บรรณาธิการ: เมื่อวันที่ 18 เมษายน Kelp DAO ได้รับการโจมตี ทรัพย์สินประมาณ 292 ล้านดอลลาร์สหรัฐถูกขโมยไป แล้วเงินจำนวนนี้จะถูก “ล้าง” ให้กลายเป็นสินทรัพย์ที่สามารถไหลเวียนได้อย่างไร ในระบบบนบล็อกเชนที่โปร่งใสอย่างสมบูรณ์?
บทความนี้ใช้เหตุการณ์นี้เป็นจุดเริ่มต้น เพื่อวิเคราะห์เส้นทางการฟอกเงินสกุลเงินดิจิทัลที่มีความเป็นอุตสาหกรรมสูง: ตั้งแต่การเตรียมโครงสร้างพื้นฐานแบบไม่เปิดเผยตัวตนก่อนการโจมตี ไปจนถึงการใช้ Tornado Cash เพื่อตัดการเชื่อมโยงบนบล็อกเชน; จากการใช้ Aave และ Compound เพื่อจำนำสินทรัพย์ที่เป็นพิษเพื่อแลกเปลี่ยนเป็นสภาพคล่องที่สะอาด ไปจนถึงการใช้ THORChain, สะพานข้ามสายโซ่ และโครงสร้าง UTXO เพื่อเพิ่มความยากลำบากในการติดตามเป็นแบบเลขชี้กำลัง สุดท้ายไหลเข้าสู่ระบบ USDT บน Tron และแลกเปลี่ยนเป็นเงินสดในโลกแห่งความเป็นจริงผ่านเครือข่ายนอกตลาด
ในกระบวนการนี้ ไม่มีการดำเนินการแบบลับๆ ที่ซับซ้อน แทบทุกขั้นตอนล้วน “ทำตามกฎ” และด้วยเหตุนี้เอง ทางเดินที่เปิดเผยนี้จึงไม่ใช่ช่องโหว่จุดเดียว แต่เป็นแรงตึงเครียดเชิงโครงสร้างของระบบ DeFi ภายใต้ความเปิดกว้าง ความสามารถในการรวมกัน และความไม่สามารถถูกตรวจสอบได้ — เมื่อการออกแบบโปรโตคอลอนุญาตให้การดำเนินการเหล่านี้มีอยู่แล้ว การ “เรียกคืนเงินทุน” จึงไม่ใช่ปัญหาทางเทคนิคอีกต่อไป แต่เป็นปัญหาเกี่ยวกับขอบเขตของระบบ
เหตุการณ์ Kelp DAO จึงไม่ใช่เพียงแค่การโจมตีด้านความปลอดภัย แต่เหมือนเป็นการทดสอบแรงกดดันต่อตรรกะการดำเนินงานของโลกสกุลเงินดิจิทัล: มันแสดงให้เห็นว่าแฮกเกอร์สามารถเปลี่ยนเงินของคุณให้เป็นเงินของพวกเขาได้อย่างไร และยังแสดงให้เห็นว่าทำไมระบบนี้จึงยากที่จะหยุดยั้งกระบวนการนี้ได้โดยหลักการ
อย่างที่คุณทราบ เมื่อวันที่ 18 เมษายน แฮกเกอร์จากเกาหลีเหนือได้ขโมยเงิน 292 ล้านดอลลาร์สหรัฐจาก Kelp DAO ห้าวันต่อมา มากกว่าครึ่งหนึ่งของเงินดังกล่าวได้หายไป กระจายตัวไปยังนับพันกระเป๋าเงินผ่านโปรโตคอลที่ไม่สามารถหยุดได้ และสุดท้ายไหลไปยังจุดหมายปลายทางที่เฉพาะเจาะจงมาก
จุดที่น่าสนใจคือ: วิธีการเปลี่ยนสินทรัพย์ดิจิทัลที่ถูกขโมยไป 292 ล้านดอลลาร์สหรัฐ ซึ่งมีหลักฐานชัดเจน ให้กลายเป็นเงินสดในกระเป๋าของเปียงยาง โดยไม่มีใครสามารถขัดขวางได้
วัตถุประสงค์ของบทความนี้คือเปิดเผยว่าทำไมกระบวนการฟอกเงินสกุลเงินดิจิทัลสมัยใหม่จึงทำงานได้ ทำไมจึงไม่สามารถหยุดยั้งได้ในเชิงโครงสร้าง และดอลลาร์สหรัฐหนึ่งดอลลาร์ที่ถูกฟอกแล้วนั้นซื้ออะไรไปบ้าง
