Lazarus Group rửa 200 triệu USD thành tiền pháp định qua 25 vụ hack tiền mã hóa

• Nhóm tin tặc Lazarus Group có liên hệ với chính phủ Triều Tiên đã tấn công 25 công ty và cá nhân liên quan đến tài sản số từ tháng 8/2020 đến tháng 10/2023, đánh cắp tổng cộng 200 triệu USD
• Đây là nhóm tin tặc nổi tiếng với mã độc được tùy biến cho từng mục tiêu
• Ước tính từ năm 2017 đến nay, nhóm này đã đánh cắp tổng cộng 3-4,1 tỷ USD thông qua các vụ hack tài sản số
• Bài viết này lần theo đường đi rửa tiền của họ và phân tích quá trình số tiền bị đánh cắp được quy đổi thành tiền mặt qua các sàn P2P Paxful và Noones

Các sự kiện chính năm 2020

Vụ hack CoinBerry (tháng 8)

• Sàn giao dịch CoinBerry của Canada bị mất 120 BTC do lỗi phần mềm (trị giá 3,7 triệu USD vào thời điểm đó).

Vụ hack Unibright (tháng 9)

• Do lộ khóa riêng tư, khoảng 400.000 USD tài sản trong ví của đội ngũ Unibright đã bị chuyển đi trái phép.

Vụ hack CoinMetro (tháng 10)

• Do sự cố xâm phạm bảo mật, tài sản mã hóa trị giá 750.000 USD đã bị đánh cắp từ hot wallet của CoinMetro.
• Đội ngũ Parsiq đã hard fork token PRQ để ngăn thiệt hại lan rộng.

Vụ hack nhà sáng lập Nexus Mutual Hugh Karp năm 2020 (tháng 12)

• Nạn nhân bị lừa phê duyệt giao dịch độc hại, khiến 370.000 NXM (8,3 triệu USD) bị đánh cắp.
• Sau khi nạp 137,1 BTC vào ChipMixer, số tiền được đưa trở lại sang Ethereum.
• Ngoài ra, 2.571 ETH trên Ethereum cũng được nạp vào Tornado Cash rồi rút ra ngay sau đó.

Vụ hack nhà sáng lập EasyFi Ankitt Gaur năm 2021 (tháng 4)

• Do email lừa đảo khiến Ankitt cài một tiện ích mở rộng Metamask độc hại, khóa riêng tư bị lộ và 81 triệu USD bị đánh cắp.
• 209,64 BTC được nạp vào ChipMixer rồi rút ra để đưa trở lại Ethereum qua giao thức Ren.
• Số tiền sau đó được nạp vào Binance vào tháng 6/2022.

Vụ hack Bondly Finance năm 2021 (tháng 7)

• Cụm từ khôi phục ví cứng của CEO Brandon Smith bị lộ, khiến 8,5 triệu USD tài sản của đội ngũ bị đánh cắp.
• Trên Ethereum, BSC và Polygon, tin tặc đã rửa 52 triệu DAI, 500 ETH và 4.800 BNB bằng Tornado Cash.

Các vụ hack cá nhân không được báo cáo trong tháng 8-9/2021

• Trong giai đoạn tháng 8-9, nhiều cá nhân bị lộ khóa riêng tư và tổng cộng khoảng 2 triệu USD đã bị đánh cắp.
• 581 ETH được nạp vào Tornado Cash rồi rút ra vài ngày sau.

Vụ hack MGNR & PolyPlay năm 2021 (tháng 10)

Vụ hack MGNR

• Trong lúc các thành viên nhóm tạm thời chia sẻ khóa hot wallet trên PC cá nhân, tài sản trị giá 24 triệu USD đã bị đánh cắp.
• 5.100 ETH được nạp vào Tornado Cash, sau đó được rút dần ra và trộn chung với tiền từ các vụ hack khác.
• Số tiền này được quy đổi qua Paxful và Noones.

Vụ hack PolyPlay

• Tài sản trị giá 1,6 triệu USD đã bị chuyển khỏi ví của đội ngũ mà không được phép.
• 350 ETH được nạp vào Tornado Cash rồi rút ra và gửi tới Paxful cùng Noones.

Vụ hack bZx tháng 11/2021

• Một nhà phát triển chạy tệp đính kèm email có chứa script độc hại, làm lộ khóa riêng tư và khiến 55 triệu USD bị đánh cắp từ các giao thức triển khai trên BSC và Polygon.
• 10.960 ETH được nạp vào Tornado Cash rồi rút ra để trộn cùng tiền từ các vụ hack trước đó.

Vụ hack Steadefi & Coinshift tháng 8/2023

Vụ hack Steadefi

• Một nhà phát triển mở tệp trình bày độc hại nhận từ tài khoản Telegram giả mạo công ty đầu tư, khiến ví của deployer bị chiếm đoạt và quyền sở hữu các vault cho vay và chiến lược rơi vào tay tin tặc. Khoảng 1,2 triệu USD đã bị đánh cắp.
• 624,3 ETH được nạp vào Tornado Cash.

Vụ hack Coinshift

• Các giao dịch chuyển tiền bất thường đã được quan sát thấy từ ví multisig liên kết với nhà sáng lập, nên nhiều khả năng khóa riêng tư đã bị lộ.
• 900 ETH được nạp vào Tornado Cash.

Quy đổi tiền bị đánh cắp thành tiền mặt qua các sàn P2P Paxful và Noones

• Từ tháng 7/2022 đến tháng 11/2023, tổng cộng 44 triệu USD USDT đã chảy vào các địa chỉ nạp của Paxful và Noones.
• Hai tài khoản trên Paxful và Noones cho thấy khối lượng giao dịch khớp với quy mô số tiền bị đánh cắp.
• Không quan sát thấy các khoản rút tiền mã hóa tương ứng từ các sàn này, nên nhiều khả năng USDT đã được đổi thành chuyển khoản ngân hàng hoặc tiền mặt.

Kết quả điều tra

• Tính đến tháng 11/2023, 374.000 USDT đã bị Tether đưa vào danh sách đen, và một khoản tiền chưa được công bố đã bị đóng băng trên sàn trong quý 4/2023.
• 3 trong số 4 nhà phát hành stablecoin đã đưa vào danh sách đen số tiền trị giá 3,4 triệu USD.

Các sự kiện liên quan khác

• Vụ hack người dùng sàn giao dịch tháng 1/2021
• Vụ hack Arthur0x tháng 3/2022
• Vụ hack Geracoin & Darshan tháng 9-10/2022
• Vụ hack nhà sáng lập Maverick tháng 10/2023

Ý kiến của GN⁺

• Việc thực hiện các cuộc tấn công có chọn lọc nhắm vào nhiều giao thức và cá nhân khác nhau, sau đó đi qua quy trình rửa tiền tinh vi, cho thấy đây là một nhóm tin tặc có mức độ tổ chức và năng lực kỹ thuật rất cao.
• Khi các trường hợp lạm dụng trong hệ sinh thái tài sản số ngày càng tăng, việc quản lý khóa riêng tư và cảnh giác với các cuộc tấn công lừa đảo là điều cần thiết.
• Vụ việc này cho thấy DeFi và các công cụ trộn tiền mã hóa có thể bị lợi dụng cho hoạt động rửa tiền. Việc xây dựng quy định và biện pháp đối phó dường như đang rất cấp bách.
• Chính phủ Triều Tiên có thể tiếp tục các vụ hack tài sản số như một công cụ huy động vốn, nên cần có sự phối hợp giữa ngành và cơ quan chức năng.
• Các dự án tiền mã hóa và cá nhân cần tăng cường quản lý ví bằng các biện pháp như đa chữ ký, dùng cold wallet, đồng thời cẩn trọng với email và tệp đính kèm đáng ngờ.