根据多边制裁监测小组(MSMT)发布的一份报告显示,2024 年至 2025 年 9 月期间,与朝鲜有关的黑客窃取了高达 28.3 亿美元的虚拟资产。
报告强调,平壤不仅在盗窃方面表现出色,还拥有复杂的方法来清洗这些非法所得。
黑客收入占该国外汇三分之一MSMT 是由包括美国、韩国和日本在内的 11 个国家组成的多国联盟。该组织于 2024 年 10 月成立,旨在支持联合国安理会对朝鲜的制裁实施。
根据 MSMT 的数据,2024 年至 2025 年 9 月间被盗的 28.3 亿美元是一个关键数字。
“2024 年,朝鲜通过虚拟资产盗窃获得的收益约占该国外汇收入总额的三分之一,”该小组指出。
盗窃规模急剧加速,仅 2025 年就被盗 16.4 亿美元,比 2024 年的 11.9 亿美元增长了 50% 以上,尽管 2025 年的数字尚未包括最后一个季度。
Bybit 被黑与 TraderTraitor 团伙事件MSMT 确认 2025 年 2 月全球交易所 Bybit 的黑客事件是 2025 年非法收入激增的主要原因之一。此次攻击被归因于朝鲜最复杂的黑客组织之一 TraderTraitor。
调查显示,该组织收集了与 Bybit 使用的多重签名钱包提供商 SafeWallet 相关的信息。随后,他们通过钓鱼邮件获得了未经授权的访问权限。
他们利用恶意代码访问内部网络,将外部转账伪装成内部资产移动。这使他们能够劫持冷钱包智能合约的控制权。
MSMT 指出,在过去两年的重大黑客事件中,朝鲜通常更倾向于攻击与交易所连接的第三方服务提供商,而不是直接攻击交易所本身。
九步洗钱机制揭秘MSMT 详细描述了朝鲜用于将被盗虚拟资产转换为法定货币的精细九步洗钱过程:
1. 攻击者在去中心化交易所(DEX)上将被盗资产兑换为以太坊($ETH)等加密货币。
2. 他们使用 Tornado Cash、Wasabi Wallet 或 Railgun 等服务对资金进行“混合”。
3. 通过跨链桥服务将 $ETH 转换为比特币($BTC)。
4. 资金经过中心化交易所账户后,转移到冷钱包中。
5. 经过第二轮混合后,将资产分散到不同的钱包中。
6. 通过跨链桥和点对点(P2P)交易将 $BTC 兑换为波场($TRX)。
7. 将 $TRX 转换为稳定币 $USDT。
8. 将 $USDT 转移给场外交易(OTC)经纪商。
9. OTC 经纪商将资产兑换为当地法定货币。
全球网络助力加密提现最具挑战性的阶段是将加密货币转换为可用的法定货币。这通常通过 OTC 经纪商和第三方国家的金融公司完成,包括中国、俄罗斯和柬埔寨。
报告中提到了一些具体个人,包括中国籍的叶定荣和谭永志,他们隶属于深圳链元素网络科技,以及 P2P 交易员王一聪。
据称,他们与朝鲜实体合作,提供虚假身份证件并协助资产洗钱。俄罗斯中介也被指控参与了从 Bybit 黑客事件中清算约 6000 万美元的资金。
此外,柬埔寨 Huione Group 旗下的金融服务提供商 Huione Pay 也被用于洗钱。
“一名朝鲜国民与 Huione Pay 的关联人员保持个人关系,并在 2023 年底与他们合作兑现虚拟资产,”MSMT 表示。
MSMT 在 2024 年 10 月和 12 月向柬埔寨政府提出了对 Huione Pay 活动的担忧,这些活动支持了联合国指定的朝鲜网络黑客。因此,柬埔寨国家银行拒绝续发 Huione Pay 的支付牌照,但该公司仍在该国运营。
