Tin tặc Bắc Triều Tiên đã kết nối 3,2 triệu đô la quỹ bị đánh cắp

Các nhà điều tra crypto đang cảnh báo sau khi 3,2 triệu đô la bị rút khỏi nhiều ví Solana vào ngày 16 tháng 5 năm 2025, mà họ cho rằng có dấu hiệu của nhóm Lazarus liên quan đến Bắc Triều Tiên. Các tài sản bị đánh cắp đã được bán nhanh chóng trên chuỗi và kết nối sang Ethereum trước khi một phần trong số đó được rửa tiền qua Tornado Cash.

Vào ngày 16 tháng 5, các địa chỉ Solana của nạn nhân đã bị rút cạn token, và các tài sản sau đó đã được chuyển đổi thành Ethereum qua một cầu nối trước khi một phần trong số đó được gửi đến Tornado Cash.

Nhà nghiên cứu blockchain ZachXBT đã công khai đánh dấu vụ khai thác, chỉ ra sự tương đồng với các hoạt động trước đó của Lazarus.

Tin tặc đã kết nối các quỹ bị đánh cắp

Các nhà điều tra blockchain đã lần đầu tiên cảnh báo sau khi quan sát thấy các chuyển khoản lớn từ địa chỉ “C4WY…e525” trên Solana.

Các giao dịch này, liên quan đến nhóm Lazarus nổi tiếng, đã chuyển các token bị đánh cắp qua một cầu nối và chuyển đổi chúng thành Ethereum. ZachXBT đã đánh dấu cuộc tấn công bằng cách theo dõi hoạt động của cầu nối và truy vết các quỹ cuối cùng đã đến một mạng lưới ví trên Ethereum.

Vào ngày 25 tháng 6 và lại vào ngày 27 tháng 6, 400 ETH đã được gửi đến Tornado Cash trong hai khoản tiền gửi riêng biệt. Những giao dịch 800 ETH này, tổng cộng khoảng 1,6 triệu đô la, phù hợp với các chiến thuật rửa tiền đã được tài liệu hóa rõ ràng của nhóm Lazarus.

Sau các vụ hack nổi bật như Bybit, nơi 1,5 tỷ đô la đã bị đánh cắp vào tháng 2 năm 2025, và 100 triệu đô la từ cầu nối Horizon của Harmony vào năm 2022, cùng với nhiều vụ hack đáng chú ý khác, Lazarus đã lặp đi lặp lại việc sử dụng Tornado Cash, cùng với các sàn giao dịch phi tập trung và cầu nối liên chuỗi, để rửa tiền bằng cách làm mờ dấu vết giao dịch.

Khoảng 1,25 triệu đô la vẫn đang nằm trong một địa chỉ ví được xác định là “0xa5…d528” trên Ethereum, được giữ trong sự kết hợp giữa DAI và ETH. Các nhà phân tích suy đoán rằng những quỹ này có thể được đậu lại để rửa tiền trong tương lai hoặc được giữ cố tình không hoạt động để giảm thiểu rủi ro bị phát hiện.

Nhóm Lazarus đã hoạt động từ năm 2017

Nhóm Lazarus đã kiếm được danh tiếng là tổ chức tội phạm mạng liên kết với nhà nước hoạt động nhiều nhất, với các biện pháp trừng phạt Bắc Triều Tiên chỉ định họ là một Mối đe dọa Bền vững Nâng cao liên quan đến các đơn vị tình báo quân sự tinh vi của Bình Nhưỡng. Qua nhiều năm, họ đã đánh cắp hàng tỷ đô la trong crypto kể từ năm 2017.

Phương thức hoạt động của họ thường bắt đầu bằng việc lừa đảo hoặc xâm nhập dựa trên phần mềm độc hại vào các nhân sự chủ chốt, khai thác các lỗ hổng trong hợp đồng thông minh hoặc ví. Khi các quỹ được lấy, chúng nhanh chóng được chuyển đổi thành tài sản lỏng, phân tán vào nhiều ví khác nhau và được rửa tiền qua các chuỗi bằng cách sử dụng các dịch vụ mixer như Tornado Cash và các dịch vụ cung cấp hoán đổi ngay lập tức mà không cần yêu cầu Kiến thức về Khách hàng (KYC).

Tornado Cash vẫn giữ vai trò trung tâm trong chiến lược rửa tiền của Lazarus. Mặc dù các biện pháp trừng phạt của Hoa Kỳ đã được áp dụng vào năm 2022, việc lưu trữ phi tập trung và tính không thể thay đổi đã cho phép dịch vụ này tránh bị đóng cửa vĩnh viễn. Vào tháng 1 năm 2025, một tòa án phúc thẩm của Hoa Kỳ đã đảo ngược các biện pháp trừng phạt đó, với lý do xem xét đến quyền tự do ngôn luận, mặc dù có nhiều bằng chứng gia tăng liên kết Lazarus với việc sử dụng mixer liên tục.

Các cơ quan quản lý và sàn giao dịch có thể giờ đây thực hiện các bước để đánh dấu các địa chỉ bị đánh dấu là đáng ngờ. Tuy nhiên, với tốc độ và độ phức tạp của đường ống rửa tiền của Lazarus, các dịch vụ mixing vẫn tiếp tục chứng minh là đủ để che giấu sự di chuyển của các quỹ bị đánh cắp của họ.

Tin tức crypto của bạn xứng đáng được chú ý - KEY Difference Wire đưa bạn đến hơn 250 trang web hàng đầu