Vụ hack 1,4 tỷ USD của Bybit tiếp tục có những diễn biến mới khi hacker tiến hành tẩu tán số ETH khi chuyển sang BTC trên mạng lưới Bitcoin thông qua ThorChain.
ThorChain bị chỉ trích vì “làm ngơ” để hacker Bybit rửa tiền
Vào rạng sáng ngày 28/02, nền tảng phân tích dữ liệu on-chain Arkham Intelligence cho biết ít nhất 240 triệu USD bị đánh cắp trong vụ hack Bybit gây thiệt hại hơn 1,5 tỷ USD được nhóm hacker Triều Tiên Lazarus Group tẩu tán thông qua ThorChain, sàn DEX cho phép hoán đổi trực tiếp các loại tiền mã hóa từ blockchain này sang blockchain khác một cách an toàn mà không cần qua trung gian tập trung. Phần lớn số ETH đó đều được chuyển đổi qua BTC trên mạng Bitcoin.
Chỉ vài tiếng sau đó, tài khoản beetle (@1kbeetlejuice) đã tạo một bảng điều khiển dữ liệu trên Dune Analytics để theo dõi các dòng tiền từ ETH sang BTC thông qua ThorChain kể từ khi vụ hack xảy ra vào ngày 21/02. Từ đó xác định được các khoản tiền gửi có liên quan đến hacker, cung cấp bức tranh rõ ràng hơn về quy mô hoạt động rửa tiền của Lazarus Group.
Kết quả cho ra rất đáng báo động khi 93% số tiền gửi qua ThorChain từ ngày 21/02 đều có nguồn gốc từ các ví hacker. Điều này cho thấy Lazarus Group đang chi phối phần lớn thanh khoản trên ThorChain, biến nền tảng này thành công cụ rửa tiền chủ chốt trong vụ hack Bybit.
Tính tới thời điểm viết bài, Lazarus Group đã chuyển tổng cộng 221.124 ETH ( khoảng 466,2 triệu USD) qua ThorChain để thực hiện hoán đổi số tiền này sang BTC trên mạng Bitcoin.
Trước khi 221.124 ETH được chuyển qua ThorChain, hacker đã sử dụng một loạt công cụ, ứng dụng để phân tán và che giấu dấu vết giao dịch. Theo dữ liệu on-chain, chúng đã sử dụng Asgardex, DeFiSwap, FortunaSwap, GemWallet, LiFi, ShapeShift, TrustWallet, cùng nhiều nền tảng khác nhằm tăng cường tính ẩn danh và tẩu tán tài sản một cách hiệu quả.
Dòng tiền khổng lồ từ Lazarus Group cũng đẩy khối lượng giao dịch trên ThorChain lên mức cao nhất trong lịch sử, đạt kỷ lục 737 triệu USD trong ngày 27/02.
Với số ETH đã tẩu tán thành công qua ThorChain, Lazarus Group hiện đã rửa được hơn 270.000 ETH (tương đương 605 triệu USD), chiếm 54% tổng số ETH bị đánh cắp. Dù vậy, chúng vẫn đang nắm giữ 229.395 ETH (khoảng 514 triệu USD) tính tới sáng ngày 28/02.
Có thể thấy Lazarus Group đang tận dụng hai cầu nối phi lưu ký chính để rửa tiền là ThorChain và eXch. Tuy nhiên, giữa lúc bị nghi ngờ là công cụ giúp Lazarus tẩu tán hơn 94,2 triệu USD, eXch bất ngờ vô hiệu hóa giao dịch hoán đổi ETH và token ERC-20, làm gián đoạn quá trình chuyển đổi tài sản bị đánh cắp sang Bitcoin.
Động thái này có thể đã thay đổi kế hoạch rửa tiền của Lazarus Group, buộc nhóm hacker phải tìm kiếm phương án thay thế với ThorChain đang trở thành lựa chọn hàng đầu. Điều này cũng đồng nghĩa với việc ThorChain có nguy cơ trở thành tâm điểm trong cuộc điều tra rửa tiền lớn nhất lịch sử crypto khi nền tảng này dần trở thành mắt xích quan trọng nhất trong hoạt động tẩu tán tài sản của Lazarus.
