Vụ hack sàn tiền điện tử lớn nhất Iran, Nobitex, trị giá 90 triệu đô la đã thu hút sự chú ý toàn cầu. Tuy nhiên, dữ liệu blockchain mới được tiết lộ cho thấy sự việc này đã phơi bày những vấn đề lớn hơn.
Theo báo cáo pháp y của công ty thông tin blockchain Global Ledger, Nobitex đã hệ thống di chuyển các quỹ của người dùng bằng cách sử dụng các kỹ thuật liên quan đến rửa tiền vài tháng trước vụ tấn công vào ngày 18 tháng 6.
Nobitex Iran, rửa tiền trước khi bị hack?
Theo dữ liệu on-chain, Nobitex đã sử dụng phương pháp gọi là phishing. Đây là phương pháp chia Bitcoin thành các mảnh nhỏ và di chuyển qua các ví ngắn hạn.
Kỹ thuật này làm khó việc truy vết quỹ và thường được sử dụng để che giấu nguồn gốc của quỹ. Trong trường hợp của Nobitex, các nhà phân tích đã phát hiện ra một mẫu BTC tuần hoàn ở mức 30 đồng xu nhất quán.
Global Ledger cũng phát hiện ra rằng Nobitex đã sử dụng các địa chỉ gửi/rút tiền tạm thời. Đây được biết đến như là giao dịch chip-off. Những địa chỉ một lần sử dụng này đưa BTC vào các ví mới, che giấu các tuyến thanh khoản.
'Ví giải cứu' không phải là mới
Sau vụ hack, Nobitex cho rằng họ đã di chuyển số quỹ còn lại như một biện pháp an toàn. Hoạt động on-chain cho thấy 1801 BTC (trị giá khoảng 187,5 triệu đô la) đã được chuyển đến một ví mới được tạo.
Tuy nhiên, ví này không phải là mới. Dữ liệu blockchain theo dõi các bản ghi sử dụng trở lại tháng 10 năm 2024. Ví này đã thu thập các quỹ chip-off trong thời gian dài.
"Ví giải cứu" này đã nhận được nhiều giao dịch 20-30 BTC tuân theo các mẫu rửa tiền tương tự ngay cả trước khi xảy ra vụ hack.
Hoạt động sau khi hack, kiểm soát liên tục
Vài giờ sau vụ hack, Nobitex đã di chuyển quỹ từ ví nóng bị lộ sang các địa chỉ nội bộ khác. Việc di chuyển toàn bộ số dư này cho thấy Nobitex vẫn duy trì quyền kiểm soát hoạt động.
Vào ngày 19 tháng 6, các điều tra viên đã quan sát 1783 BTC được chuyển đến một ví đích mới. Điều này phù hợp với tuyên bố bảo vệ tài sản của Nobitex, nhưng giờ đây đã được bổ sung thêm bối cảnh.
Luồng này cho thấy thay vì phản ứng với vụ hack, Nobitex đã tuân theo kế hoạch rửa tiền hiện có.
Nhóm hack thân Israel Gonjeshke Darande đã công bố các tập tin phơi bày cấu trúc ví nội bộ của Nobitex.
Vụ hack đã gây sốc cho người dùng, nhưng dữ liệu blockchain cho thấy Nobitex đã di chuyển quỹ theo cách này trong nhiều tháng.
Các ví cũ liên quan đến sàn giao dịch đã định kỳ chuyển Bitcoin sang các ví mới. Tại đó, các quỹ được chia thành các khoản nhỏ hơn và di chuyển lại. Thường được chuyển theo đơn vị 20 hoặc 30 BTC.
Phương pháp này làm khó việc truy vết quỹ đi đâu. Điều này tương tự như cách một số người che giấu dấu vết khi di chuyển tiền điện tử.
Điều quan trọng là điều này không phải là do Nobitex bắt đầu sau vụ hack. Họ đã làm như vậy từ lâu và tiếp tục sau vụ hack. Như thể đó là quy trình tiêu chuẩn.
Đặc biệt, một ví—bc1q…rrzq—liên tục xuất hiện. Ví này đã nhận nhiều khoản tiền gửi của người dùng và dường như là điểm khởi đầu cho các giao dịch di chuyển quỹ khó truy vết này.
Tóm lại, vụ hack đã không thay đổi cách Nobitex xử lý quỹ. Nó chỉ phơi bày các hoạt động riêng tư đang diễn ra với công chúng.
