Mỹ tiến hành thu giữ 2,7 triệu USD từ các vụ hack của Lazarus được truy vết qua Tornado Cash và các bộ trộn khác

Hai vụ kiện tịch thu gần đây do Luật sư Hoa Kỳ cho Quận Columbia đệ trình đã tiết lộ chi tiết mới về cách các hacker tiền điện tử Triều Tiên rửa tiền của họ, khi chính phủ Hoa Kỳ tìm cách thu giữ khoảng 2,67 triệu đô la tiền điện tử bị đánh cắp trong hai vụ hack lớn. 

Các đơn kiện tịch thu, lần đầu tiên được đệ trình vào thứ Sáu, nhằm thu hồi khoảng 1,7 triệu đô la Tether (USDT)  được truy vết qua máy trộn Tornado Cash từ vụ hack 28 triệu đô la của nhóm Lazarus liên kết với Triều Tiên tại sàn giao dịch quyền chọn tiền điện tử Deribit vào tháng 11 năm 2022 và khoảng 15,5 Bitcoin (BTC.b) được cầu nối qua Avalanche trị giá khoảng 971.000 đô la theo giá hiện tại từ vụ hack 41 triệu đô la của nhóm tại sòng bạc tiền điện tử trực tuyến Stake.com. 

Từ Deribit đến Tornado

Vụ kiện đầu tiên trong hai vụ liên quan đến phương pháp rửa tiền của nhóm Lazarus từ vụ hack Deribit thông qua máy trộn tiền điện tử Tornado Cash, dịch vụ đang là tâm điểm của một phiên tòa rửa tiền sắp tới được các nhà ủng hộ tiền điện tử theo dõi sát sao. Cơ quan thực thi pháp luật đã có thể truy vết một số trong 28 triệu đô la tiền bị rửa từ vụ trộm, xảy ra sau khi các hacker Triều Tiên truy cập vào máy chủ ví nóng của Deribit, chuyển đổi tài sản sang Ethereum và gửi chúng qua Tornado Cash để cuối cùng trở thành stablecoin Tether trên blockchain Tron, như được minh họa trong sơ đồ từ hồ sơ. 

Các quan chức thực thi pháp luật đã truy vết các khoản tiền qua Tornado bằng cách ghi nhận sự tương đồng giữa một số ví Ethereum. Các ví này nhận được các giao dịch chuyển tiền cùng thời điểm (trong vòng vài phút), sử dụng các cầu nối chuỗi chéo tương tự, nhận tài trợ cho phí giao dịch từ cùng một địa chỉ và giữ các khoản tiền cuối cùng được hợp nhất vào cùng các địa chỉ hợp nhất. 

Các hacker đã cố gắng chuyển đổi tài sản Ethereum sang USDT trong ba đợt, khi hai nỗ lực đầu tiên để rửa tiền bị ngăn chặn khi cơ quan thực thi pháp luật đóng băng một số khoản tiền liên quan. Nỗ lực thứ ba đã giúp các hacker thành công trong việc rửa phần còn lại của số tiền, để lại cho cơ quan thực thi pháp luật khoảng 1,7 triệu đô la USDT bị đóng băng từ năm ví liên quan. 

Từ Stake.com đến Sinbad, Yonmix

Vụ kiện thứ hai liên quan đến vụ hack 41 triệu đô la của nhóm Lazarus tại sòng bạc trực tuyến Stake.com và nỗ lực rửa tiền của họ trong ba giai đoạn: chuyển đổi số tiền thành BTC thông qua cầu nối Bitcoin của Avalanche, di chuyển BTC bị đánh cắp qua các máy trộn Bitcoin Sinbad và Yonmix, và cuối cùng chuyển đổi Bitcoin thành các stablecoin như USDT. Các khoản tiền liên quan đã bị đóng băng trong giai đoạn đầu và thứ ba, có khả năng thông qua các yêu cầu đóng băng tài sản đến Avalanche Bridge. 

Trong giai đoạn một, cơ quan thực thi pháp luật đã đóng băng tài sản từ bảy giao dịch thường liên quan đến việc chuyển đổi tài sản bị đánh cắp thành các token gốc như token MATIC của Polygon và token BNB của Binance Smart Chain và sau đó cầu nối giá trị đó sang Bitcoin thông qua Avalanche Bridge. Tuy nhiên, bất chấp sự can thiệp của chính phủ, "người Triều Tiên đã có thể chuyển phần lớn số tiền bị đánh cắp sang blockchain BTC," hồ sơ cho biết. 

Một khi đã trên Bitcoin, các hacker đã sử dụng các máy trộn Sinbad và Yonmix, cung cấp dịch vụ tương tự như Tornado Cash trên Ethereum, để tiếp tục che giấu sự di chuyển của số tiền bị đánh cắp. "Cơ quan thực thi pháp luật đã truy vết dòng chảy của số tiền bị đánh cắp qua cả hai dịch vụ trộn đến giai đoạn tiếp theo của quá trình rửa tiền của các hacker Triều Tiên," hồ sơ cho biết, mặc dù đã xác định được ví hợp nhất, các quan chức chỉ có thể thu hồi thêm 0,099 BTC, trị giá khoảng 6.270 đô la theo giá hiện tại. 

Mặc dù cơ quan thực thi pháp luật đã cải thiện khả năng truy vết và thu giữ tiền điện tử bất hợp pháp, nhóm Lazarus vẫn hoạt động, với nhóm gần đây bị đổ lỗi cho vụ hack 230 triệu đô la của sàn giao dịch tiền điện tử Ấn Độ WazirX