朝鲜骇客再破纪录　2年窃取加密货币逾28亿美元

根据《CryptoPotato》报导，MSMT将今年2月针对Bybit的入侵列为关键事件。行动与TraderTraitor组织相关，该团体亦被称为翡翠雪或UNC4899。

这些骇客不是直捣交易所核心，而是从多重签名钱包供应商SafeWallet下手，先以钓鱼信与恶意程式渗透内部系统，再把外部转帐伪装成内部操作，进一步操控冷钱包智慧合约，资金得以悄然转移。

MSMT统计，骇客近年常避开正面攻破交易所，转而针对第三方服务供应商下手；CryptoCore、Citrine Sleet等团队以假开发者身分、被盗身份资讯与供应链知识反覆施作。Web3专案Munchables曾在单次攻击中损失6,300万美元，后因洗钱环节受阻，资金才据报被归还。

被窃代币出场后，随即进入多层清洗。MSMT描述的典型路径，先把资产在去中心化交易所兑换为以太坊（ETH），再透过Tornado Cash或Wasabi Wallet搅混足迹；其后跨链转为比特币，再次混币、移入冷钱包保存，接著换成波场币（TRX），最后转入稳定币USDT。尾声由场外经纪人兑换现金，断开链上脉络。

个案串流显示，中国、俄罗斯与柬埔寨成为关键节点。在中国，深圳链元网络科技公司的叶定荣、谭永志与交易员王义聪被指协助资金搬运与伪造证件；俄罗斯的中介据称将Bybit案约6,000万美元经场外通道转换；柬埔寨的Huione Pay被用作资金流转平台，但其牌照未获央行续期。

MSMT追溯合作网络还延伸至讲俄语的网犯圈。自2010年代起朝鲜骇客频繁与其互通，2025年更出现与月石雪关联的行动者向俄罗斯Qilin租用勒索软体工具的迹象，攻防样态从窃盗、钓鱼、供应链渗透，一路扩张到即服务化的犯罪租赁。

在追责面向上，MSMT点名TraderTraitor、CryptoCore、Citrine Sleet等多个团队惯用的第三方突破战术，提醒业界除加固交易所本身控管，对多签、托管、基础建设供应商的社工风险与权限管理不可松懈。报告也还原洗钱的九步骤链路，凸显跨链桥、混币器、场外经纪与离岸法域的紧密协作，任何一环的合规松动都可能被用来扩大洗白效能。

面对资安与制裁的双重挑战，参与MSMT的11个司法辖区发表联合声明，呼吁联合国会员国提高对上述网路行动的警觉，并要求联合国安全理事会恢复其专家小组，且维持解散前相同的权限与架构，以补上跨国协调与证据共享的缺口。