ขั้นตอนที่หนึ่ง: การจัดวาง (หลายชั่วโมงก่อนการโจมตี)
ผู้โจมตีไม่ได้เริ่มต้นด้วยการขโมยโดยตรง กลยุทธ์ของกลุ่ม Lazarus เสมอเริ่มต้นจากการเตรียมโครงสร้างพื้นฐาน
การโจมตีเกิดขึ้นประมาณ 10 ชั่วโมงก่อนหน้านี้ กระเป๋าเงินใหม่ 8 แห่งได้เติมเงินล่วงหน้าผ่าน Tornado Cash — Tornado Cash เป็นเครื่องผสมเงินที่ตัดการเชื่อมโยงระหว่างแหล่งที่มาและจุดหมายของเงินทุน
แต่ละกระเป๋าเงินได้รับ 0.1 ETH เพื่อใช้จ่ายค่า Gas สำหรับการดำเนินการทั้งหมดในอนาคต เนื่องจากเงินในกระเป๋าเหล่านี้มาจาก mixer จึงไม่มีบันทึก KYC ของ交易所 ไม่มีประวัติการทำธุรกรรมก่อนหน้า และไม่สามารถเชื่อมโยงกับบุคคลหรือหน่วยงานใดๆ ที่รู้จักได้ กระดานขาวสะอาด
ก่อนการโจมตี ผู้โจมตีได้ส่งการโอนข้ามเครือข่าย 3 รายการจาก Ethereum Mainnet ไปยัง Avalanche และ Arbitrum — มีเป้าหมายชัดเจนในการเก็บ Gas ล่วงหน้าบน L2 เหล่านี้และทดสอบการดำเนินการข้ามสะพาน เพื่อให้แน่ใจว่าการโอนจำนวนใหญ่จะดำเนินไปอย่างราบรื่น
ขั้นตอนที่สอง: การขโมย
กระเป๋าเงินที่เริ่มต้นการโจมตีอย่างอิสระ (0x4966…575e) เรียกใช้ฟังก์ชัน lzReceive บนสัญญา LayerZero EndpointV2 ด้วยการหลอกลวงตัวตรวจสอบสำเร็จ การเรียกใช้นี้จึงถูกพิจารณาว่าเป็นข้อความข้ามโซ่ที่ถูกต้อง ตามด้วยสัญญาข้ามสะพานของ Kelp Kelp DAO: RSETH_OFTAdapter (ที่อยู่ Etherscan: 0x85d…) ที่ปล่อย rsETH จำนวน 116,500 หน่วยไปยัง 0x8B1
18% ของ rsETH ทั้งหมดที่ lưu thông ผ่านการเรียกฟังก์ชันหนึ่งครั้ง แล้วหายไปหมด
46 นาทีต่อมา ณ เวลา 18:21 น. ตามเวลามาตรฐานสากล ระบบหลายลายเซ็นฉุกเฉินของ Kelp ได้ระงับโปรโตคอล ณ เวลา 18:26 น. และ 18:28 น. ตามเวลามาตรฐานสากล ผู้โจมตีพยายามดำเนินการอีกสองครั้งด้วยวิธีเดียวกันทั้งหมด โดยแต่ละครั้งพยายามขโมย rsETH เพิ่มอีกประมาณ 40,000 เหรียญ (ประมาณ 1 พันล้านดอลลาร์สหรัฐต่อรายการ) การโจมตีทั้งสองครั้งถูกยกเลิกเนื่องจาก Kelp ตัดไฟทันเวลา หากไม่ใช่เช่นนั้น ยอดการขโมยรวมอาจใกล้เคียงกับ 5 พันล้านดอลลาร์สหรัฐ
ขั้นที่สาม: การดำเนินการ Aave + Compound
rsETH เป็นโทเค็นยืนยัน ซึ่งมูลค่าจะลดลงเป็นศูนย์ทันทีเมื่อ Kelp ระงับการข้ามสะพานหรือบล็อกโทเค็นที่ถูกขโมย ผู้โจมตีมีเวลาเพียงไม่กี่นาทีในการแปลงเป็นสินทรัพย์ที่ไม่สามารถถูกระงับได้ Kelp จึงระงับการดำเนินการหลังจากเกิดการขโมยไปแล้ว 46 นาที — ช้าเกินไป
