Vụ trộm lớn nhất trong lịch sử : Theo dõi quỹ của hacker Bybit

avatar
Jinse Finance
02-24
Bài viết này được dịch máy
Xem bản gốc

Nguồn bài viết: Elliptic; Biên tập: Jinse Finance xiaozou

Vào ngày 21 tháng 2 năm 2025, sàn giao dịch tiền Bit của Bybit có trụ sở tại Dubai đã bị đánh cắp khoảng 1,46 tỷ Bit. Báo cáo ban đầu cho thấy, kẻ tấn công đã sử dụng phần mềm độc hại để lừa sàn giao dịch phê duyệt việc chuyển tiền vào tài khoản của kẻ trộm.

Đây là vụ trộm Bit lớn nhất từ trước đến nay, vượt xa vụ Poly Network bị đánh cắp 611 triệu Bit vào năm 2021 (phần lớn số Bit đã được hacker trả lại). Thực tế, đây gần như là vụ trộm lớn nhất từng xảy ra, kỷ lục trước đó là vụ Saddam Hussein đánh cắp 1 tỷ Bit từ Ngân hàng Trung ương Iraq vào năm 2003 trước chiến tranh.

bHuwMVsBbltBu40yfaW6Bi1DbU1h27RR92VOjTUf.png

Công ty Elliptic đã phân tích nhiều yếu tố, bao gồm cả việc phân tích quá trình rửa tiền của số Bit bị đánh cắp, và kết luận rằng đối tượng đứng sau vụ trộm Bybit là nhóm Lazarus liên quan đến Triều Tiên. Kể từ năm 2017, các hacker liên quan đến Triều Tiên đã đánh cắp hơn 6 tỷ Bit, được cho là để tài trợ cho chương trình tên lửa đạn đạo của quốc gia này.

Nhóm Lazarus đã phát triển năng lực tấn công mạnh mẽ và phức tạp, không chỉ xâm nhập vào các tổ chức mục tiêu để đánh cắp Bit, mà còn có thể rửa tiền thông qua hàng nghìn giao dịch Chuỗi. Sau khi vụ trộm xảy ra, Elliptic đã hợp tác 24/7 với Bybit, các nhà cung cấp dịch vụ Bit và các nhà điều tra khác để theo dõi số Bit bị đánh cắp và ngăn chặn việc biến chúng thành tiền mặt. Là nhà cung cấp hàng đầu về giải pháp kiểm tra giao dịch và ví Bit, phần mềm của Elliptic đang cảnh báo các khách hàng toàn cầu về số Bit bị đánh cắp từ Bybit, điều này đã dẫn đến việc một phần số Bit bị đóng băng.

rPdMbA5OKnbgIHppYl2VbxPJg5iZXqQeAGPo78Cj.png

Quá trình rửa tiền của nhóm Lazarus thường tuân theo một mô hình điển hình. Bước đầu tiên là chuyển đổi tất cả các token bị đánh cắp thành tài sản Chuỗi "gốc" như ETH. Điều này là do các token có nhà phát hành, trong một số trường hợp có thể "đóng băng" ví chứa tài sản bị đánh cắp, trong khi ETH hoặc Bitcoin không có cơ quan trung ương có thể đóng băng.

Đây chính là những gì đã xảy ra trong vài phút sau vụ trộm Bybit, khi hàng tỷ Bit bị đánh cắp (như stETH và cmETH) đã được chuyển đổi thành ETH. Kẻ tấn công đã sử dụng sàn giao dịch phi tập trung (DEX) để thực hiện thao tác này, có thể là để tránh tình huống tài sản bị đóng băng khi sử dụng sàn giao dịch tập trung để rửa tiền.

Bước thứ hai trong quá trình rửa tiền là "phân lớp" số Bit bị đánh cắp để cố gắng che giấu đường dẫn giao dịch. Tính minh bạch của Chuỗi có nghĩa là các đường dẫn giao dịch này có thể được theo dõi, nhưng các chiến lược phân lớp sẽ làm phức tạp hóa quá trình theo dõi, mang lại thời gian quý báu để rửa tiền. Quá trình phân lớp có thể mang nhiều hình thức, bao gồm:

  • Chuyển tiền qua nhiều ví Bit

  • Sử dụng cầu nối xuyên chuỗi hoặc sàn giao dịch để chuyển tiền sang các Chuỗi khác

  • Chuyển đổi giữa các tài sản Bit khác nhau thông qua DEX, dịch vụ trao đổi token hoặc sàn giao dịch

  • Sử dụng "trộn tiền", chẳng hạn như Tornado Cash hoặc Cryptomixer

Nhóm Lazarus hiện đang ở giai đoạn thứ hai của quá trình rửa tiền. Trong vòng 2 giờ sau vụ trộm, số Bit bị đánh cắp đã được chuyển đến 50 ví khác nhau, mỗi ví chứa khoảng 10.000 ETH. Những ví này đang được dần dần làm sạch - tính đến 22h UTC ngày 23 tháng 2, 10% số tài sản bị đánh cắp (trị giá 140 triệu Đô la) đã được chuyển ra khỏi những ví này.

Một khi tiền đã được chuyển ra khỏi những ví này, chúng sẽ được rửa tiền thông qua các dịch vụ khác nhau, bao gồm DEX, cầu nối xuyên chuỗi và sàn giao dịch tập trung. Tuy nhiên, một sàn giao dịch Bit có tên là eXch đã trở thành đồng phạm chính trong việc rửa tiền lần này. eXch nổi tiếng vì cho phép người dùng trao đổi Bit ẩn danh, điều này khiến nó trở thành công cụ để trao đổi hàng tỷ Bit từ các hoạt động tội phạm, bao gồm cả các vụ trộm do Triều Tiên thực hiện. Kể từ sau vụ tấn công, hàng chục triệu Đô la Bit bị đánh cắp từ Bybit đã được trao đổi thông qua eXch, mặc dù Bybit đã trực tiếp yêu cầu eXch ngăn chặn hoạt động này.

ETH bị đánh cắp đang dần được chuyển đổi thành Bitcoin thông qua eXch và các dịch vụ khác. Nếu tuân theo mô hình rửa tiền trước đây, chúng ta có thể sẽ thấy việc sử dụng trộn tiền để làm rối đường dẫn giao dịch thêm. Tuy nhiên, do quy mô số Bit bị đánh cắp rất lớn, điều này có thể sẽ gặp một số thách thức.

Nhóm Lazarus của Triều Tiên là nhóm rửa tiền Bit "chuyên nghiệp" và giàu nguồn lực nhất hiện nay, họ liên tục điều chỉnh kỹ thuật để tránh bị phát hiện và thu hồi số Bit bị đánh cắp. Ngay từ những phút đầu tiên sau vụ trộm Bybit, đội ngũ Elliptic đã hợp tác 24/7 với Bybit, khách hàng và các nhà điều tra khác để theo dõi số tiền này và ngăn chặn chính quyền Triều Tiên được hưởng lợi từ nó.

Nguồn
Tuyên bố từ chối trách nhiệm: Nội dung trên chỉ là ý kiến của tác giả, không đại diện cho bất kỳ lập trường nào của Followin, không nhằm mục đích và sẽ không được hiểu hay hiểu là lời khuyên đầu tư từ Followin.
Thích
Thêm vào Yêu thích
Bình luận
Nội dung liên quan
Followin logo
loading indicator
Loading..