Bộ Tài chính Hoa Kỳ đã liên kết nhóm hack Lazarus của Triều Tiên với vụ trộm gần đây trị giá 625 triệu đô la tiền điện tử từ Mạng Ronin, một chuỗi khối tương thích với Ethereum được điều chỉnh cho trò chơi kiếm tiền phổ biến Axie Infinity.
Theo Ronin Network, các tin tặc đã xâm nhập vào mạng vào tháng trước, đánh cắp khoảng 173.600 ether và 25,5 triệu USDC (một tài sản kỹ thuật số được chốt theo giá trị của đồng đô la Mỹ và có sẵn trên nhiều blockchain bao gồm Ethereum và Solana). Công ty phân tích chuỗi khối Elliptic cho biết nhóm đã quản lý để rửa 18% số tiền bị đánh cắp và tiếp tục làm như vậy thông qua Tornado Cash, một dịch vụ cho phép người dùng xóa dấu vết kỹ thuật số của họ.
Vậy chúng ta biết gì về thủ phạm?
Tập thể mạng Lazarus đã hoạt động hơn 10 năm với sự hỗ trợ của chính phủ Triều Tiên, nổi tiếng với vụ tấn công Sony Pictures năm 2014 và vụ trộm 81 triệu USD vào Ngân hàng Trung ương Bangladesh.
Các công ty an ninh mạng hàng đầu Kaspersky và Symantec cũng đã liên kết Lazarus với cuộc tấn công bằng mã độc tống tiền WannaCry diễn ra vào tháng 5 năm 2017. Các tệp của người dùng đã bị bắt làm con tin và đòi tiền chuộc bằng bitcoin để trả lại. Phần mềm tống tiền đã tấn công hơn 200.000 máy tính ở 150 quốc gia, làm tê liệt các bệnh viện, chính phủ và doanh nghiệp, dẫn đến thiệt hại ước tính 4 tỷ USD trên toàn cầu.
Theo Elliptic và một công ty tình báo blockchain khác Chainalysis, các tin tặc đã nhắm mục tiêu vào các thực thể tiền điện tử ít nhất là từ năm 2018, rửa tiền ảo trị giá hơn 200 triệu đô la mỗi năm. Một báo cáo của Liên hợp quốc được đệ trình lên ủy ban trừng phạt của Hội đồng Bảo an Liên hợp quốc cáo buộc Bình Nhưỡng sử dụng số tiền bị đánh cắp từ các cuộc tấn công này để hỗ trợ các chương trình tên lửa đạn đạo và hạt nhân của mình, Reuters đưa tin vào tháng Hai.
Cho đến năm ngoái, phần lớn hoạt động này hướng đến các sàn giao dịch tiền điện tử tập trung ở Hàn Quốc hoặc các nơi khác ở châu Á, theo Elliptic. Tuy nhiên, trong những tháng qua, Lazarus đã chuyển sang sử dụng các dịch vụ tài chính phi tập trung như Ronin (công ty đứng sau mạng lưới Sky Mavis, có trụ sở tại Việt Nam).
Elliptic cho biết nhiều tính năng của vụ trộm mới nhất phản ánh các phương pháp được nhóm này sử dụng trong các vụ án nổi tiếng trước đó, bao gồm vị trí của nạn nhân, khả năng sử dụng kỹ thuật xã hội và mô hình rửa tiền. Cụ thể, bằng cách chuyển đổi các loại tiền điện tử bị đánh cắp tại các sàn giao dịch phi tập trung, các tin tặc đã tránh được các cuộc kiểm tra chống rửa tiền (AML) và kiểm tra ‘biết khách hàng của bạn’ (KYC) được thực hiện tại các thị trường tập trung – một chiến thuật ngày càng phổ biến trong các vụ hack kiểu này. Theo Chainalysis, các giao thức Tài chính phi tập trung đã nhận được 17% tổng số tiền được gửi từ các ví bất hợp pháp vào năm 2021, tăng từ 2% trong năm trước.
Tuy nhiên, một phần của ether bị đánh cắp cũng đã được rửa thông qua các sàn giao dịch tập trung. Elliptic cho biết: “Chiến lược này không phổ biến đối với các hoạt động khai thác DeFi điển hình với các nghĩa vụ AML của sàn giao dịch này, mặc dù nó đã được quan sát thấy thường xuyên hơn trong các hoạt động khai thác liên kết với nhóm Lazarus trước đây”.
Tác giả: Ngọc Viên – FORBES.COM
