Vào ngày 11/11/2022, sàn giao dịch FTX đã đệ đơn xin phá sản và CEO – Sam Bankman-Fried, sau đó đã bị bắt với cáo buộc đánh cắp hàng tỷ USD của người dùng.
Trong cùng ngày, khi tình hình khủng hoảng trong doanh nghiệp ngày càng trầm trọng, các tài sản tiền mã hóa được kiểm soát bởi FTX trị giá hàng trăm triệu USD cũng đã bị hack. Mặc dù đã trôi qua vài tháng, danh tính của hacker vẫn còn là một bí ẩn, ngay cả khi các tài sản bị hack liên tục được di chuyển qua các blockchain công khai khác nhau.
Theo một báo cáo từ công ty phân tích blockchain Elliptic, hacker đã tiến hành vụ hack vào lúc 9 giờ 22 phút tối ngày 11/11. Chúng đã chuyển 9.500 ETH (trị giá 15,5 triệu USD vào thời điểm đó) từ ví của FTX sang một ví mới. Trong vài giờ sau đó, hàng trăm loại tiền mã hoá khác cũng đã bị chuyển từ các ví của sàn giao dịch, với tổng giá trị giao dịch cuối cùng lên đến 477 triệu USD.
Tuy nhiên, nhờ sự phản ứng nhanh chóng từ phía nhân viên của FTX và các nhà tư vấn phá sản, hacker đã không thể đánh cắp nhiều hơn. Họ đã kịp thời bảo vệ hơn 300 triệu USD tài sản trước khi hacker có thể xâm nhập.
Sau khi đánh cắp, hacker đã ngay lập tức tiến hành rửa tiền để tránh sự truy vết từ các cơ quan thực thi pháp luật. Trong số các tài sản bị đánh cắp, 434 triệu USD là stablecoins và các đồng altcoin khác, trong đó nhiều loại có thể đã bị đóng băng bởi nhà phát hành do nghi ngờ là tài sản phi pháp. Để tránh bị tịch thu thêm, hacker đã đổi các altcoin thành các đồng khác như Ether nhằm tránh việc bị đóng băng tài sản.
Nếu hacker cố gắng hoán đổng các loại tiền mã hoá trên các sàn giao dịch tập trung như Coinbase, có nguy cơ tài sản của chúng sẽ bị tịch thu. Do đó, chúng thường chuyển sang sàn giao dịch phi tập trung (DEX) như Uniswap và PancakeSwap, sau đó hoán đổi thành các tài sản khác khó bị gắn cờ hay bị đóng băng, nhằm tránh sự truy vết của cơ quan thực thi pháp luật.,
Di chuyển qua nhiều nền tảng blockchain khác nhau nhằm xoá dấu vết
Khi cảm thấy tài sản bị hack đã an toàn trước việc bị tịch thu, hacker tiến hành chuyển chúng qua nhiều hệ thống blockchain khác nhau để làm phức tạp việc theo dõi dòng tiền. Chúng tiếp tục tận dụng các dịch vụ DeFi khác như giao thức cầu nối chuỗi chéo để chuyển tiền từ blockchain này sang một blockchain khác.
Tất cả bắt đầu sau khi tài sản bị đánh cắp trên chuỗi Binance Smart Chain và Solana. Hacker đã không ngần ngại chuyển chúng vào tài khoản Ethereum của mình và kết hợp chúng với các tài sản khác bằng cách sử dụng các dịch vụ cầu nối chuỗi chéo như Multichain và Wormhole.
Lúc này, đã ba ngày kể từ khi vụ hack xảy ra, và hacker đã tích lũy thành công 245.000 ETH trong một tài khoản Ethereum duy nhất, trị giá khoảng 306 triệu USD. Tuy nhiên, số tiền trên đã giảm đi đáng kể do các chi phí hoán đổi tài sản và một số tổ chức phát hành đã đóng băng một phần.
Khi số ETH này “ngủ yên” trong năm ngày và vào ngày 20/11, 65.000 ETH đầu tiên đã bị chuyển sang mạng blockchain Bitcoin bằng cách sử dụng cầu nối chuỗi chéo RenBridge. Một nghiên cứu của Elliptic đã tiết lộ, RenBridge trước đây đã được sử dụng để rửa số tiền lên tới hơn nửa tỷ đô la một cách phi pháp. Điều đáng kinh ngạc là công ty đứng sau RenBridge lại thuộc sở hữu của Alameda Research, một công ty liên quan đến sàn giao dịch FTX. Vậy là số tiền bị đánh cắp từ FTX đang được rửa qua một công cụ mà trên thực tế thuộc sở hữu của công ty liên kết với FTX.
Trộn lẫn
Tại sao lại cần mất thời gian và tiền bạc để đổi Ether thành Bitcoin? Nguyên nhân là do khi thu nhập từ các vụ hack được chuyển sang Bitcoin, hacker thường tận dụng các dịch vụ máy trộn (mixer) Bitcoin có sẵn để xóa sạch dấu vết nguồn gốc của tiền.
Hacker đã thực hiện động thái này một cách thành công. Trong số 4.536 Bitcoin được chuyển từ Ether tại RenBridge, 2.849 BTC đã được gửi qua máy trộn, chủ yếu là trên nền tảng ChipMixer. Mặc dù việc theo dõi các khoản tiền này trở nên khó khăn, nhưng các chuyên gia phân tích đã phát hiện có ít nhất 4 triệu USD đã được chuyển đến các sàn giao dịch, nơi có khả năng đã được rút ra tiền mặt.
