Tin tặc Triều Tiên đã bắt đầu rửa tiền từ nguồn quỹ bị đánh cắp từ Bybit, với công ty phân tích blockchain Elliptic theo dõi hơn 140 triệu đô la trong các giao dịch ban đầu nhằm che giấu các dấu vết tiền.
Các quỹ bị đánh cắp đang được chuyển giao một cách có hệ thống qua các sàn giao dịch ẩn danh trước khi được chuyển đổi thành Bitcoin, một quy trình khiến việc truy vết và thu hồi tài sản trở nên khó khăn hơn, công ty viết trong một bài đăng trên blog vào thứ Bảy.
“Bước thứ hai của quy trình rửa tiền là ‘tầng’ các quỹ bị đánh cắp nhằm cố gắng che giấu dấu vết giao dịch,” Elliptic viết. “Dấu vết giao dịch này có thể được theo dõi, nhưng các chiến thuật tạo tầng này có thể làm phức tạp quá trình truy vết, mua cho những kẻ rửa tiền thời gian quý giá để rút tiền từ tài sản.”
Cuộc tấn công kỹ thuật xã hội trị giá 1,46 tỷ đô la, diễn ra vào thứ Sáu và chủ yếu bao gồm Ethereum, là vụ trộm lớn nhất trong lịch sử crypto, vượt qua 611 triệu đô la bị đánh cắp từ Poly Network vào năm 2021.
Elliptic và Arkham Intelligence đã liên kết cuộc tấn công.
để nhóm Lazarus của Bắc Triều Tiên, trích dẫn việc sử dụng các sàn giao dịch phi tập trung và các dịch vụ khác, bao gồm cả cầu nối giữa các chuỗi và dịch vụ hoán đổi coin nhằm đánh lừa dấu vết.
“Nếu các mẫu rửa tiền trước đây được thực hiện, chúng ta có thể kỳ vọng sẽ thấy việc sử dụng mixer bên cạnh việc làm mờ dấu vết giao dịch,” họ cho biết. Tuy nhiên, điều đó có thể gặp khó khăn do “khối lượng tài sản bị đánh cắp khổng lồ.”
Chỉ vài giờ sau vụ trộm, kẻ tấn công đã phân phối tài sản bị đánh cắp qua 50 ví khác nhau, mỗi ví giữ khoảng 10.000 ETH. Theo Elliptic, các khoản tiền hiện đang được rút ra một cách có hệ thống và chuyển đổi sang Bitcoin.
Kẻ tấn công đầu tiên đã chuyển đổi các token bị đánh cắp như stETH và cmETH sang Ethereum bằng cách sử dụng các sàn giao dịch phi tập trung, có khả năng để tránh việc phong tỏa tài sản tiềm năng.
Điều này phù hợp với sách hướng dẫn rửa tiền điển hình của nhóm Lazarus, việc chuyển đổi các token bị đánh cắp sang tài sản “gốc” của blockchain trước khi làm mờ dấu vết thêm, Elliptic viết.
Cho đến nay, nhóm đã đánh cắp hơn 3 tỷ đô la trong
t đồng tiền mã hóa kể từ năm 2017, báo cáo rằng đã tài trợ cho chương trình tên lửa đạn đạo của Triều Tiên bằng số tiền thu được, theo báo cáo của Liên Hợp Quốc năm ngoái, mặc dù con số đó bị nghi ngờ là cao hơn nhiều, Elliptic cho biết.
Kết quả của vụ đánh cắp vào Chủ nhật, Bybit hiện đang phải đối mặt với áp lực từ việc người dùng rút tiền, những người đã rút khoảng 23.000 BTC từ ví nóng của Bybit, dữ liệu từ Arkham Intelligence cho thấy.
Ví chính của sàn giao dịch cho thấy số dư Bitcoin của nó đã giảm từ 70.000 BTC xuống chỉ còn hơn 52.000 BTC, cho thấy một dòng tiền rời khoảng 1,7 tỷ đô la kể từ chiều thứ Sáu.
Phân tích thêm cho thấy Bybit đã chứng kiến tổng dòng ra là 6 tỷ đô la trên nhiều loại tiền mã hóa khác nhau.
Sàn giao dịch tiền mã hóa ẩn danh bị đổ lỗi
Elliptic và những người khác, bao gồm ZachXBT, cũng đã chỉ ra sàn giao dịch tiền mã hóa ẩn danh eXch như đã xử lý “hàng chục triệu đô la” tài sản bị đánh cắp từ vụ tấn công mặc dù đã có yêu cầu trực tiếp từ Bybit để chặn hoạt động này.
“Ethereum bị đánh cắp đang được chuyển đổi liên tục sang Bitc
Xin chào, sử dụng eXch và các dịch vụ khác,” Elliptic viết hôm Chủ nhật.
Một phản hồi qua email được cho là từ eXch, được lưu trữ trên X vào thứ Bảy và được Elliptic trích dẫn, cho rằng sàn giao dịch tiền điện tử đã chọn không công nhận các yêu cầu từ Bybit, tuyên bố rằng bên thứ hai đã thực hiện “các cuộc tấn công trực tiếp vào danh tiếng” của bên thứ nhất trong quá khứ.
“Thật khó cho chúng tôi để hiểu mong đợi về sự hợp tác” từ một tổ chức đã “chủ động làm suy yếu danh tiếng của chúng tôi,” email từ eXch đọc.
Sàn giao dịch này đã không ngay lập tức phản hồi yêu cầu bình luận từ Decrypt.
Trong một bài viết trên diễn đàn Bitcoin vào Chủ nhật, eXch tuyên bố rằng các cáo buộc cho rằng họ đang tạo điều kiện rửa tiền là không đúng sự thật.
“Chúng tôi không rửa tiền cho Lazarus/DPRK,” eXch viết, tuyên bố rằng cáo buộc như vậy là “quan điểm của một số người mong muốn rằng tính thanh khoản và quyền riêng tư trên chuỗi của các đồng tiền phi tập trung sẽ biến mất.”
Nó đã thêm: “Phần không đáng kể của các quỹ đã được xử lý bởi chúng tôi từ vụ hack Bybit trong một trường hợp riêng lẻ sẽ…
sẽ được quyên góp cho nhiều sáng kiến mã nguồn mở dành riêng cho quyền riêng tư và bảo mật cả bên trong lẫn bên ngoài lĩnh vực tiền điện tử.”
Chỉnh sửa bởi Sebastian Sinclair
Bình luận (0)