Điều tra tiết lộ các liên kết rửa tiền Tornado Cash liên quan đến vụ hack ví tiền điện tử trị giá 282 triệu USD

Tóm tắt CertiK liên kết các luồng mixer tới sự cố ví trị giá 282 triệu USD Công ty an ninh blockchain CertiK đã lần theo $63 triệu dòng chảy qua Tornado Cash tới vụ vi phạm ví tiền điện tử ngày 10 tháng 1 khiến số tiền bị đánh cắp lên tới 282 triệu USD. Đội ngũ này xác định hoạt động rửa tiền mới và xác nhận các động thái gần đây của quỹ liên quan đến sự cố ban đầu. Hơn nữa, liên kết mới mở rộng đáng kể phạm vi thời gian hoạt động kể từ vụ trộm. Theo CertiK, kẻ tấn công đã chuyển tiền bị đánh cắp qua nhiều blockchain trước khi gửi chúng qua giao thức bảo mật Tornado Cash. Công ty phát hiện ra các giao dịch có cấu trúc, đưa Ether (ETH) qua một chuỗi địa chỉ trước khi nạp vào Tornado Cash. Tuy nhiên, mẫu hình này gần tương đồng với các phương thức rửa tiền đã thấy ở các vụ trộm tiền điện tử quy mô lớn trước đây. Chuyển động liên chuỗi và các giao dịch gộp có cấu trúc Cuộc điều tra cho thấy phần lớn BTC bị đánh cắp ban đầu được cầu nối sang Ethereum và sau đó đổi thành ETH. CertiK nhấn mạnh một địa chỉ nhận đã tích lũy 19.600 ETH sau giao trình liên chuỗi này. Tuy nhiên, số dư này nhanh chóng bị phân mảnh thành các lô nhỏ hơn, sau đó lại được di chuyển lần nữa trước khi được gửi tới Tornado Cash. Con số 63 triệu USD chỉ là một phần giá trị bị đánh cắp, nhưng cho thấy thiết kế có hệ thống của vụ việc. Các nhà phân tích ghi nhận các giao dịch theo lô lặp đi lặp lại, được sắp xếp có chủ đích để giảm sự xem xét trên chuỗi và kéo dài chuỗi rửa tiền. Hơn nữa, việc sử dụng Tornado Cash một cách nhịp nhàng, có nhịp độ nhịp, nhấn mạnh ý định của kẻ tấn công là làm phức tạp bất kỳ quá trình theo dõi ví tiền điện tử bị hack. Các nhà chuyên gia lưu ý rằng các mẫu rửa tiền qua giao dịch theo lô như thế này đang trở nên phổ biến hơn trong các vụ trộm tinh vi. Kẻ tấn công liên tục chuyển tiền qua các địa chỉ mới và các chuỗi khác nhau, sử dụng khoảng trống thời gian và số tiền biến đổi để tránh chùm giao dịch dễ nhận diện. Do đó, mỗi cú nhảy thêm trước mixer làm mất đi sự liên kết trực tiếp với ví nguồn. Tracing limitations once funds hit Tornado Cash Các nhóm an ninh tiền điện tử nhấn mạnh rằng Tornado Cash deposits làm giảm mạnh cơ hội thu hồi quỹ tiền mã hóa sau khi chu kỳ trộn hoàn tất. Mixer phá vỡ các liên kết nhìn thấy giữa các địa chỉ gửi đi và nhận, làm suy yếu phân tích trên chuỗi thông thường. Tương tự, việc truy vết toàn bộ số lượng lối thoát trở nên khó hơn sau khi quỹ rời khỏi bể. Vụ việc ngày 10 tháng 1 đã theo cùng khuôn mẫu, với các nhảy ví bổ sung được thực hiện ngay trước mỗi lần nạp mixer. Các nhà điều tra xác nhận các bước nhảy phút cuối này tạo thêm khoảng cách từ ví nguồn. Hơn nữa, khoảnh khắc quỹ được chuyển vào Tornado Cash đánh dấu một rào chắn quyết định cho các nỗ lực theo dõi sau này. Các hãng an ninh cũng báo cáo các lựa chọn giảm thiểu rất hạn chế sau khi các bước rửa tiền Tornado Cash đã bắt đầu. Một số nền tảng tập trung đã có thể cảnh báo và đóng băng các mảnh nhỏ chạm vào dịch vụ của họ. Tuy nhiên, các bloc đó chỉ chiếm một phần nhỏ tổng mức, và phần lớn tài sản di chuyển ngoài tầm với trong giai đoạn mixer sớm. Tấn công bằng kỹ thuật xã hội kích hoạt việc xâm phạm đầy đủ ví Kiểm tra nền tảng cho thấy vụ vi phạm bắt đầu bằng một sự cố ví bị xâm nhập qua kỹ thuật xã hội được nhắm tới. Kẻ tấn công giả danh nhân viên hỗ trợ hợp lệ và thuyết phục nạn nhân tiết lộ một seed phrase quan trọng để bảo vệ quyền truy cập vào ví. Do đó, kẻ xâm nhập đã có quyền kiểm soát trực tiếp đáng kể quỹ Bitcoin và Litecoin dự trữ trong tài khoản bị rò rỉ. Ví tiền chứa hơn 1,459 BTC và hơn 2 triệu LTC trước vụ trộm, theo hồ sơ tái dựng của CertiK. Một phần số dư này được chuyển đổi sang các tài sản số khác trong giai đoạn đầu của quá trình rửa tiền. Hơn nữa, các phần vốn được chuyển giữa nhiều mạng lưới, sử dụng các thủ thuật rửa tiền xuyên chuỗi trước khi thực hiện các chuyển cuối cùng vào mixer Tornado Cash. Các nhà phân tích an ninh tiếp tục theo dõi các động thái mới từ bất kỳ địa chỉ nào liên quan đến vụ hack, mặc dù họ dự đoán chