Hoa Kỳ tìm cách tịch thu gần 2,7 triệu đô la tài sản bị đánh cắp

Hai hành động tịch thu mới nhất do Luật sư Hoa Kỳ tại Quận Columbia khởi xướng đã làm sáng tỏ các chiến thuật rửa tiền được sử dụng bởiTin tặc tiền điện tử Bắc Triều Tiên.

Chính phủ Hoa Kỳ đang cố gắng thu giữ khoảng 2,67 triệu đô la tiền điện tử bị đánh cắp từ hai vụ hack lớn.

Theo hồ sơ pháp lý, chính phủ muốn thu hồi khoảng 1,7 triệu đô la Tether (USDT) được theo dõi thông qua sàn giao dịch Tornado Cash.

Số tiền này là một phần trong số 28 triệu đô la bị đánh cắpNhóm Lazarus có liên hệ với Bắc Triều Tiên từ sàn giao dịch quyền chọn tiền điện tử Deribit vào tháng 11 năm 2022.

Những kẻ tấn công đã xâm nhập vào ví nóng Deribit và sau đó chuyển tiền qua máy trộn Tornado Cash và nhiều địa chỉ Ethereum khác nhau để tránh bị phát hiện.

Ngoài ra, các quan chức thực thi pháp luật Hoa Kỳ đã nộp đơn yêu cầu thu hồi khoảng 970.000 đô la Bitcoin liên kết với Avalanche (BTC.b) bị đánh cắp trong vụ hack nền tảng cờ bạc Stake.com của Lazarus Group vào năm 2023.

Cuộc tấn công này gây ra thiệt hại lên tới 41 triệu đô la cho Stake.com.

Vụ hack Deribit vào tháng 11 năm 2022

Hồ sơ đầu tiên đi sâu vào chiến thuật của Tập đoàn Lazarus trong việc rửa tiền đánh cắp từ vụ hack Deribit, sử dụng máy trộn tiền điện tử Tornado Cash—một thực thể hiện đang bị giám sát trong một phiên tòa xét xử rửa tiền quan trọng.

Cơ quan thực thi pháp luật đã truy tìm thành công một phần trong số 28 triệu đô la được rửa trong hoạt động này, bắt đầu khiTin tặc Bắc Triều Tiên xâm nhập vào máy chủ ví nóng của Deribit.

Họ đã chuyển đổi tài sản bị đánh cắp thành Ethereum, chuyển chúng qua Tornado Cash và cuối cùng chuyển chúng thành đồng tiền ổn định Tether trên chuỗi khối Tron, như minh họa trong sơ đồ trong hồ sơ.

Các nhà điều tra đã theo dõi số tiền được rửa bằng cách phân tích các mô hình giữa một số ví Ethereum nhất định, lưu ý rằng các ví này nhận được các khoản chuyển tiền cách nhau vài phút, sử dụng các cầu nối chuỗi chéo tương tự và lấy phí giao dịch từ một nguồn chung.

Những kẻ tấn công đã cố gắng chuyển đổi tài sản Ethereum của chúng sang USDT theo ba đợt riêng biệt.

Tuy nhiên, hai nỗ lực đầu tiên đã bị ngăn chặn khi cơ quan thực thi pháp luật đóng băng một phần tiền.

Trong lần thử thứ ba, tin tặc đã rửa thành công số tài sản còn lại, khiến khoảng 1,7 triệu đô la USDT bị đóng băng trong năm ví đang được điều tra.

Vụ hack Stake.com năm ngoái

Hồ sơ thứ hai giải quyếtNhóm Lazarus Vụ tấn công sòng bạc trực tuyến Stake.com trị giá 41 triệu đô la và những nỗ lực rửa tiền đánh cắp sau đó được thực hiện theo ba giai đoạn riêng biệt.

Ban đầu, tin tặc đã chuyển đổi số tiền này thành Bitcoin (BTC) bằng cách sử dụng cầu nối Bitcoin của Avalanche.

Sau đó, họ chuyển BTC thông qua các sàn giao dịch Sinbad và Yonmix trước khi cuối cùng đổi nó lấy các loại tiền ổn định như USDT.

Trong giai đoạn đầu tiên và thứ ba của quá trình này, cơ quan thực thi pháp luật đã đóng băng thành công các khoản tiền có liên quan, có thể là thông qua các yêu cầu đóng băng tài sản gửi đến Avalanche Bridge.

Ở giai đoạn đầu, chính quyền đã đóng băng tài sản từ bảy giao dịch, thường liên quan đến việc chuyển đổi số tiền bị đánh cắp thành các token gốc như MATIC của Polygon và BNB của Binance Smart Chain trước khi chuyển giá trị đó sang Bitcoin.

Tuy nhiên, bất chấp những can thiệp này, hồ sơ nộp lên cho thấy rằng "Người Bắc Triều Tiên đã có thể chuyển phần lớn số tiền bị đánh cắp sang chuỗi khối BTC."

Sau khi chuyển tiền vào Bitcoin, tin tặc sử dụng các công cụ trộn Sinbad và Yonmix—các dịch vụ tương tự như Tornado Cash trên Ethereum—để che giấu thêm dòng tiền bị đánh cắp.

Mặc dù cơ quan thực thi pháp luật có thể theo dõi chuyển động của các khoản tiền thông qua các dịch vụ trộn này, họ chỉ có thể thu hồi thêm 0,099 BTC, có giá trị khoảng 6.270 đô la theo giá hiện tại, mặc dù đã xác định được ví hợp nhất.

Nhóm Lazarus của Bắc Triều Tiên có nhiều khả năng là thủ phạm

Vụ tấn công Deribit và Stake.com chỉ là một phần nhỏ trong số nhiều vụ tấn công mạng khác được cho là do Nhóm Lazarus của Triều Tiên thực hiện.

Các nhà phân tích Onchain nghi ngờ rằng Lazarus Group cũng đứng sau vụ vi phạm vào tháng 7 năm 2024sàn giao dịch WazirX nổi tiếng , dẫn đến khoản lỗ khổng lồ lên tới khoảng 235 triệu đô la.

Thêm vào những lo ngại, một báo cáo ngày 15 tháng 8 từ công ty điều tra chuỗi khối ZackXBT đã tiết lộ một mạng lưới các nhà phát triển Triều Tiên đã xâm nhập vào ít nhất 25 dự án tiền điện tử.

Những nhà phát triển này, hoạt động dưới bí danh, đã truy cập trái phép vào nhiều dự án khác nhau, xâm phạm mã và cướp bóc kho bạc của dự án.

ZackXBT lưu ý rằng những cá nhân được xác định trong cuộc điều tra có khả năng hoạt động như một phần của một thực thể phối hợp duy nhất, làm dấy lên báo động về quy mô và mức độ tinh vi của các mối đe dọa mạng này.

Cuộc chiến chống lại tội phạm tiền điện tử vẫn tiếp diễn

Sáng kiến ​​gần đây của chính phủ Hoa Kỳ nhằm nộp đơn khiếu nại nhằm mục đích tịch thu tài sản liên quan đếnTin tặc Bắc Triều Tiên nhấn mạnh cuộc đấu tranh liên tục chống lại tội phạm mạng, đặc biệt là trong lĩnh vực tiền điện tử.

Theo PeckShieldAlert, các vụ tấn công và khai thác tiền điện tử đã gây ra thiệt hại lên tới hơn 120 triệu đô la vào tháng 9 năm 2024, làm sáng tỏ những lỗ hổng đáng kể hiện hữu trong bối cảnh tài sản kỹ thuật số.

Sự cố này có khả năng sẽ làm tăng cường sự giám sát của cơ quan quản lý và làm dấy lên mối lo ngại của các nhà đầu tư về tính an toàn của tài sản của họ, thúc đẩy việc đánh giá lại các biện pháp an ninh trong ngành.