朝鲜黑客自2024年起窃取28.3亿美元加密货币

根据多边制裁监测小组（MSMT）发布的报告，朝鲜关联黑客在2024年至2025年9月期间窃取了高达28.3亿美元的虚拟资产。

报告强调，平壤方面不仅擅长窃取资产，还拥有成熟的非法所得变现手段。

黑客收入占该国外汇总量三分之一

MSMT是由美国、韩国、日本等11国组成的跨国联盟，成立于2024年10月，旨在支持联合国安理会对朝制裁的实施。

监测小组指出，2024年至2025年9月期间被盗的28.3亿美元具有关键意义。"2024年朝鲜通过虚拟资产窃取的资金约占其外汇总收入的三分之一"。

窃取规模呈现急剧加速态势：仅2025年前三季度就盗取16.4亿美元，较2024年全年的11.9亿美元增长超50%。

Bybit交易所遇袭与TraderTraitor黑客组织

MSMT将2025年2月全球交易所Bybit遭黑客攻击事件列为2025年非法收入激增的主因。该攻击被归咎于朝鲜最老练的黑客组织之一TraderTraitor。

调查显示，该组织收集了Bybit使用的多签钱包服务商SafeWallet相关信息，随后通过钓鱼邮件获取未授权访问权限。

攻击者使用恶意代码侵入内部网络，将外部转账伪装成内部资产转移，从而劫持冷钱包智能合约控制权。

MSMT指出，过去两年的大型黑客事件中，朝鲜更倾向于攻击与交易所关联的第三方服务商，而非直接入侵交易所本身。

九步洗钱机制

MSMT详细披露了朝鲜将盗取虚拟资产转换为法币的精密九步流程：

1. 攻击者在去中心化交易所（DEX）将赃币兑换为ETH等加密货币

2. 使用Tornado Cash、Wasabi Wallet或Railgun等混币服务

3. 通过跨链桥将ETH转换为BTC

4. 经中心化交易所账户中转后转入冷钱包

5. 二次混币后分散至不同钱包

6. 利用跨链桥和P2P交易将BTC兑换为TRX（波场币）

7. 将TRX转换为稳定币USDT

8. 将USDT转至场外交易（OTC）经纪商

9. OTC经纪商将资产变现为当地法币

全球网络协助资金变现

最具挑战性的加密货币至法币转换环节，通过中国、俄罗斯、柬埔寨等第三国的OTC经纪商和金融公司完成。

报告点名深圳链元素网络科技公司的中国籍人员叶荻荣、谭永志以及P2P交易员王毅聪，指控他们为朝鲜实体提供虚假身份证明并协助洗钱。俄罗斯中介则涉及Bybit被盗案中约6000万美元的赃款变现。

柬埔寨汇旺集团旗下金融服务商Huione Pay亦被用于洗钱。"一名朝鲜公民与Huione Pay相关人员保持私人关系，并于2023年底合作变现虚拟资产"。

MSMT于2024年10月和12月就Huione Pay支持联合国认定的朝鲜网络黑客活动向柬埔寨政府提出关切。柬埔寨国家银行随后拒绝续签Huione Pay支付牌照，但该公司仍在当地运营。