Manh mối mới về vụ hack FTX
Elliptic chỉ ra ví của hacker đã chuyển tiền đi trong khi Sam Bankman-Fried, nhà sáng lập FTX đang ở trong phòng xử án Manhattan. Vì vậy, giả thuyết chính Bankman-Fried là người đánh cắp tiền trên sàn FTX là không chính xác.
"Vào 2h41 sáng ngày 5/10 (giờ Việt Nam), kẻ tấn công đã di chuyển 15 triệu USD. Thời điểm đó, Bankman-Fried được cho là đã ra tòa, không có quyền truy cập Internet”, Elliptic viết trên trang blog dự án.
Tháng 11 năm ngoái, cùng ngày FTX nộp đơn xin phá sản, sàn giao dịch đã bị đánh cắp 9,500 Ethereum. Thủ phạm đã chuyển tài sản từ ví FTX sang một địa chỉ mới. Tiếp đến, người này bán tháo một loạt tài sản tiền mã hóa trị giá 477 triệu USD, trong đó có PAXG (Pax Gold), USDT (Tether) và WBTC (Wrapped Bitcoin).
Sau khi vụ hack xảy ra, phần lớn số tiền đã được chuyển sang Bitcoin và chuyển lên ChipMixer. Tương tự Tornado Cash, đây là “máy trộn” tiền mã hóa cho phép người dùng che giấu dấu vết khi giao dịch tiền mã hóa, từ đó bảo vệ quyền riêng tư. ChipMixer đã bị Bộ Tư pháp Mỹ đóng cửa vào đầu năm nay.
Elliptic cho biết các nghi phạm trải dài từ chính đội ngũ phát triển FTX cho đến nhóm hacker Lazarus Group của Triều Tiên.
Tuy nhiên, phân tích tài sản của kẻ tấn công, Elliptic nhận định nhóm hacker có quan hệ với một nhà môi giới hoặc bên trung gian khác tại Nga. "Trong số các tài sản được chuyển tới ChipMixer, chúng tôi nhận thấy một số tiền lớn có liên quan đến các nhóm tội phạm Nga, bao gồm các băng đảng ransomware và thị trường darknet", Elliptic chia sẻ.
Trong khi một số tài sản đã bị đóng băng theo yêu cầu của cơ quan quản lý, hầu hết đã được hoán đổi thành công thành loại tiền mã hóa khác trong những ngày tiếp theo. Elliptic cho biết điều này đã phá vỡ dấu vết on-chain, khiến việc truy tìm số tiền trở nên khó khăn hơn. Ngoài ra, hacker có thể tiếp tục truy cập vào những ứng dụng trên nhiều blockchain khác nhau và thuận lợi rửa tiền.
Ngày 20/11, hacker chuyển 65,000 ETH sang Bitcoin bằng RenBridge, rồi gửi một phần lên ChipMixer. Đáng chú ý, RenBridge lại thuộc sở hữu của Alameda Research, công ty “chị em” với FTX. Nhiều người cho rằng các nhà phát triển FTX có dính líu tới vụ việc.
Sau 9 tháng im hơi lặng tiếng, kẻ tấn công lại chuyển đổi thêm 72,500 ETH (120 triệu USD) thành Bitcoin bằng THORSwap. Khi ChipMixer dừng hoạt động, phần lớn số tiền được “trộn” thông qua giao thức Sinbad. Bộ Tài chính Mỹ lúc này kết luận nhóm tội phạm mạng khét tiếng Lazarus Group của Triều Tiên đứng sau vụ việc.
Trái lại, Elliptic không tin rằng Lazarus đã hack sàn FTX. Nguyên nhân là các phương pháp rửa tiền trong vụ FTX tương đối đơn giản so với hành tung của Lazarus trước đây.
Tháng 3/2022, Lazarus Group được cho là kẻ tấn công tượng đài GameFi Axie Infinity, khiến dự án thiệt hại 635 triệu USD. Theo FBI, Lazarus đã đăng các tin tuyển dụng giả trên LinkedIn, thậm chí dựng các buổi phỏng vấn giả rồi gửi thư ngỏ chứa mã độc cho nạn nhân. Khi nhân viên Sky Mavis nhấp vào file PDF, hacker sẽ xâm nhập vào máy tính của họ. Và thế là các node xác thực giao dịch trên cầu nối Ronin bị chiếm quyền kiểm soát.
Đầu tháng 9 năm nay, Stake, casino crypto lớn nhất thế giới cũng bị hack 41 triệu USD. Ngoài vụ Stake, FBI xác định Lazarus còn là thủ phạm tấn công nhiều dự án khác trong năm 2023 như Alphapo, CoinsPaid và Atomic Wallet. Tính đến nay, công ty phân tích dữ liệu Dune Analytics tiết lộ Lazarus Group đã thu được số Bitcoin, Ethereum và BNB trị giá khoảng 900 triệu USD từ nhiều vụ cắp khác nhau.
Đọc thêm: mastercard hoàn thành thử nghiệm CBDC trên Ethereum