การขายทรัพย์สิน restaking ที่ไม่มีสภาพคล่องมูลค่า 292 ล้านดอลลาร์สหรัฐโดยตรงบนตลาดเปิด จะทำให้ราคาตกต่ำกว่า 30% ภายในไม่กี่นาที ดังนั้นเขาจึงไม่เลือกที่จะขาย แต่ใช้โปรโตคอลการกู้ยืม DeFi เป็นเครื่องมือฟอกเงินเพื่อขายอย่างรวดเร็ว
กระเป๋าเงินรับ 0x8B1 ได้กระจาย rsETH ที่ถูกขโมยจำนวน 116,500 ชิ้นไปยังกระเป๋าเงินสาขาอีก 7 แห่ง แต่ละกระเป๋าเงินสาขาจากนั้นได้เข้าสู่ Aave และ Compound V3 เพื่อใช้ rsETH บางส่วนเป็นหลักประกันและกู้ยืม ETH
ตำแหน่งสะสมของ 7 สาขาคือ:
· ฝากหลักประกัน: 89,567 rsETH
·ให้ยืม: ประมาณ 82,650 หน่วย WETH + 821 หน่วย wstETH รวมเป็นสินทรัพย์อีเธอร์เรียมที่สะอาดและมีสภาพคล่องมูลค่าประมาณ 190 ล้านดอลลาร์สหรัฐ
·ตั้งค่าสัมประสิทธิ์สุขภาพของแต่ละสาขาที่ 1.01 ถึง 1.03—ขีดจำกัดสูงสุดที่โปรโตคอลอนุญาตก่อนการยึดทรัพย์
ผู้โจมตีแลก rsETH จำนวนมูลค่า 292 ล้านดอลลาร์สหรัฐ ซึ่งถูกทำเครื่องหมายไว้และแทบไม่สามารถแปลงเป็นเงินสดได้ เป็น ETH มูลค่า 190 ล้านดอลลาร์สหรัฐ เมื่อ rsETH 这批ถูกทำเครื่องหมายว่าใกล้เคียงศูนย์ (เนื่องจาก Kelp ไม่มีสินทรัพย์เพียงพอในการข้ามสะพานและไม่สามารถรับคืนได้) ผู้ฝากเงินในโปรโตคอลการกู้ยืมต้องรับความสูญเสีย
เมื่อตลาดตระหนักว่า Aave มีหนี้เสียเกิน 2 พันล้านดอลลาร์สหรัฐ ผู้ใช้จึงพากันถอนเงินอย่างตื่นตระหนก Aave สูญเสีย TVL (ปริมาณการล็อกทรัพย์สินรวม) 8 หมื่นล้านดอลลาร์สหรัฐภายใน 48 ชั่วโมง โปรโตคอลการกู้ยืม DeFi ที่ใหญ่ที่สุดนี้ประสบกับการถอนเงินครั้งแรกที่แท้จริง—และตัวกระตุ้นคือผู้โจมตีที่ใช้งานโปรโตคอลตามการออกแบบอย่างสมบูรณ์
ขั้นที่สี่: การรวมและแบ่งเงินทุน
หลังจากเสร็จสิ้นการกู้ยืม Aave/Compound สาขาทั้ง 7 ได้ส่ง ETH ที่กู้ยืมไปยังกระเป๋าเงินรวมระดับที่สาม (0x5d3)
คลัสเตอร์การดำเนินการทั้งหมดในขณะนี้แสดงโครงสร้างสามชั้นที่ชัดเจน:
1. รับ: 0x8B1 (เติมผ่าน Tornado Cash เช่นกัน) รับ rsETH ที่ถูกขโมยเดิมจำนวน 116,500 เหรียญ
2. การดำเนินการ: กระเป๋าเงินสาขา 7 แห่งที่เติมเงินผ่าน Tornado Cash ดำเนินการบน Aave/Compound
3. การรวมกัน: 0x5d3 รวบรวมเงินกู้ประมาณ 71,000 ETH ทั้งหมดเข้าสู่กระบวนการฟอกเงิน
เงินทุนจะถูกกระจายไปยังสองโซ่หลังจากนั้น:
· ETH 75,700 ชิ้นยังคงอยู่บนเครือข่ายหลักของ Ethereum
·ETH 30,766 ชิ้นบน Arbitrum (ประมาณ 71 ล้านดอลลาร์สหรัฐ)
