Lazarus Group của Triều Tiên đã tung ra một đồng tiền meme vào sáng Chủ Nhật có tên là QinShihuang trên nền tảng Pump Fun để rửa 26 triệu USD trong số gần 1.5 tỷ USD mà họ đã đánh cắp từ sàn giao dịch tiền điện tử Bybit.
Theo thông tin Fiahub ghi nhận, ZachXBT là người đầu tiên vạch trần điều này. Như thường lệ, tài khoản này xác nhận rằng ví liên quan (5STkQy…95T7Cq) đã gửi chính xác 60 SOL đến một ví khác (9Gu8v6…aAdqWS) trước khi tung ra nửa triệu token QinShihuang. Chỉ trong vòng ba giờ, những token này đã được giao dịch rất nhiều và khối lượng giao dịch nhanh chóng đạt tới 26 triệu USD.
Zach đã truy tìm nguồn tiền một cách rõ ràng. Ông cho biết những kẻ tấn công đã chuyển 1.08 triệu USD USDC bị đánh cắp từ Bybit đến địa chỉ ví 0x363…7d7d1 vào ngày 22/2. Những kẻ tấn công Bybit đã chuyển những khoản tiền này từ Ethereum sang blockchain Solana, sử dụng ví EFmq…Bdq2P.
Nội dung bài viết
Lazarus thực hiện điều này như thế nào?
Sau đó, Lazarus đã chuyển USDC sang Binance Smart Chain (BSC). Thông tin của Zach cho thấy hai ví riêng biệt tự động chia USDC bị đánh cắp thành hơn ba mươi địa chỉ khác nhau, chia nhỏ số tiền thành các khoản chuyển nhỏ hơn, khó theo dõi hơn.
Sau khi chia tách, Lazarus sau đó kết hợp lại các lô tiền nhỏ hơn này thành một ví: 0x0be…7b55a3. Zach đã xác nhận ví 0x0be9 sau đó chia nhỏ các khoản tiền này thêm một chút, gửi 106,000 USDC đều cho mười ví mới. Mười ví đó một lần nữa bắc cầu mọi thứ trở lại Solana, hoàn thành một chu kỳ blockchain đầy đủ được thiết kế riêng để gây nhầm lẫn cho các trình theo dõi blockchain.
Zach cũng nhận thấy một điều kỳ lạ khác. Nhiều địa chỉ Solana này đã nhận được các giao dịch “bụi” tiền meme nhỏ từ những kẻ lừa đảo ngẫu nhiên. Lazarus, thay vì bỏ qua bụi này, bắt đầu tích cực hoán đổi các đồng meme này trở lại SOL. Họ đã dọn sạch SOL bẩn, trộn lẫn nó và chuyển tiền thông qua các giao dịch Pump Fun—chính xác như với QinShihuang.
Zach đã công khai các địa chỉ liên quan—khoảng 920 ví—nhưng đã xóa các ví cụ thể khỏi giao diện phần mềm theo dõi để ngăn Lazarus nhanh chóng ẩn dấu vết một lần nữa.
Số tiền Bybit bị đánh cắp sau đó đã xuất hiện trên nhiều sàn giao dịch tiền điện tử và nền tảng hoán đổi, biến mất lặng lẽ sau các giao dịch có vẻ hợp pháp.
CEO của Helius Labs, Mert đã bình luận trực tiếp về những rủi ro, nói rằng các nhóm xây dựng ứng dụng phi tập trung không có bộ lọc hoặc biện pháp bảo vệ đang mắc phải một sai lầm lớn. Ông đã so sánh các ứng dụng tiền điện tử với email, trong đó công nghệ cơ bản là trung lập, nhưng phần mềm dành cho người dùng—như Gmail—chặn các tác nhân độc hại đã biết.
Theo Mert, các ứng dụng tiền điện tử phải triển khai cùng một bộ lọc cơ bản nếu chúng biết các địa chỉ ví cụ thể thuộc về các nhóm tội phạm như Lazarus. Mert nói rõ rằng ông không đích thân xác minh xem Lazarus có trực tiếp phát hành tiền hay không, nhưng ông đưa ra bình luận của mình để cảnh báo các nhà phát triển nói chung về những rủi ro như thế này.
Mert đặc biệt đặt câu hỏi tại sao Pump Fun không đưa các ví liên quan đến Lazarus vào danh sách đen. Với khối lượng giao dịch của Pump Fun quá cao, Lazarus dễ dàng mua coin trên các ví sạch, đẩy giá lên cao bằng SOL bị đánh cắp, sau đó bán hết tất cả trở lại các ví sạch đó. Thông qua giao dịch pump-and-dump đơn giản, Lazarus đã biến tiền điện tử bị đánh cắp có thể truy nguyên rõ ràng thành lợi nhuận sạch, không thể truy nguyên.
Không phải lần đầu tiên Lazarus làm điều này
Những khám phá của Zach cho thấy Lazarus đã từng làm điều này trước đây. Một số địa chỉ từ chương trình rửa tiền hiện tại trước đây đã tung ra các đồng meme khác trên Pump Fun. Điều này có nghĩa là Lazarus đã nhiều lần khai thác hoạt động giao dịch của Pump Fun để rửa tiền.
SlowMist, một công ty nghiên cứu bảo mật, chỉ ra rằng Lazarus đã sử dụng nền tảng trộn tiền điện tử eXch rất nhiều. eXch đã trực tiếp từ chối giúp đỡ khi Bybit yêu cầu hợp tác. Thay vào đó, eXch đã đăng yêu cầu chặn từ Bybit một cách công khai và tức giận từ chối. SlowMist đã thúc giục các nền tảng tiền điện tử tăng cường các biện pháp bảo mật chống lại các khoản tiền đến từ eXch, nơi Lazarus thường xuyên sử dụng để chuyển đổi ETH bị đánh cắp thành các loại tiền điện tử khó theo dõi hơn như Bitcoin và Monero.
Linh Bùi là một nhà sáng tạo nội dung, chuyên gia nghiên cứu trong lĩnh vực tài chính nói chung và tiền điện tử nói riêng. Với mong muốn chia sẻ các tuyến bài viết chuyên về kiến thức, cập nhật tin tức về thị trường tài chính tại Việt Nam và trên toàn cầu, Linh Bùi đã và đang tham gia với vai trò biên tập viên/người sáng tạo nội dung tại một số nền tảng, sàn giao dịch như Fiahub, BeInCrypto, Mitrade, Finixio, Dr.Localize… Trong mỗi bài viết của mình, Linh Bùi đều mong muốn đơn giản hóa các khái niệm tài chính liên quan, giảm thiểu rào cản gia nhập cho độc giả, đặc biệt là những người mới tham gia.
