Nhóm Lazarus có liên hệ với Triều Tiên rửa 1,95 triệu đô la tiền điện tử sau vụ trộm Solana
Một vụ trộm tiền điện tử lén lút có nguồn gốc từ Nhóm Lazarus của Triều Tiên đã làm rung chuyển hệ sinh thái Solana và Ethereum, sau khi tin tặc rút 3,2 triệu đô la tài sản kỹ thuật số và chuyển tiền thông qua một trong những công cụ bảo mật gây tranh cãi nhất trong tiền điện tử—Tornado Cash.
Tiền được chuyển từ Solana sang Ethereum trong cuộc tấn công phối hợp
Vào ngày 16 tháng 5 năm 2025, ví trên mạng Solana đã bị rút hết tiền trong một vụ vi phạm có chủ đích.
Các nhà phân tích blockchain đã đánh dấu dòng tiền đầu tiên chảy ra từ địa chỉ Solana được xác định là “C4WY…e525”.
Những kẻ tấn công không chần chừ mà chỉ trong vòng vài giờ, chúng đã chuyển số tài sản bị đánh cắp sang Ethereum, một mạng lưới nổi tiếng về tính thanh khoản và bộ công cụ đa dạng để hoán đổi tài sản.
Theo nhà điều tra ZachXBT, hành động này có nét tương đồng đáng kinh ngạc với các hành vi trước đây có liên quan đến Lazarus.
Nguồn: Cuộc điều tra của ZachXBT
Số tiền bị đánh cắp đã nhanh chóng được hoán đổi và chuyển qua một cầu nối chuỗi chéo, xóa bỏ dấu vết nguồn gốc rõ ràng.
Tiền mặt Tornado được sử dụng để che giấu con đường trị giá 1,95 triệu đô la
Khi đã vào được Ethereum, kẻ tấn công bắt đầu quá trình rửa tiền quen thuộc.
Vào ngày 25 và 27 tháng 6, hai khoản tiền gửi riêng biệt là 400 ETH, tổng cộng khoảng 1,6 triệu đô la, đã được chuyển vào Tornado Cash.
Các giao dịch này phù hợp với phương pháp thông thường của Lazarus: chia nhỏ các khoản tiền lớn thành nhiều phần, chuyển chúng qua các máy trộn riêng tư và phân tán chúng trên các sàn giao dịch phi tập trung.
ZachXBT, người đã theo dõi nhiều vụ khai thác tiền điện tử cấp cao trong thời gian dài, đã sớm phát hiện ra mô hình này.
Ông chỉ ra những điểm tương đồng rõ ràng giữa mô hình giao dịch này và các vụ tấn công trước đây liên quan đến Nhóm Lazarus, đồng thời nêu cách thức các khoản tiền được chuyển qua lại, chia thành các khoản tiền nhỏ hơn và chuyển qua Tornado Cash - phương pháp mà nhóm này đã sử dụng nhiều lần trong quá khứ.
Bất chấp lệnh trừng phạt đối với Tornado Cash từ năm 2022, các hợp đồng thông minh của công ty này vẫn hoạt động trên Ethereum.
Phán quyết của tòa phúc thẩm Hoa Kỳ vào tháng 1 năm 2025 về việc đảo ngược lệnh trừng phạt - viện dẫn quyền tự do ngôn luận - đã khiến việc thực thi trở nên khó khăn hơn.
Các quỹ chưa di chuyển vẫn được giữ trên Ethereum
Khoảng 1,25 triệu đô la tiền bị đánh cắp vẫn chưa được chi tiêu trong ví trên Ethereum có nhãn “0xa5…d528”.
Số dư được giữ bằng ETH và DAI, làm dấy lên sự suy đoán từ các nhà phân tích.
Một số người tin rằng số tiền này được cố tình để im để tránh bị phát hiện; những người khác cho rằng nó có thể được tái hoạt động thông qua các lớp rửa tiền mới.
Các cơ quan chức năng và công cụ giám sát blockchain có thể sẽ tiếp tục theo dõi địa chỉ này, mặc dù khả năng xóa lịch sử giao dịch của Tornado Cash sẽ làm phức tạp các nỗ lực trong tương lai.
Kẻ tái phạm trong vụ trộm lớn nhất của Crypto
Nhóm Lazarus từ lâu đã bị cáo buộc có liên quan đến các vụ tội phạm mạng nghiêm trọng.
Từ vụ khai thác cầu nối Horizon trị giá 100 triệu đô la vào năm 2022 đến vụ vi phạm Bybit trị giá 1,5 tỷ đô la được báo cáo vào đầu năm nay, dấu vết của họ xuất hiện trong một số vụ trộm cắp tiền điện tử nghiêm trọng nhất.
Chiến thuật của chúng vẫn không thay đổi nhiều: xâm nhập ví hoặc hợp đồng thông minh thông qua lừa đảo hoặc khai thác, rút tiền nhanh chóng, chuyển tiền qua các blockchain, sau đó rửa tiền bằng các chương trình trộn và các sàn giao dịch không KYC.
Các nhà nghiên cứu lưu ý rằng Lazarus Group có xu hướng tránh các sàn giao dịch tập trung, nơi các nhóm tuân thủ có thể đóng băng các ví đáng ngờ.
Thay vào đó, nhóm này thích các nền tảng phi tập trung và cầu nối chuỗi chéo, cho phép tiền di chuyển tự do mà không cần kiểm tra danh tính, khiến việc điều tra trở nên khó khăn hơn đáng kể.
Cơ sở hạ tầng tiền điện tử có sẵn sàng cho các mối đe dọa do nhà nước hậu thuẫn không?
Sự phụ thuộc ngày càng tăng vào các công cụ chuỗi chéo, cầu nối tự động và các giao thức bảo mật không được kiểm soát đang chứng tỏ là một lối thoát hiệu quả cho các nhóm tin tặc được tài trợ tốt.
Khi những lỗ hổng tương tự bị khai thác hết lần này đến lần khác—bất chấp lệnh trừng phạt, kiểm toán và nâng cấp phòng thủ—điều này đặt ra một câu hỏi cơ bản: liệu các hệ thống mật mã hiện tại có đủ khả năng chống chịu để xử lý các mối đe dọa được toàn bộ chế độ hậu thuẫn hay không?
Với các bộ trộn vẫn trực tuyến và các giao dịch hoán đổi chuỗi chéo phần lớn không được bảo vệ, Lazarus không chỉ phơi bày những lỗ hổng trong cơ sở hạ tầng mà còn khai thác một hệ thống chưa bao giờ được xây dựng cho chiến tranh mạng quy mô quốc gia.
Weatherly
