Những Tin Học Đánh Cắp Bắc Triều Tiên Nhắm Vào Sàn Giao Dịch Tiền Điện Tử Phemex

Những tin học đánh cắp Bắc Triều Tiên có khả năng đứng sau vụ khai thác trị giá nhiều triệu đô la của sàn giao dịch tiền điện tử Phemex, theo nhiều chuyên gia bảo mật blockchain. Vào thứ Năm, sàn giao dịch có trụ sở tại Singapore đã bị tấn công, mất hơn 70 triệu đô la giá trị của nhiều loại tiền điện tử khác nhau.

Sàn giao dịch có trụ sở tại Singapore đã ngừng rút tiền vào đầu ngày thứ Năm sau khi được báo động về các hoạt động đáng ngờ từ một số công ty bảo mật blockchain. Khoảng 30 triệu đô la đã bị rút ra vào thời điểm đó, mặc dù có vẻ như cuộc tấn công vẫn tiếp tục và nhiều token đã bị đánh cắp.

“Khi chúng tôi điều tra một báo cáo về một trong những ví nóng của chúng tôi, xin hãy yên tâm rằng các ví lạnh của chúng tôi vẫn an toàn và có thể được kiểm tra bởi tất cả mọi người ở đây. Chúng tôi sẽ đăng thêm thông tin cập nhật trong thời gian ngắn,” Giám đốc điều hành Phemex, Federico Variola, đã nói trên X.

Cuộc tấn công này có vẻ theo một mô hình mối đe dọa tương tự như những vụ khai thác sàn giao dịch tiền điện tử nổi bật khác.

“Mỗi vụ trộm hoặc lừa đảo đều có hành vi trên chuỗi đặc thù riêng có thể cho bạn biết rất nhiều về
những gì có thể đã xảy ra, có bao nhiêu người tham gia, và chỉ ra xem tác nhân đe dọa có nhiều kinh nghiệm hơn hay ít hơn,” Taylor Monahan, nhà nghiên cứu an ninh chính cho MetaMask, nói với The Block.

“Trong trường hợp này, chúng ta thấy một lượng lớn tài sản khác nhau bị rút cạn đồng thời trên nhiều chuỗi. Các token sau đó ngay lập tức được trao đổi lấy tài sản gốc, bắt đầu với các stablecoin có thể bị đóng băng và sau đó làm việc theo danh sách theo giá trị,” Monahan bổ sung.

Giống như nhiều cuộc tấn công, những kẻ tấn công dường như đã nhắm tới các tài sản lớn trước, rút cạn BTC, ETH và SOL ngay từ đầu bên cạnh các stablecoin. Đáng chú ý, họ đã nhanh chóng đổi hàng triệu đô la USDC và USDT bị đánh cắp, có thể bị đóng băng, lấy ETH.

Theo thời gian, những kẻ tấn công đã nhắm tới các token ít được biết đến hơn, với ba giao dịch cuối cùng liên quan đến $1,000 trị giá ARPA, $997 trị giá ZRC, và $1,020 trị giá NKN. Hàng trăm token khác nhau đã bị đánh cắp, thường để lại vài xu của các altcoin ít được biết đến trong ví của sàn giao dịch.

“Tất cả các
hoạt động này đang diễn ra đồng thời, nhưng nó không theo kịch bản,” Monahan nói. “Tài sản được gửi thủ công đến các địa chỉ mới để hoán đổi và sau đó được chuyển đến một địa chỉ mới khác khi chúng hoàn tất. Những tài sản đó sẽ nằm thơ thẩn cho đến khi nhóm rửa tiền thực sự đến lấy vào tuần sau hoặc tháng sau.”

Do số lượng giao dịch và đa dạng các chuỗi khối được nhắm đến, cuộc tấn công này có khả năng được thực hiện bởi “một nhóm các tác nhân đe dọa đã làm điều này nhiều lần trước đây,” Monahan cho biết.

SomaXBT.eth, một “nhà điều tra các mối đe dọa tiền điện tử” bí danh, đã gợi ý rằng một nhóm liên kết với hoặc có trụ sở tại Bắc Triều Tiên có khả năng đứng sau cuộc tấn công.

“Đường tấn công tương tự như các cuộc tấn công của họ,” ông nói. “Tôi chưa bao giờ thấy hoạt động của họ trên các chuỗi khác.”

Một nhà nghiên cứu an ninh ẩn danh khác lưu ý rằng cuộc tấn công này khiến họ nhớ đến TraderTraitor, nhóm được nhà nước tài trợ mà FBI tin rằng đứng sau cuộc tấn công 308 triệu đô la vào nền tảng giao dịch Nhật Bản DMM.

Theo Etherscan, ít nhất 275 giao dịch
liên quan đến các chuỗi EVM, với ít nhất tám địa chỉ được sử dụng để rút tài sản trên chuỗi cơ sở Ethereum, bên cạnh các địa chỉ cho Layer 2 như Arbitrum, Base, Polygon, Optimism và zkSync.

Ví chính liên quan đến vụ tấn công, bắt đầu với 0x5b34, đã thấy ít nhất 44 triệu đô la chảy qua nó, bao gồm các địa chỉ để rút tài sản trên Avalanche, Binance Smart Chain, Polkadot, Solana và Tron.

Ít nhất 16 triệu đô la giá trị SOL, 12 triệu đô la trong XRP và 5 triệu đô la trong bitcoin đã bị đánh cắp, theo nhiều khám phá blockchain khác nhau.

Phemex vẫn giữ khoảng 1,8 tỷ đô la tài sản tiền điện tử, chủ yếu là token sàn giao dịch của nó, PT, chiếm 1,1 tỷ đô la. Các khoản nắm giữ lớn tiếp theo của nó bao gồm 355 triệu đô la trong bitcoin và 209 triệu đô la trong USDT.

Sàn giao dịch, xếp hạng 55 theo khối lượng và 37 theo điểm tin cậy của CoinGecko, cho biết họ đang “làm việc trên một kế hoạch bồi thường” cho những người bị ảnh hưởng bởi vụ hack.

Các giao dịch liên quan đến các địa chỉ kết nối với sự khai thác dường như đã…
đã dừng lại vào khoảng 10:00 AM ET, nửa đêm giờ Bình Nhưỡng.