Các hacker Bắc Triều Tiên đã bắt đầu rửa tiền được đánh cắp từ Bybit, với công ty phân tích blockchain Elliptic theo dõi hơn 140 triệu USD trong các giao dịch ban đầu được thiết kế để che giấu dấu vết của số tiền.
Số tiền bị đánh cắp đang được chuyển một cách có hệ thống qua các sàn giao dịch ẩn danh trước khi được chuyển đổi thành Bitcoin, một quá trình làm cho việc truy tìm và thu hồi tài sản trở nên khó khăn hơn, công ty này viết trong một bài đăng trên blog vào thứ Bảy.
"Bước thứ hai của quá trình rửa tiền là 'phân lớp' số tiền bị đánh cắp để cố gắng che giấu dấu vết giao dịch," Elliptic viết. "Dấu vết giao dịch này có thể được theo dõi, nhưng những chiến thuật phân lớp này có thể làm phức tạp quá trình truy tìm, mua thời gian quý báu cho những kẻ rửa tiền để chuyển đổi tài sản."
Vụ tấn công kỹ thuật xã hội trị giá 1,46 tỷ USD, xảy ra vào thứ Sáu và chủ yếu bao gồm Ethereum, là vụ trộm lớn nhất trong lịch sử tiền điện tử, vượt qua vụ trộm 611 triệu USD từ Poly Network vào năm 2021.
Elliptic và Arkham Intelligence đã liên kết vụ tấn công này với Nhóm Lazarus của Bắc Triều Tiên, dẫn chiếu đến việc sử dụng các sàn giao dịch phi tập trung và các dịch vụ khác, bao gồm cầu nối liên mạng và dịch vụ hoán đổi tiền xu, trong nỗ lực làm mờ dấu vết.
"Nếu tuân theo các mẫu rửa tiền trước đây, chúng tôi có thể mong đợi thấy việc sử dụng các bộ trộn tiền tiếp theo để làm mờ dấu vết giao dịch hơn nữa," nó nói. Tuy nhiên, điều đó có thể gặp khó khăn do "khối lượng giao dịch lớn của tài sản bị đánh cắp."
Trong vòng vài giờ sau vụ trộm, các kẻ tấn công đã phân phối số tài sản bị đánh cắp trên 50 ví khác nhau, mỗi ví chứa khoảng 10.000 ETH. Số tiền này hiện đang được rút và chuyển đổi thành Bitcoin một cách có hệ thống, theo Elliptic.
Trước tiên, các kẻ tấn công đã chuyển đổi các token bị đánh cắp như stETH và cmETH thành Ethereum bằng cách sử dụng các sàn giao dịch phi tập trung, có khả năng để tránh các lệnh đóng băng tài sản tiềm năng.
Điều này phù hợp với sổ tay rửa tiền điển hình của Nhóm Lazarus, đó là chuyển đổi các token bị đánh cắp thành tài sản blockchain "bản địa" trước khi làm mờ dấu vết hơn nữa, Elliptic viết.
Cho đến nay, nhóm này đã đánh cắp hơn 3 tỷ USD tài sản tiền điện tử kể từ năm 2017, được cho là đã tài trợ cho chương trình tên lửa đạn đạo của Bắc Triều Tiên bằng số tiền thu được, theo một báo cáo của Liên Hợp Quốc năm ngoái, mặc dù con số này được cho là còn cao hơn nhiều, Elliptic lưu ý.
Do vụ trộm vào Chủ nhật, Bybit hiện đang đối mặt với áp lực từ việc rút tiền của người dùng, những người đã rút khoảng 23.000 BTC từ ví nóng của Bybit, dữ liệu từ Arkham Intelligence cho thấy.
Các ví chính của sàn giao dịch cho thấy số dư Bitcoin của họ đã giảm từ 70.000 BTC xuống chỉ hơn 52.000 BTC, cho thấy một dòng chảy ra khoảng 1,7 tỷ USD kể từ chiều thứ Sáu.
Phân tích thêm cho thấy Bybit đã chứng kiến dòng chảy ra tổng cộng 6 tỷ USD trên các loại tiền điện tử khác.
Elliptic và những người khác, bao gồm cả ZachXBT, cũng đã chỉ ra rằng sàn giao dịch tiền điện tử ẩn danh eXch đã xử lý "hàng chục triệu USD" tài sản bị đánh cắp từ vụ hack này mặc dù Bybit đã có yêu cầu trực tiếp để chặn hoạt động này.
"Ethereum bị đánh cắp đang được chuyển đổi một cách ổn định thành Bitcoin, sử dụng eXch và các dịch vụ khác," Elliptic viết vào Chủ nhật.
Một phản hồi email được cho là từ eXch, lưu trữ trên X vào thứ Bảy và được Elliptic trích dẫn, cho rằng sàn giao dịch tiền điện tử này đã chọn không công nhận các yêu cầu từ Bybit, với lý do rằng Bybit đã "tấn công trực tiếp vào uy tín" của họ trong quá khứ.
"Thật khó để chúng tôi hiểu được mong đợi về sự hợp tác" từ một tổ chức đã "chủ động làm suy yếu uy tín của chúng tôi," email từ eXch viết.
Sàn giao dịch này không phản hồi ngay lập tức yêu cầu bình luận của Decrypt.
Trong một bài đăng trên diễn đàn Bitcoin vào Chủ nhật, eXch tuyên bố các cáo buộc rằng họ đang tạo điều kiện cho rửa tiền là không đúng sự thật.
"Chúng tôi không rửa tiền cho Lazarus/CHDCND Triều Tiên," eXch viết, với lý do rằng một cáo buộc như vậy là "quan điểm của một số người muốn sự khả dụng và quyền riêng tư trên chuỗi của các đồng tiền phi tập trung biến mất."
Nó thêm rằng: "Phần không đáng kể của quỹ đã được xử lý bởi chúng tôi từ vụ hack Bybit trong một trường hợp riêng lẻ sẽ được quyên góp cho các sáng kiến nguồn mở dành cho quyền riêng tư và bảo mật, cả trong và ngoài không gian tiền điện tử."
Biên tập bởi Sebastian Sinclair
