Lazarus Group và Chiến lược Rửa Tiền Tinh Vi Sau Vụ Hack Bybit: ThorChain Được Sử Dụng Làm Cầu Nối Chính

Sau vụ hack sàn giao dịch Bybit trị giá 1,4 tỷ USD, hai tổ chức nghiên cứu blockchain hàng đầu, Nansen và Chainalysis, đã công bố những phát hiện về chiến lược rửa tiền tinh vi của nhóm tin tặc Lazarus Group. Với việc sử dụng nhiều phương pháp khác nhau để né tránh các công cụ theo dõi và giám sát, Lazarus đã triển khai một loạt hành động phức tạp, từ chuyển đổi tài sản kém thanh khoản sang các loại tài sản có tính thanh khoản cao đến việc chia nhỏ dòng tiền qua nhiều ví và nền tảng phi tập trung (DeFi).

Chuyển Đổi Tài Sản Để Dễ Dàng Rửa Tiền

Theo Nansen, chiến lược của Lazarus Group bắt đầu bằng việc chuyển đổi các tài sản kém thanh khoản thành những tài sản dễ di chuyển hơn trên chuỗi. Sau khi tấn công Bybit, tin tặc đã thực hiện các giao dịch chuyển đổi ít nhất 200 triệu USD từ các loại token bị khóa (stake) sang Ethereum (ETH), một trong những tài sản có tính thanh khoản cao nhất trong thị trường tiền mã hóa. Điều này giúp họ dễ dàng thao tác và di chuyển số tiền bị đánh cắp.

Bước tiếp theo trong quá trình rửa tiền là tạo ra các giao dịch phức tạp qua nhiều ví trung gian nhằm đánh lạc hướng các công cụ theo dõi dòng tiền trên blockchain. Chainalysis ghi nhận rằng số tiền này đã được rửa qua các sàn giao dịch phi tập trung (DEX), cầu nối chuỗi chéo (cross-chain bridges), và các dịch vụ hoán đổi không yêu cầu xác minh danh tính (KYC). Cuối cùng, phần lớn ETH bị đánh cắp đã được chuyển đổi thành Bitcoin (BTC) và các stablecoin như Dai (DAI), giúp Lazarus dễ dàng hơn trong việc rút tiền hoặc tiếp tục di chuyển tài sản trên các nền tảng khác.

Sử Dụng ThorChain Để Chuyển Sang Bitcoin

Một phần quan trọng trong chiến lược rửa tiền của Lazarus Group là chuyển ETH sang Bitcoin thông qua ThorChain, một nền tảng DeFi được Lazarus ưu tiên. Theo Taylor Monahan, trưởng bộ phận bảo mật của MetaMask, hacker đã chuyển ít nhất 209.384 ETH, trị giá khoảng 480 triệu USD, sang Bitcoin. Đây là hơn một nửa số ETH bị đánh cắp từ vụ hack Bybit.

Arkham Intelligence, một tổ chức chuyên theo dõi các ví kỹ thuật số của các tổ chức hacker, cho biết ít nhất 240 triệu USD đã được rửa thông qua ThorChain, với phần lớn số tài sản được chuyển đổi thành Bitcoin nguyên bản (BTC). ThorChain trở thành một cầu nối quan trọng trong việc chuyển đổi số tài sản này từ mạng lưới Ethereum sang mạng Bitcoin.

FBI cũng đã xác nhận rằng vụ hack Bybit do nhóm hacker Bắc Triều Tiên có tên là "TraderTraitor", trong đó Lazarus Group đóng vai trò chủ chốt. FBI cũng cảnh báo rằng nhóm này đang tiến hành rửa tiền nhanh chóng và có khả năng sẽ tiếp tục chuyển đổi số tiền bị đánh cắp sang tiền pháp định trong tương lai gần.