คณะกรรมการความปลอดภัยของ Arbitrum ได้ลงคะแนนเสียงเพื่อระงับทรัพย์สินส่วนนี้บน Arbitrum โดยโอนเงิน 71 ล้านดอลลาร์สหรัฐไปยังกระเป๋าเงินที่ควบคุมโดยการจัดการซึ่งสามารถปลดล็อกได้เฉพาะผ่านการจัดการในอนาคต
หลังจากการกักขังเกิดขึ้นไม่นาน แฮกเกอร์ได้ย้าย ETH ที่เหลืออยู่บนเน็ตเวิร์กหลักทันที และเร่งกระบวนการฟอกเงิน จากการกระทำเหล่านี้ ชัดเจนว่าเขาไม่ได้คาดคิดว่า Arbitrum จะดำเนินการเช่นนี้
ขั้นที่ห้า: คลื่นแรกของการฟอกเงิน
หลังจากเกิดการโจมตีสี่วัน 0x5d3 เริ่มเคลียร์บัญชี Arkham ติดตามการโอนเงินสามครั้งที่เป็นอิสระต่อกันภายในไม่กี่ชั่วโมง
เวลาถูกเลือกอย่างมีจุดมุ่งหมาย: ช่วงการซื้อขายในยุโรปวันอังคาร ผู้สอบสวนของสหรัฐยังอยู่ในช่วงพักผ่อน ทีมปฏิบัติตามกฎระเบียบของยุโรปกำลังจัดการงานที่คั่งค้างจากวันจันทร์ และตลาดเอเชียใกล้ปิดการซื้อขาย
ต่อมา รูปแบบการโอนเงินเริ่มแพร่กระจายอย่างระเบิด จุดหมายในคลื่นแรกแต่ละจุดทันทีแพร่กระจายอีกครั้ง: 0x62c7 ส่งไปยังกระเป๋าเงินใหม่ประมาณ 60 แห่ง และ 0xD4B8 ส่งไปยังอีกประมาณ 60 แห่ง ภายในไม่กี่ชั่วโมง กลุ่มกระเป๋าเงิน 10 แห่งที่เดิมเรียบง่ายได้ขยายเป็นกว่า 100 ที่อยู่แบบใช้ครั้งเดียว ทั้งหมดได้รับการเติมเงินพร้อมกัน โดยแต่ละที่อยู่มีจำนวนเงินน้อยพอที่จะหลีกเลี่ยงการตรวจจับ
Lazarus รันสคริปต์ HD wallet — คำฟื้นฟูเพียงคำเดียวสามารถอนุมานทางคณิตศาสตร์ได้หลายพันที่อยู่ใหม่ภายในไม่กี่วินาที ร่วมกับกลุ่ม worker (Python + web3, ethers.js หรือเครื่องมือภายในของพวกเขา) เพื่อลงนามและส่งข้อมูลแบบขนานตลอดต้นไม้ที่อยู่ทั้งหมด รหัสชุดนี้พวกเขาได้พัฒนาต่อเนื่องตั้งแต่ปี 2018
เมื่อสิ้นสุดระยะนี้ สายโซ่ที่สามารถติดตามได้อย่างเป็นเชิงเส้นได้หายไปแล้ว กลุ่มการดำเนินการของกระเป๋าเงิน 10 แห่งได้ระเบิดออกเป็นกว่า 100 กระเป๋าเงินที่กระจัดกระจาย และเงินทุนได้เข้าสู่เส้นทางความเป็นส่วนตัวพร้อมกันจากช่องทางเข้าที่เป็นอิสระหลายสิบแห่ง
ขั้นที่หก: THORChain — เครื่องหลบหนี
จุดตัดที่แท้จริงเกิดขึ้นที่ THORChain
THORChain เป็นโปรโตคอลแบบกระจายศูนย์ที่รองรับการแลกเปลี่ยนสินทรัพย์เนทีฟข้ามสายโซ่ คุณส่ง ETH จาก Ethereum มันจะคืน BTC ให้คุณบนเครือข่าย Bitcoin
เฉพาะวันที่ 22 เมษายน ปริมาณการแลกเปลี่ยน 24 ชั่วโมงของ THORChain แตะระดับ 460 ล้านดอลลาร์สหรัฐ ขณะที่ปริมาณการซื้อขายเฉลี่ยต่อวันปกติของโปรโตคอลนี้อยู่ที่ประมาณ 15 ล้านดอลลาร์สหรัฐ การโจมตีครั้งนี้มีปริมาณการซื้อขายในหนึ่งวันเท่ากับ 30 เท่าของปริมาณการใช้งานปกติของโปรโตคอล
