Bất chấp lệnh trừng phạt, địa chỉ ví liên kết với hacker Triều Tiên vẫn tiếp tục rửa tiền

Sau hơn nửa tháng truy tìm dấu vết vụ hack lớn nhất lịch sử DeFi vào ngày 29/03/2022, Bộ Tài chính Hoa Kỳ cho biết nhóm hacker Lazarus của Triều Tiên có thể là kẻ đã thực hiện vụ tấn công này. Địa chỉ ví Ethereum của nhóm đã bị đưa vào danh sách trừng phạt và gắn nhãn là “Nhóm khai thác sidechain Ronin”.

Tuy nhiên, bất chấp các lệnh trừng phạt của Hoa Kỳ, địa chỉ ví Ethereum này vẫn tiếp tục rửa số tiền ETH đã đánh cắp vào hôm thứ Sáu vừa qua (15/04/2022). Theo các nhà chức trách Hoa Kỳ, địa chỉ ví của nhóm hacker Lazarus đã gửi 2.915 ETH (khoảng 8,8 triệu USD) cho những người dọn dẹp vào sáng nay theo giờ New York (16/04/2022), khoảng một ngày sau khi các quan chức Liên bang đưa địa chỉ này vào cơ sở dữ liệu trừng phạt của họ.

Trước đó vào chiều ngày 15/04, Tornado Cash cũng thông báo đã đưa địa chỉ ví của hacker Ronin vào “danh sách đen” để ngăn địa chỉ ví này rửa tiền. Tornado Cash tuyên bố duy trì sự riêng tư trong tài chính là việc cần thiết để bảo vệ quyền tự do, họ không chấp nhận đánh đổi điều này để cho phép tội phạm hành động. 

Mặc dù vậy, Tornado Cash chỉ chặn mỗi ví gốc của nhóm hacker Lazarus, chứ không chặn những ví đã từng tương tác với địa chỉ ví này. Do đó hacker chỉ cần chuyển tiền sang một địa chỉ ví mới và lại dùng Tornado Cash để tiếp tục rửa tiền.

Một tháng sau khi rút hết hơn 600 triệu USD từ Ronin Network, các tin tặc đang đẩy mạnh công cuộc rửa tiền của mình thông qua Tornado Cash với khoảng 10 triệu USD cho mỗi đợt. 

Công ty phân tích blockchain Elliptic vào hôm thứ Năm (14/04/2022) ước tính hacker Ronin đã rửa 80 triệu USD thông qua Tornado Cash. Các giao dịch vào sáng thứ Sáu (15/04/2022) có thể thêm ít nhất 8 triệu USD vào số tiền này. Hiện tại vẫn chưa ai lý giải chính xác nhóm hacker Lazarus có thể rửa thành công bao nhiêu tiền cho các mục đích riêng của mình.

Trong 10 ngày qua, địa chỉ ví “Ronin Bridge Exploit” đã gửi ETH trị giá hàng triệu USD đến các ví trung gian thông qua Tornado Cash. Dòng tiền di chuyển rất nhanh chóng, mỗi đợt có thể gửi 100 ETH vào Tornado Cash trong vài giờ và bỏ đi số tiền tương đối nhỏ còn lại. 

Sau những động thái trên, địa chỉ ví chính của nhóm Lazarus đã không cố gắng chuyển tiền qua Tornado Cash. Nhưng các nhà điều hành ví vẫn bị xử phạt, chỉ được gửi tiền một lần mỗi ngày. Tuy nhiên hình phạt này cũng không tạo ra nhiều khác biệt cho việc rửa tiền của hacker Lazarus. 

Đến cuối ngày 14/04/2022, FBI mới lên tiếng xác nhận nhóm hacker của Triều Tiên sẽ phải trực tiếp chịu trách nhiệm trong vụ tấn công vào Ronin Network – một sidechain của Axie Infinity. FBI cho biết trong một tuyên bố rằng: “Thông qua cuộc điều tra, chúng tôi có thể xác nhận nhóm Lazarus và APT38 – các tác nhân mạng liên kết với CHDCND Triều Tiên – sẽ phải chịu trách nhiệm cho vụ tấn công bị tổn thất lên đến 620 triệu USD xảy ra vào ngày 29/03/2022.”