Tin tặc tấn công Bybit đã chuyển ít nhất 209,384 ETH, tương đương khoảng 480 triệu USD, sang Bitcoin, theo ước tính từ Taylor Monahan, Trưởng bộ phận An ninh của MetaMask. Con số này chiếm hơn một nửa trong khoảng 400,000 ETH bị lấy từ sàn giao dịch, chưa tính các token khác bị rút. Trong đó, ít nhất 240 triệu USD đã được rửa qua ThorChain, theo dữ liệu từ Arkham Intelligence, đơn vị đang theo dõi các ví kỹ thuật số liên quan đến nhóm hacker. Arkham cho biết số tiền điện tử bị đánh cắp “chủ yếu được hoán đổi sang BTC gốc.”

ALERT: LAZARUS LAUNDERING THROUGH THORCHAIN - MINIMUM $240M SO FAR

Over $240M of ETH has been sent through Thorchain by Lazarus-tagged wallets on Arkham.

These funds have mainly been swapped for native BTC. pic.twitter.com/C1EYtj6aFw

— Arkham (@arkham) February 27, 2025

Vào thứ Sáu tuần trước, Arkham Intelligence thông báo rằng nhóm Lazarus của Triều Tiên đã hack Bybit, lấy đi hơn 1,5 tỷ USD, dựa trên thông tin từ nhà điều tra trực tuyến ZachXBT. Cục Điều tra Liên bang Mỹ (FBI) sau đó xác nhận vụ hack do các tác nhân độc hại “TraderTraitor” của Triều Tiên thực hiện, trong đó bao gồm nhóm Lazarus. FBI cho hay các tác nhân “TraderTraitor” đang hành động nhanh chóng, đã chuyển một phần tài sản bị đánh cắp sang Bitcoin và các tài sản ảo khác, phân tán qua hàng nghìn địa chỉ trên nhiều blockchain, với dự đoán rằng chúng sẽ tiếp tục được rửa và cuối cùng chuyển thành tiền pháp định.

Các chuyên gia bảo mật Ethereum nhận định vụ hack 1,5 tỷ USD này khó theo dõi hơn bình thường. Lazarus nổi tiếng với việc chia nhỏ quỹ và sử dụng nhiều giao thức để chuyển tiền, nhưng vụ khai thác này liên quan đến hàng nghìn giao dịch riêng lẻ. Nhà nghiên cứu ẩn danh SomaXBT chia sẻ trên X rằng việc theo dõi vụ hack Bybit rất phức tạp, chỉ một đoạn truy vết hai bước (mỗi bước 10 ETH) đã khiến máy tính của anh quá tải.

Tổng cộng, tin tặc đã rút hơn 400,000 ETH (khoảng 1,1 tỷ USD tại thời điểm đó), 90,000 stETH, 15,000 cmETH và 8,000 cETH trong vụ tấn công. Tuy nhiên, chưa rõ lượng ETH mà tin tặc hiện còn nắm giữ, vì một số tài sản, bao gồm 43 triệu USD mETH, đã bị đóng băng.

Monahan từ MetaMask ước tính rằng tin tặc đã chuyển ít nhất 161,490 ETH, trị giá 370 triệu USD theo giá hiện tại, thông qua 3,934 giao dịch cầu nối riêng biệt đến ThorChain trong 115 giờ kể từ khi vụ hack xảy ra. Bà tính toán rằng điều này tương đương 3,229,800 USD mỗi giờ và chiếm phần lớn trong tổng số 209,384 ETH được cho là đã chuyển sang Bitcoin. Lazarus dường như sử dụng hai cầu nối không lưu ký chính cho vụ tấn công: ThorChain và eXch. Tuy nhiên, eXch, vốn nổi tiếng với việc kiểm soát KYC lỏng lẻo, đã vô hiệu hóa hoán đổi ETH và token ERC-20, hạn chế khả năng chuyển tiền sang Bitcoin của tin tặc.

Vào thứ Tư, CEO Bybit thông báo sàn sẽ treo thưởng 5% cho các sàn giao dịch, cầu nối và mixer hỗ trợ đóng băng các quỹ liên quan đến vụ tấn công, mở rộng từ mức thưởng 10% ban đầu dành cho bất kỳ ai trả lại tiền. Chưa rõ liệu eXch đã nhận thưởng hay chưa. Trong số 161,490 ETH được xác nhận đi qua ThorChain, tin tặc đã sử dụng nhiều công cụ blockchain như Asgardex, DeFiSwap, FortunaSwap, GemWallet, LiFi, ShapeShift, TrustWallet và nhiều công cụ khác để chuyển tiền, theo dữ liệu blockchain.

ThorChain ghi nhận ngày giao dịch lớn nhất vào thứ Tư với hơn 737 triệu USD giá trị token được hoán đổi. Người dùng ThorChain @diplo nhận xét rằng tất cả đều đến từ tin tặc Lazarus, nhưng cho rằng đây là chiến thắng cho ThorChain, dù lo ngại về giá khi các hoán đổi này dừng lại. Token gốc của ThorChain, RUNE, đã đạt mức giá cao nhất 1,60 USD kể từ vụ hack, nhưng vẫn thấp hơn nhiều so với mức đỉnh 10 USD trong năm 2024 và kỷ lục 19,30 USD.

Người dùng @AirdropGlideapp cảnh báo trên X rằng việc ThorChain không ngăn chặn dòng ETH bị đánh cắp qua nền tảng sẽ không kết thúc tốt đẹp, chỉ trích sự bất lực trong việc dừng hoạt động rửa tiền của Triều Tiên. Một số bài đăng trên X cho thấy có sự chia rẽ nội bộ về dòng tiền liên quan đến Lazarus. Sáng thứ Năm, ba validators đã bỏ phiếu từ chối các giao dịch liên quan đến vụ hack Bybit, tạm thời останов dòng tiền, nhưng quyết định này bị đảo ngược trong vài phút do cơ chế đồng thuận cực kỳ phi tập trung của ThorChain, theo giải thích của một người dùng.

Nhà phát triển cốt lõi ẩn danh của ThorChain, “Pluto,” đã kêu gọi giải quyết vấn đề rửa tiền trên chuỗi trước khi tuyên bố từ chức. TCB, một trong ba validators bỏ phiếu dừng giao dịch ETH trên ThorChain, cho biết anh gặp khó khăn trong việc ngăn chặn rửa tiền của Triều Tiên. Anh cảnh báo trên X rằng khi phần lớn dòng tiền là tài sản bị đánh cắp từ vụ trộm lớn nhất lịch sử nhân loại, điều này sẽ trở thành vấn đề an ninh quốc gia, đồng thời nhận định ThorChain không đủ phi tập trung để chống lại các cuộc tấn công pháp lý.

Ngay sau khi rút tiền từ ví lạnh Bybit, Lazarus chuyển số tiền bị đánh cắp vào ba địa chỉ “phân phối” riêng biệt – 0xB4a, 0x23Ob và 0x83E – sau đó chia nhỏ thành hàng chục địa chỉ mới tạo. Nhóm này cũng hoán đổi các dẫn xuất ETH như stETH và cETH sang ETH bằng các sàn phi tập trung như Uniswap, Paraswap và KyberSwap.