سرقت ارز دیجیتال کره شمالی از سال ۲۰۲۴ به ۲.۸۳ میلیارد دلار رسیده است.

گزارش جدید تیم چندجانبه نظارت بر تحریم‌ها (MSMT) نشان می‌دهد که هکرهای کره شمالی بین ژانویه ۲۰۲۴ تا سپتامبر ۲۰۲۵ مبلغ ۲.۸۳ میلیارد دلار رمز ارز سرقت کرده‌اند.

این رقم تقریباً یک‌سوم کل درآمد ارزی خارجی این کشور در سال ۲۰۲۴ را تشکیل می‌دهد.

بزرگ‌ترین سهم مربوط به حمله به Bybit بود

تیم MSMT، ائتلافی متشکل از ۱۱ کشور که در اکتبر ۲۰۲۴ برای رصد روش‌های دور زدن تحریم‌های بین‌المللی توسط کره شمالی از طریق جرایم سایبری تشکیل شد، در آخرین یافته‌های خود اعلام کرده است که میزان سرقت رمز ارز در سال ۲۰۲۵ افزایش یافته و هکرها تنها در ۹ ماه نخست سال ۱.۶۴ میلیارد دلار به سرقت برده‌اند که نسبت به ۱.۱۹ میلیارد دلار سال گذشته، ۵۰ درصد رشد داشته است.

بخش عمده‌ای از این مبلغ مربوط به حمله‌ای در فوریه به Bybit بود که به گروه TraderTraitor، معروف به Jade Sleet یا UNC4899 نسبت داده شده است. هکرها با هدف قرار دادن SafeWallet، ارائه‌دهنده کیف پول چندامضایی برای Bybit، از طریق ایمیل‌های فیشینگ و بدافزارها به سیستم‌های داخلی دسترسی پیدا کردند. سپس انتقال‌های خارجی را به شکل انتقال‌های داخلی جلوه دادند و با این روش کنترل قرارداد هوشمند کیف پول سرد را به دست گرفتند و وجوه را بدون شناسایی منتقل کردند.

بر اساس گزارش MSMT، هکرهای کره شمالی اغلب به‌جای حمله مستقیم به صرافی‌ها، ارائه‌دهندگان خدمات شخص ثالث را هدف قرار می‌دهند. گروه‌هایی مانند TraderTraitor، CryptoCore و Citrine Sleet با استفاده از پروفایل‌های جعلی توسعه‌دهنده، هویت‌های سرقت‌شده و دانش دقیق از زنجیره تأمین نرم‌افزار، حملات خود را انجام داده‌اند. در یک مورد قابل توجه، پروژه Web3 به نام Munchables در یک حمله ۶۳ میلیون دلار از دست داد، هرچند این وجوه پس از بروز مشکلات در فرآیند پولشویی، بازگردانده شد.

نحوه پولشویی

تحلیل‌ها یک فرآیند ۹ مرحله‌ای برای تبدیل و پاک‌سازی رمز ارزهای سرقت‌شده به پول نقد را نشان می‌دهد. هکرها ابتدا دارایی‌های سرقت‌شده را در صرافی‌های غیرمتمرکز به اتریوم (ETH) تبدیل می‌کنند، سپس با استفاده از سرویس‌هایی مانند Tornado Cash و Wasabi Wallet رد تراکنش‌ها را پنهان می‌سازند. در ادامه، ETH به بیت کوین (BTC) از طریق پلتفرم‌های بریج تبدیل شده، دوباره مخلوط می‌شود، در کیف پول سرد ذخیره می‌گردد و سپس به ترون (TRX) و در نهایت به USDT تبدیل می‌شود. در آخر، USDT به کارگزاران OTC ارسال می‌شود تا به پول نقد تبدیل گردد.

کارگزاران و شرکت‌هایی در چین، روسیه و کامبوج نقش کلیدی در این فرآیند دارند. در چین، اتباع Ye Dinrong و Tan Yongzhi از شرکت Shenzhen Chain Element Network Technology به همراه معامله‌گر Wang Yicong در جابجایی وجوه و ایجاد هویت‌های جعلی همکاری داشته‌اند. واسطه‌های روسی حدود ۶۰ میلیون دلار از وجوه سرقت‌شده Bybit را از طریق کارگزاران OTC تبدیل کردند و در کامبوج نیز از سرویس Huione Pay برای انتقال وجوه استفاده شد، هرچند مجوز این شرکت توسط بانک مرکزی تمدید نشده بود.

MSMT همچنین اعلام کرد که هکرهای کره شمالی از دهه ۲۰۱۰ با مجرمان سایبری روس‌زبان همکاری داشته‌اند. در سال ۲۰۲۵، افرادی مرتبط با گروه Moonstone Sleet ابزارهای باج‌افزاری را از گروه روسی Qilin اجاره کردند.

در واکنش به این اقدامات، ۱۱ حوزه قضایی عضو MSMT بیانیه مشترکی صادر کردند و از کشورهای عضو سازمان ملل خواستند تا آگاهی درباره این فعالیت‌های سایبری را افزایش دهند و از شورای امنیت سازمان ملل درخواست کردند تا «کمیته کارشناسان» خود را با همان قدرت و ساختار پیش از انحلال، احیا کند.