原因之一。該攻擊被歸咎於北韓最先進的駭客組織之一TraderTraitor。

調查顯示，該集團收集了與Bybit所使用的多重簽名錢包供應商SafeWallet相關的信息，隨後通過釣魚郵件獲得未經授權的訪問權限。

他們利用惡意程式碼進入內部網絡，將外部轉帳偽裝成內部資產移動，從而劫持冷錢包智能合約的控制權。

MSMT指出，在過去兩年的重大駭客事件中，北韓經常選擇攻擊與交易所連接的第三方服務供應商，而非直接攻擊交易所本身。

九步洗錢機制

MSMT詳細說明了北韓將竊取的虛擬資產兌換為法幣的九步精密洗錢流程：

1. 攻擊者在去中心化交易所（DEX）將竊取的資產兌換為ETH等加密貨幣。

2. 他們利用Tornado Cash、Wasabi Wallet或Railgun等服務對資金進行「混幣」。

3. 他們通過橋接服務將ETH兌換為BTC。

4. 資金經過中心化交易所賬戶後轉入冷錢包。

5. 經過第二輪混幣後，將資產分散到不同錢包。

6. 他們利用橋接和P2P交易將BTC兌換為TRX（Tron）。

7. 他們將TRX兌換為穩定幣USDT。

8. 他們將USDT轉給場外交易（OTC）經紀商。

9. OTC經紀商將資產變現為當地法幣。

全球網絡助力資金變現

最具挑戰性的階段是將加密貨幣兌換為可用的法幣。這一過程依賴於OTC經紀商及第三國的金融公司，包括中國、俄羅斯和柬埔寨。

報告點名了具體個人，包括中國籍的葉定榮、譚永志（深圳鏈元素網絡科技）及P2P交易員王一聰。

他們涉嫌與北韓實體合作，提供虛假身份並協助資產洗錢。俄羅斯中介也被指參與了Bybit駭客事件中約6000萬美元的資產變現。

此外，柬埔寨Huione Group旗下的金融服務供應商Huione Pay也被用於洗錢。

「一名北韓國民與Huione Pay相關人員保持私人關係，並於2023年底合作將虛擬資產變現，」MSMT表示。

MSMT於2024年10月和12月向柬埔寨政府提出對Huione Pay活動的關切，這些活動涉及支持聯合國指定的北韓網路駭客。結果，柬埔寨國家銀行拒絕續發Huione Pay的支付牌照，但該公司仍在當地運營。