ในช่วงเวลา 24 ชั่วโมงเดียวกัน โปรโตคอลสร้างรายได้รวม 494,000 ดอลลาร์สหรัฐ ซึ่งแบ่งปันระหว่าง bonder (ผู้ดำเนินการโหนด) ผู้ให้สภาพคล่อง กองทุนพัฒนา ผู้รวมระบบพันธมิตร และกองทุนการตลาด
ในขณะเดียวกัน ทุนยังไหลผ่านช่องทางความเป็นส่วนตัวที่เล็กกว่าแต่เสริมกันอย่างขนานกัน:
·Umbra: โปรโตคอลที่อยู่แบบซ่อนเร้นบน Ethereum อนุญาตให้ส่งเงินไปยังที่อยู่ครั้งเดียวเท่านั้น โดยผู้รับเท่านั้นที่สามารถคำนวณที่อยู่นั้นได้ผ่านกุญแจที่แชร์ร่วมกัน ผู้ติดตามบนบล็อกเชนไม่สามารถรู้จุดหมายปลายทางที่แท้จริงได้ กิจกรรมเริ่มต้นประมาณ 78,000 ดอลลาร์สหรัฐถูกติดตามพบ แต่จากนั้นเครื่องมือก็สูญเสียรอยตาม
·Chainflip: DEX ข้ามโซ่อีกแห่งที่มีรูปแบบคล้ายกับ THORChain
·BitTorrent Chain: โซ่ข้างที่มีค่าใช้จ่ายต่ำและมีการกำกับดูแลน้อย ซึ่งเชื่อมต่อกับ Tron
· Tornado Cash: เครื่องผสมเงินเดียวกับที่ใช้ในการเติม Gas ครั้งแรก กระทรวงการคลังสหรัฐฯ ได้ใส่ชื่อไว้ในบัญชีลงโทษตั้งแต่ปี 2022
ทุกครั้งที่ผ่านหนึ่งชั้นของโปรโตคอล ต้นทุนการติดตามจะเพิ่มขึ้นประมาณ 10 เท่า หลังจากผ่าน 5 ชั้นแล้ว บริษัทสอบสวนยังสามารถติดตามแต่ละชิ้นส่วนได้ในทางทฤษฎี แต่ต้นทุนทางเศรษฐกิจได้เกินกว่ามูลค่าที่สามารถเรียกคืนได้
ขั้นที่เจ็ด: การแตกตัวของ UTXO ของบิตคอยน์
การแปลง ETH เป็น BTC ผ่าน THORChain นั้นเหมือนการเปลี่ยนเงินให้เป็นกระดาษเศษ
อีเธอเรียมใช้โมเดลบัญชี ยอดเงินของคุณเป็นตัวเลขที่ผูกกับที่อยู่ ซึ่งเรียบง่ายและตรงไปตรงมา ต่างจากบิตคอยน์ที่ใช้โมเดล UTXO (Unspent Transaction Output) — UTXO แต่ละอันเป็นชิ้นส่วนของเหรียญที่มีประวัติการทำธุรกรรมครบถ้วน เมื่อใช้จ่ายบิตคอยน์ ชิ้นส่วนเหล่านี้จะถูกแบ่งและจัดเรียงใหม่เพื่อสร้างชิ้นส่วนใหม่
จินตนาการว่าคุณฉีกธนบัตร 100 ดอลลาร์สหรัฐออกเป็น 87 ชิ้น แล้วฉีกแต่ละชิ้นออกเป็นอีก 87 ชิ้น โดยทำซ้ำแบบนี้อีก 7 รอบ ทางเทคนิคแล้ว ชิ้นส่วนแต่ละชิ้นสามารถติดตามย้อนกลับไปยังธนบัตรต้นฉบับได้ แต่ในทางปฏิบัติ ไม่มีทีมสอบสวนทางดิจิทัลใดสามารถติดตามสายโซ่หลายพันสายที่ทำงานพร้อมกันได้ในเวลาเพียงพอที่จะรวบรวมภาพรวมทั้งหมดและดำเนินการ
ดังนั้น THORChain จึงประสบความสำเร็จในสองเรื่องพร้อมกัน: โอนทุนข้ามพรมแดนที่การคว่ำบาตรไม่สามารถข้ามได้ และกระจายทุนให้เป็นผงฝุ่นที่ไม่สามารถติดตามได้
ขั้นที่แปด: Tron USDT Track
หลังจากผ่านบิตคอยน์และชั้นความเป็นส่วนตัว เงินทุนจะรวมตัวกันอีกครั้งที่จุดหมายเดียวกัน: USDT บน Tron
ผู้คนส่วนใหญ่คิดว่าสนามรบหลักของการฟอกเงินคือ BTC ซึ่งเป็นความเข้าใจผิด สนามรบจริงคือ USDT บน Tron ข้อมูลแสดงว่าปริมาณธุรกรรมสินทรัพย์ดิจิทัลผิดกฎหมายที่ USDT-Tron รับผิดชอบต่อปีอยู่ในอันดับหนึ่งเสมอ และมากกว่ารวมทั้งหมดของโซ่อื่นๆ
ในกระแสเงินทุนของ Kelp เส้นทางที่แน่นอนคือ: โอน BTC ข้ามสะพานไปยัง Tron แลกเป็น USDT แล้วโอนหลายครั้งระหว่างที่อยู่ Tron ค่าใช้จ่ายต่อแต่ละขั้นตอนบน Tron ต่ำมาก ใช้เงินเพียงไม่กี่เซนต์ ก็สามารถเพิ่มความซับซ้อนได้อีก 10 ชั้น
ขั้นที่เก้า: การถอนเงิน — แปลงสกุลเงินดิจิทัลเป็นเงินสด
จุดสิ้นสุดของการโจมตีโดยแฮกเกอร์ทุกครั้ง คือเงินทุนถูกเปลี่ยนเป็นเงินสดสกุลเงินปกติผ่านเครือข่ายตัวกลางที่มนุษย์ใช้ซึ่งมีการบันทึกไว้อย่างชัดเจน
ผู้จัดการซื้อขายนอกตลาด (OTC) จำนวนมากที่ดำเนินการในจีนแผ่นดินใหญ่และเอเชียตะวันออกเฉียงใต้รับเงินฝาก USDT-Tron และชำระเป็นเงินสดสกุลท้องถิ่น ผู้จัดการเหล่านี้เป็นเพียงธนาคารใต้ดินที่ไม่มีใบอนุญาต พวกเขารวบรวมกระแสเงินทุนจากลูกค้าหลายราย (ทั้งที่ปฏิบัติตามกฎและไม่ปฏิบัติตามกฎ) ทำการตั้งถิ่นฐานภายใน และชำระเป็นสกุลเงินทางกฎหมายผ่านเครือข่ายการชำระเงินภายในจีน (UnionPay) — UnionPay ดำเนินการอย่างสมบูรณ์นอกเหนือจากระบบ SWIFT และขอบเขตการบังคับใช้การคว่ำบาตรของตะวันตก
จากบัญชีที่อยู่ภายใต้การควบคุมของตัวแทนการค้าเหล่านี้ เงินจะไหลเข้าสู่บัญชีธนาคารที่อยู่ภายใต้การควบคุมของเกาหลีเหนือ มักจะถือครองในนามของบริษัทเปล่าที่จดทะเบียนในฮ่องกง มาเก๊า หรือเขตอำนาจศาลภายนอก จากนั้นเงินจะถูกส่งกลับไปยังเปียงยางผ่านระบบการชำระเงินแบบฮาวาลาที่ไม่เป็นทางการ การขนส่งเงินสดแบบกายภาพ และการซื้อขายบริษัทหน้ากาก
คณะมนตรีความมั่นคงแห่งสหประชาชาติ, FBI และกระทรวงการคลังสหรัฐฯ ต่างบันทึกเส้นทางสุดท้ายของเงินทุนชุดนี้ไว้แล้วอย่างอิสระ การพัฒนาขีปนาวุธพิสัยไกลของเกาหลีเหนือ การวิจัยและพัฒนาอาวุธนิวเคลียร์ และการหลีกเลี่ยงการคว่ำบาตรระหว่างประเทศ ล้วนพึ่งพาการไหลเวียนของเงินทุนประเภทนี้อย่างต่อเนื่อง
รายงานของสหประชาชาติปี 2024 ประมาณการว่า การโจมตีด้วยการแฮกคริปโตเคอร์เรนซีคิดเป็นประมาณ 50% ของรายได้สกุลเงินต่างประเทศทั้งหมดของเกาหลีเหนือ ทำให้เป็นแหล่งทุนหลักสำหรับโครงการอาวุธของเกาหลีเหนือ—มากกว่าผลรวมของการส่งออกถ่านหิน การขายอาวุธ และการส่งแรงงาน
[原文标题]