Cách Tiếp Cận Khó Lường

Lazarus Group đã phát triển các chiến thuật ngày càng tinh vi, chia nhỏ số tiền và sử dụng nhiều giao thức khác nhau để che giấu các hoạt động của mình. Các nhà nghiên cứu blockchain đã gặp nhiều khó khăn trong việc theo dõi các giao dịch của nhóm này, do họ chia nhỏ số tiền thành hàng nghìn giao dịch, mỗi giao dịch chỉ chứa khoảng 10 ETH. Một nhà nghiên cứu ẩn danh, SomaXBT, đã chia sẻ rằng việc theo dõi ngay cả những giao dịch nhỏ này cũng khiến hệ thống của anh quá tải.

Trong vụ hack Bybit, tổng cộng 400.000 ETH (trị giá 1,1 tỷ USD tại thời điểm tấn công), 90.000 stETH, 15.000 cmETH, và 8.000 cETH đã bị Lazarus rút ra khỏi sàn giao dịch. Tuy nhiên, một phần tài sản đã bị đóng băng, bao gồm 43 triệu USD dưới dạng cmETH, nhờ sự can thiệp kịp thời của một số tổ chức theo dõi.

ThorChain và Phản Ứng Cộng Đồng

ThorChain đã gặp phải nhiều chỉ trích khi không có biện pháp ngăn chặn các giao dịch liên quan đến vụ hack Bybit. Theo thống kê từ Monahan, hacker đã thực hiện 3.934 giao dịch qua ThorChain trong vòng 115 giờ sau vụ hack, với tổng số 161.490 ETH (trị giá 370 triệu USD) được chuyển đổi. Điều này đã khiến nhiều thành viên trong cộng đồng lo ngại về tác động của số tiền này đến thị trường, đặc biệt là đối với giá trị của Bitcoin. Mặc dù giá của RUNE, token gốc của ThorChain, đã tăng lên 1,60 USD sau vụ hack, nhưng vẫn thấp hơn rất nhiều so với mức cao nhất mọi thời đại là 19,30 USD vào năm 2024.

Một số thành viên trong cộng đồng ThorChain đã cố gắng ngăn chặn các giao dịch liên quan đến số tiền bị đánh cắp bằng cách bỏ phiếu để từ chối chúng. Tuy nhiên, do cơ chế đồng thuận phi tập trung của ThorChain, quyết định này đã bị đảo ngược chỉ sau vài phút.

Bybit đã nhanh chóng phản ứng bằng cách cung cấp phần thưởng lên đến 5% cho bất kỳ sàn giao dịch, cầu nối hoặc dịch vụ trộn tiền nào có thể giúp đóng băng số tiền liên quan đến vụ hack. Đây là phần mở rộng của khoản thưởng 10% trước đó dành cho bất kỳ ai có thể trả lại số tiền bị đánh cắp.

Tương Lai của Cuộc Chiến Chống Rửa Tiền Tiền Điện Tử

Với số tiền bị đánh cắp lớn và chiến lược rửa tiền ngày càng phức tạp, Lazarus Group vẫn là một trong những tổ chức tội phạm mạng nguy hiểm nhất thế giới. Việc theo dõi và đóng băng tài sản bị đánh cắp vẫn là một thách thức lớn đối với các nhà phân tích blockchain và các cơ quan thực thi pháp luật.

Cuộc chiến chống lại rửa tiền trong lĩnh vực tiền điện tử vẫn còn nhiều tranh cãi. Một số người cho rằng việc duy trì tính phi tập trung và sự tự do tài chính của blockchain là quan trọng, trong khi những người khác lo ngại về các rủi ro pháp lý mà các nền tảng như ThorChain có thể phải đối mặt khi vô tình trở thành công cụ cho các hoạt động tội phạm mạng.

Vụ hack Bybit không chỉ là một trong những vụ trộm tiền điện tử lớn nhất từ trước đến nay mà còn là một dấu mốc quan trọng trong cuộc chiến giữa các tổ chức tội phạm mạng và hệ sinh thái tiền điện tử toàn cầu. Cùng với các biện pháp mạnh mẽ từ phía các sàn giao dịch và các tổ chức nghiên cứu, việc ngăn chặn các hoạt động rửa tiền đang là một trong những ưu tiên hàng đầu của cộng đồng tiền mã hóa.