Korea Płn. kradnie miliardy w krypto

 Słuchaj artykułu:

Od początku 2024 roku do września 2025 północnokoreańscy hakerzy ukradli kryptowaluty o łącznej wartości 2,83 miliarda dolarów – wynika z raportu Multilateral Sanctions Monitoring Team (MSMT). To niemal jedna trzecia wszystkich zagranicznych dochodów Korei Północnej w 2024 roku.

MSMT to koalicja jedenastu państw utworzona w październiku 2024 roku, której celem jest monitorowanie sposobów omijania przez Pjongjang sankcji międzynarodowych za pomocą cyberprzestępczości. Z najnowszych ustaleń wynika, że w 2025 roku aktywność hakerów jeszcze wzrosła – w ciągu dziewięciu miesięcy skradziono 1,64 miliarda dolarów, o 50 procent więcej niż w całym 2024 roku.

Atak na Bybit – największa kradzież

Największy incydent miał miejsce w lutym 2025 roku i dotyczył giełdy kryptowalut Bybit. Atak przypisano grupie TraderTraitor, znanej również jako Jade Sleet lub UNC4899. Hakerzy zaatakowali dostawcę portfeli wielopodpisowych SafeWallet, wykorzystując fałszywe wiadomości e-mail i złośliwe oprogramowanie. Dzięki temu uzyskali dostęp do systemów wewnętrznych i zamaskowali zewnętrzne przelewy jako wewnętrzne, co pozwoliło im przejąć kontrolę nad smart kontraktem zimnego portfela i niezauważenie wyprowadzić środki.

Według raportu, północnokoreańskie grupy rzadko atakują same giełdy – znacznie częściej uderzają w zewnętrznych dostawców usług. Wśród aktywnych grup wymieniono TraderTraitor, CryptoCore i Citrine Sleet. W jednym z incydentów projekt Web3 Munchables stracił 63 miliony dolarów, jednak środki zostały później zwrócone po problemach napotkanych przez sprawców podczas prania pieniędzy.

Jak prane są skradzione środki

MSMT opisał dziewięciostopniowy schemat prania kryptowalut. Proces zaczyna się od zamiany skradzionych tokenów na Ethereum (ETH) na zdecentralizowanych giełdach. Następnie hakerzy korzystają z tzw. mixerów, takich jak Tornado Cash i Wasabi Wallet, aby ukryć ślady transakcji. Kolejne etapy obejmują konwersję ETH na Bitcoina (BTC) przez platformy mostowe, ponowne mieszanie środków, przechowywanie ich w portfelach offline, zamianę na Tron (TRX), a następnie na stablecoina USDT. Ostatecznie USDT trafia do brokerów OTC, którzy wymieniają je na gotówkę.

Pośrednicy z Chin, Rosji i Kambodży

W procesie prania pieniędzy kluczową rolę odegrali pośrednicy i firmy z Chin, Rosji i Kambodży. W Chinach uczestniczyli m.in. Ye Dinrong i Tan Yongzhi z firmy Shenzhen Chain Element Network Technology oraz trader Wang Yicong, którzy pomagali w transferach i tworzeniu fałszywych tożsamości.

Rosyjscy pośrednicy zamienili około 60 milionów dolarów z ataku na Bybit na gotówkę poprzez brokerów OTC. Z kolei w Kambodży wykorzystywano firmę Huione Pay, mimo że jej licencja nie została odnowiona przez bank centralny.

Raport MSMT pokazuje, że cyberprzestępczość stała się dla Korei Północnej jednym z najważniejszych źródeł dochodu w obliczu sankcji gospodarczych. Zorganizowane grupy hakerskie coraz skuteczniej łączą wiedzę technologiczną z rozbudowaną siecią pośredników w Azji, co utrudnia śledzenie przepływu środków i ich odzyskanie.

Obserwuj nas na: