根据多边制裁监察组（MSMT）发布的报告，2024年至2025年9月期间，与朝鲜有关的黑客窃取了价值高达28.3亿美元的虚拟资产。

报告强调，平壤不仅擅长盗窃，还拥有变现非法收益的复杂手段。

.divm, .divd {display: none;}@media screen 和 (max-width: 768px) {.divm {display: block;}}@media screen 和 (min-width: 769px) {.divd {display: block;}}

黑客收入导致该国三分之一的外汇流失

MSMT是由美国、韩国、日本等11个国家组成的多国联盟，成立于2024年10月，旨在支持联合国安理会对朝鲜制裁的实施。

据MSMT称，2024年至2025年9月期间被盗的28.3亿美元是一个关键数字。

该团队表示：“2024年朝鲜虚拟资产盗窃收益约占该国外汇总收入的三分之一。”著名的.

规模盗窃案件急剧增加仅2025年一年，被盗金额就达到16.4亿美元，比2024年的11.9亿美元增加了50%以上，尽管2025年的数据不包括最后一个季度。

.divm, .divd {display: none;}@media screen 和 (max-width: 768px) {.divm {display: block;}}@media screen 和 (min-width: 769px) {.divd {display: block;}}

Bybit黑客攻击和TraderTraitor集团

MSMT确定了2月份2025年全球交易所Bybit遭黑客攻击成为2025年非法收入激增的主要贡献者。此次攻击被归咎于朝鲜最复杂的黑客组织之一TraderTraitor。

调查显示，该团伙收集了Bybit使用的多重签名钱包提供商SafeWallet的相关信息，并通过钓鱼邮件获取了未经授权的访问权限。

他们利用恶意代码访问内部网络，将外部转账伪装成内部资产转移，从而劫持了冷钱包智能合约的控制权。

MSMT指出，在过去两年发生的重大黑客攻击事件中，朝鲜往往更喜欢针对与交易所相关的第三方服务提供商。这样做是为了攻击交易所本身.

.divm, .divd {display: none;}@media screen 和 (max-width: 768px) {.divm {display: block;}}@media screen 和 (min-width: 769px) {.divd {display: block;}}

九步洗钱机制

MSMT详细介绍了朝鲜用于将被盗虚拟资产转换为法定货币的九步洗钱流程：

1. 攻击者在去中心化交易所（DEX）上将被盗资产兑换成ETH等加密货币。

2. 他们使用Tornado Cash、Wasabi Wallet或Railgun等服务来“混合”资金。

3. 他们通过桥接服务将ETH转换为BTC。

4. 他们将资金通过中心化交易账户转移到冷钱包。

5.经过第二轮混合后，他们将资产分散到不同的钱包中。

6. 他们使用桥接和P2P交易将BTC兑换为TRX（Tron）。

7. 他们将TRX转换为稳定币USDT。

8. 他们将USDT转移到场外交易(OTC)经纪商。

9. 场外交易经纪商将资产清算为当地法定货币。

全球网络助力现金提取

最具挑战性的阶段是将加密货币兑换成可用的法币。这需要借助第三方国家（包括中国、俄罗斯和柬埔寨）的场外交易经纪商和金融公司来完成。

.divm, .divd {display: none;}@media screen 和 (max-width: 768px) {.divm {display: block;}}@media screen 和 (min-width: 769px) {.divd {display: block;}}

报告点名了具体个人，包括深圳链元网络科技的中国公民叶鼎荣和谭永志，以及P2P交易员王毅聪。

据称，他们与朝鲜实体合作，提供伪造身份证件，并促进资产洗钱俄罗斯中间商也涉嫌参与Bybit黑客攻击事件中约6000万美元的清算。

此外，柬埔寨金融管理局旗下的金融服务提供商Huione Pay汇旺集团，被用于洗衣服。

MSMT表示：“一名朝鲜公民与Huione Pay同伙保持着私人关系，并于2023年底与他们合作套现虚拟资产。”

2024年10月和12月，MSMT向柬埔寨政府表达了担忧。这些担忧涉及Huione Pay支持联合国认定的朝鲜网络黑客的活动。因此，柬埔寨国家银行拒绝续签Huione Pay的支付许可证；然而，该公司仍在柬埔寨运营。