Tạm dừng trong chín tháng
180.000 ETH không được hoán đổi thành Bitcoin thông qua RenBridge đã nằm im đến sáng sớm ngày 30/9/2023 – thời điểm này trị giá khoảng 300 triệu USD. Tuy nhiên, tình hình rửa tiền vẫn tiếp tục với việc hoán đổi Ether thành Bitcoin và sau đó tiếp tục thông qua máy trộn. Trong thời gian chín tháng qua, hệ sinh thái tiền mã hóa cũng đã chứng kiến nhiều sự thay đổi đáng chú ý.
RenBridge đã phải đóng cửa sau khi FTX sụp đổ, dẫn đến việc hacker chuyển sang một cầu nối chuỗi chéo khác, là THORSwap. Khoảng 72.500 ETH trị giá 120 triệu USD trong số tài sản bị hack đã được hoán đổi thành Bitcoin thông qua THORSwap. Tuy nhiên, vào ngày 6/10, THORSwap cũng tạm ngừng dịch vụ do nghi ngờ về khả năng trở thành nơi di chuyển tiền phi pháp thông qua THORChain, đặc biệt là THORSwap. Tuy nhiên, hacker vẫn tiếp tục sử dụng cầu nối gốc của THORChain theo nhiều cách khác.
Rất nhiều Bitcoin sau đó đã được đưa vào các máy trộn. Vào tháng 4/2023, ChipMixer đã bị đánh sập trong một hoạt động truy quét quốc tế, nền tảng này bị cáo buộc rửa hơn 3 tỷ USD tiền phi pháp. Thay vào đó, hacker đã bắt đầu chuyển sang sử dụng Sinbad, một máy trộn được ra mắt vào cuối năm 2022.
Nghiên cứu của Elliptic đã phát hiện rằng Sinbad trước đây có tên gọi là Blender, một máy trộn từng bị chính phủ Mỹ trừng phạt vì đã được sử dụng bởi nhóm hacker Lazarus Group của Bắc Triều Tiên để rửa tiền từ các vụ hack. Tuy nhiên, cho đến nay, Sinbad vẫn chưa bị áp đặt biện pháp trừng phạt.
Ai đứng sau vụ hacker FTX?
Gần một năm sau vụ hack trị giá 477 triệu USD từ FTX, danh tính của hacker vẫn chưa được xác định, tạo ra một bí ẩn lớn trong thế giới tiền mã hóa.
Có nhiều giả thiết xoay quanh vụ việc này. Một trong những giả thiết là nội bộ FTX có thể liên quan đến vụ hack, khi một số nhân viên của sàn giao dịch này đã có quyền truy cập vào ví tiền mã hóa của công ty để di chuyển số tài sản này trong một thời kỳ hỗn loạn sau vụ phá sản. Khả năng một người trong công ty đã thực hiện việc này không thể loại trừ.
Một giả thiết khác là nghi phạm có thể là chính Sam Bankman-Fried, nhưng khả năng tiếp cận hạn chế vào internet của anh ta đã gây khó khăn cho bất kỳ nỗ lực rửa tiền nào. Đáng chú ý, lúc 3 giờ 41 phút chiều theo giờ miền đông của Mỹ vào ngày 4/10/2023, 15 triệu USD trong số tiền bị đánh cắp đã được di chuyển – vào thời điểm mà Bankman-Fried đang hầu toà án và không thể sử dụng internet.
Vụ hack được thực hiện dễ dàng hơn do các biện pháp bảo mật lỏng lẻo của FTX. CEO mới của FTX đã tiết lộ rằng, khóa riêng tư của các ví chứa tài sản trên sàn giao dịch đã được lưu trữ dưới dạng không mã hóa, và một cựu nhân viên cũng tiết lộ rằng hơn 150 triệu USD bị đánh cắp từ Alameda Research là kết quả của lỗi bảo mật.
Các dấu vết cho thấy sự tham gia của nhóm Lazarus Group thông qua việc sử dụng dịch vụ trộn Sinbad, nhưng các phương pháp rửa tiền không phức tạp như các phương pháp cũ của Lazarus. Điều này làm dấy lên sự nghi ngờ về sự tham gia của một đối tượng liên quan đến Nga, bao gồm các nhóm tấn công ransomware và thị trường darknet. Một số tài sản bị đánh cắp đã được truy vết thông qua ChipMixer, với nhiều giao dịch liên quan đến tiền từ các nhóm tội phạm Nga trước khi được gửi đến các sàn giao dịch. Cho thấy đã có sự tham gia của một nhà môi giới hoặc trung gian có liên quan đến Nga.
Dù là ai đứng sau vụ hack, tài sản bị đánh cắp vẫn sẽ tiếp tục được di chuyển và rửa tiền thông qua các công cụ blockchain, bằng cách sử dụng kỹ thuật rửa tiền chéo và đa chuỗi để tránh bị đóng băng và che giấu nguồn gốc tiền. Tuy nhiên, hacker đã phải chịu mất khoảng 94 triệu USD trong những ngày đầu tiên sau vụ hack, do bị đóng băng bởi các nhà phát hành và các chi phí liên quan.
Một điều đáng chú ý là phần lớn số tiền bị đánh cắp đã được giữ yên trong vài tháng, cho đến gần thời điểm bắt đầu phiên tòa Sam Bankman-Fried tại New York. Hacker được cho là có thể chờ đợi nhiều năm để chuyển và rút tiền khi sự chú ý của công chúng đã giảm đi. Nhưng trong trường hợp này, chúng đã bắt đầu hành động ngay khi sự chú ý của thế giới một lần nữa hướng về FTX và các sự kiện vào tháng 11/2022. Vấn đề này đã làm dấy lên nhiều câu hỏi khó tìm được câu trả lời.
