Предполагают, что деньги были украдены при взломе биржи DMM Bitcoin. Эту группировку связывают с Северной Кореей.
Первым движение средств, украденных при взломе, заметил детектив ZachXBT. Эти 35 млн.$ были перемещены с начала месяца. Для отмывания денег был использован камбоджийский сервис Huione Guarantee.
Что произошло
По данным расследователя, на выходных биткоины были перемещены в миксеры. После этого они были конвертированы в Avalanche и Ethereum. Для конвертации был выбран протокол THORChain.

Далее, активы были конвертированы в USDT, затем в TRX. В конце концов криптовалюта поступила на Huione.
Один из переводов на 28 млн. был заблокирован, так как адрес попал в черный список. За 3 дня до этого кошелек успел вывести 14 млн.$ после взлома DMM.
Детектив ZachXBT поделился списком, в нем 538 адресов. Детектив считает, что все эти адреса имеют отношение к Lazarus и другим соучастникам взлом биржи. Расследователь считает, что к этому причастна группировка хакеров из Северной Кореи. Об этом говорят методы отмывания средств и офчейн-метрики.
Хаб хакеров
Расследователь считает, что Huione Guarantee сейчас является центром отмывания средств в регионе Восточной Азии. Он пользуется популярностью у группировок, работающих по схеме, получившей название «разделка свиней».
Аналитики считают, что через этот центр прошло 11 млрд.$. Этот центр связывают с правительством Камбоджи.

Крупный взлом
Японская криптобиржа DMM лишилась 305 млн.$ в мае этого года. Хакеры нашли критическую уязвимость в системе безопасности. Воспользовавшись уязвимостью, они получили доступ к серверам. Это седьмой по величине взлом в истории криптовалют.
Через неделю после взлома, биржа решила выплатить 321 млн.$ пострадавшим.