Dòng tiền bẩn từ vụ hack Bybit chảy qua ThorChain không chỉ thu hút sự chú ý của giới phân tích mà còn làm dấy lên nhiều tranh cãi gay gắt. Ngày 25/02, trong một cuộc tranh luận với lập trình viên trưởng của ThorChain là Pluto, chuyên gia nghiên cứu tại Paradigm, samczsun đã chỉ ra ba yếu tố khiến ThorChain trở thành công cụ bị hacker Triều Tiên lợi dụng, khác biệt hoàn toàn so với các sàn DEX phổ biến như Uniswap hay Curve trong đó:
Pluto không phủ nhận rằng ThorChain đang gặp vấn đề nhưng nhấn mạnh rằng việc phát hiện và ngăn chặn giao dịch rửa tiền bằng cách cấm các địa chỉ ví trong danh sách của OFAC không hề đơn giản:
Tuy nhiên, vấn đề không còn nằm ở việc ThorChain có thể chặn giao dịch hay không, mà là cơ chế hoạt động của chính nền tảng này đang tiếp tay cho hoạt động rửa tiền của hacker Triều Tiên. Mặc dù vậy. đội ngũ ThorChain đến nay vẫn chưa có bất kỳ động thái cụ thể nào để ngăn chặn tình trạng này. Sự im lặng kéo dài của họ đã dấy lên những hoài nghi trong cộng đồng, đặt câu hỏi liệu ThorChain thực sự bất lực hay đang cố tình làm ngơ trước dòng tiền phi pháp?
Tài khoản Ed (@AirdropGlideapp) cho biết trên X:
Ngay sau khi ThorChain bị chỉ trích vì trở thành công cụ rửa tiền chính của Lazarus, lập trình viên trưởng của ThorChain, Pluto đã thông báo rút lui khỏi dự án. Trong bài đăng chia tay, ông chia sẻ:
Sự ra đi của Pluto đánh dấu một bước ngoặt lớn đối với ThorChain bởi ông là một trong những nhân tố quan trọng giúp dự án phát triển và vận hành ổn định trong nhiều năm qua.
Không chỉ Pluto, TCB – một trong ba validator đã bỏ phiếu chặn giao dịch ETH trên ThorChain để ngăn Lazarus Group rửa tiền – cũng lên tiếng mạnh mẽ về vấn đề này. Ông tuyên bố sẽ rời khỏi dự án nếu ThorChain không nhanh chóng tìm ra giải pháp để ngăn chặn dòng tiền từ hacker Triều Tiên.
Trước đó, khi phát hiện các giao dịch đáng ngờ từ vụ hack Bybit, ba validator đã bỏ phiếu chặn các giao dịch liên quan đến hacker, tạm thời làm gián đoạn dòng tiền bẩn. Tuy nhiên, lệnh chặn này nhanh chóng bị hủy bỏ chỉ sau vài phút, khiến hacker tiếp tục rửa tiền thông qua giao thức này.
Nguyên nhân nằm ở cơ chế đồng thuận của ThorChain, trong đó việc chặn giao dịch không phải là quyết định vĩnh viễn mà hoàn toàn phụ thuộc vào phiếu bầu của các validator sau đó. Cụ thể, cần ít nhất 3 validator chấp thuận để tạm dừng một giao dịch nhưng chỉ cần 4 validator phản đối, lệnh chặn sẽ ngay lập tức bị hủy bỏ.
Theo TCB, với việc hơn 50% thanh khoản trên ThorChain đang bị chi phối bởi Lazarus Group, đây không còn đơn thuần là vấn đề của ngành crypto, mà đã trở thành một mối đe dọa an ninh quốc gia.
Bên cạnh đó, TCB cũng thẳng thắn chỉ ra rằng ThorChain không hề phi tập trung như cộng đồng vẫn nghĩ, bởi phần lớn hạ tầng của dự án vẫn do một nhóm nhỏ kiểm soát khi:
TCB cũng nhận định rằng việc duy trì full node cho mọi blockchain được hỗ trợ trên ThorChain khiến quá trình triển khai validator mới trở nên cực kỳ phức tạp, dẫn đến việc chỉ có một số ít người thực sự vận hành mạng lưới.
Ngay sau khi thông tin trên được công bố, giá RUNE lao dốc hơn 16,2% trong 24 giờ qua và hiện đang dao động quanh mức 1,31 USD. Tuy nhiên, đà giảm này không chỉ đến từ những bê bối mà ThorChain vướng phải mà còn bị ảnh hưởng bởi cú sụt giảm mạnh trên toàn thị trường sau khi Donald Trump tuyên bố áp thuế bổ sung lên Trung Quốc.
Biến động giá RUNE trong 24 giờ qua, ảnh chụp màn hình trên CoinGecko lúc 02:15 PM ngày 28/02/2025
Coin68 tổng hợp
