Hacker Bybit rửa 240 triệu USD thông qua ThorChain

Hacker Bybit đã rửa hơn 240 triệu USD qua ThorChain, lợi dụng nền tảng này để hoán đổi ETH sang Bitcoin và che giấu dấu vết, khiến việc truy vết trở nên cực kỳ khó khăn. Cộng đồng tranh cãi gay gắt khi ThorChain không có biện pháp ngăn chặn việc tẩu tán tài sản của vụ hack.

By Tiến Đạt

Published 28/02/2025

Hacker Bybit rửa 240 triệu USD thông qua ThorChain

Vụ hack Bybit trị giá 1,5 tỷ USD do nhóm Lazarus của Triều Tiên thực hiện đang bước vào giai đoạn rửa tiền quy mô lớn. Theo báo cáo từ Taylor Monahan, Trưởng bộ phận bảo mật MetaMask, hacker đã chuyển ít nhất 209.384 ETH (~480 triệu USD) sang Bitcoin, chiếm hơn một nửa số 400.000 ETH bị đánh cắp, chưa kể các tài sản khác.

Theo dữ liệu từ Arkham Intelligence, hơn 240 triệu USD đã được rửa thông qua ThorChain, một nền tảng hoán đổi chuỗi chéo phi tập trung. Nhóm hacker chủ yếu chuyển ETH thành Bitcoin trước khi tiếp tục tẩu tán tài sản.

Monahan ước tính hacker đã thực hiện 3.934 giao dịch xuyên chuỗi trong 115 giờ sau vụ hack, với tốc độ khoảng 3,23 triệu USD mỗi giờ. Ngoài ThorChain, Lazarus còn sử dụng sàn eXch, dù trước đó sàn này đã từ chối hợp tác nhưng hiện tại nền tảng này đã vô hiệu hóa hoán đổi ETH và ERC-20, hạn chế khả năng rửa tiền của hacker.

Bybit đã treo thưởng 5% giá trị tài sản bị đánh cắp cho các sàn giao dịch, cầu nối và mixer giúp đóng băng quỹ, mở rộng mức thưởng ban đầu 10% cho bất kỳ ai có thể thu hồi tài sản.

Cộng đồng chỉ trích ThorChain, trưởng nhóm phát triển từ chức

ThorChain đã ghi nhận khối lượng giao dịch đột biến 859 triệu USD và hơn 700 triệu USD trong 2 ngày 26 và 27/2, với phần lớn dòng tiền đến từ hacker Bybit.

Một số nhà phát triển và trình xác thực của ThorChain cho rằng mạng lưới này đang trở thành công cụ giúp tội phạm tẩu tán tài sản, đẩy dự án vào nguy cơ bị cơ quan quản lý “sờ gáy”.

“ThorChain không làm gì để chặn dòng ETH bị đánh cắp thì sẽ không có kết cục tốt đâu”

swap volume thorchain — Dòng tiền của ThorChain tăng đột biến gần đây

Trước đó, ba trình xác thực trên ThorChain đã bỏ phiếu chặn giao dịch từ hacker Bybit, nhưng chỉ vài phút sau, quyết định này bị đảo ngược do cơ chế đồng thuận phi tập trung.

Ngoài ra, ông Pluto, trưởng nhóm phát triển chính của ThorChain, tuyên bố từ chức và rời khỏi ThorChain.

**Moving on from THORChain**

Validators, developers, members of the community: effectively immediately, I will no longer be contributing to THORChain. I will remain available to Nine Realms as long as I am needed and to ensure an orderly hand-off of my responsibilities. It has…
— Pluto (9R) (@Pluto9r) February 27, 2025

Hacker chia nhỏ và phân tán tài sản

Ngay sau khi đánh cắp số tiền từ Bybit, hacker Lazarus đã chuyển tài sản vào ba ví chính, sau đó phân tán thành hàng chục ví mới để gây khó khăn trong việc truy vết. Ngoài ra, nhóm này cũng hoán đổi ETH phái sinh (stETH, cETH) thành ETH thông qua các sàn DEX như Uniswap, Paraswap và KyberSwap.

Ngoài ra, hacker còn chuyển đổi một lượng lớn tài sản sang BTC và phân tán qua nhiều địa chỉ khác nhau để xóa dấu vết. Một phần tài sản cũng được chuyển sang Arbitrum, Solana và BNB Smart Chain, tận dụng các mạng lưới khác nhau nhằm gây khó khăn cho việc theo dõi.

Nhóm Lazarus tiếp tục sử dụng các cầu nối xuyên chuỗi (cross-chain bridges) và nền tảng giao dịch phi tập trung (DEX) để hợp thức hóa số tiền đánh cắp, làm phức tạp thêm quá trình điều tra.

hacker phan tan tai san — Hacker tẩu tán tài sản ra nhiều loại tài sản và ví khác nhau – LazarusBounty

Tổng kết

Vụ hack Bybit đang trở thành một trong những chiến dịch rửa tiền lớn nhất lịch sử Crypto. Nhóm hacker Lazarus tiếp tục sử dụng chiến thuật phân tán tài sản, tận dụng các cầu nối xuyên chuỗi như ThorChain để che giấu dòng tiền. Cộng đồng đang chia rẽ giữa việc bảo vệ tính phi tập trung của ThorChain và mối lo ngại về khả năng trở thành công cụ rửa tiền cho tội phạm mạng.

Dù FBI đã xác nhận trách nhiệm của Lazarus, việc thu hồi tài sản vẫn còn là một thách thức lớn đối với Bybit và các cơ quan điều tra.

Có thể bạn quan tâm: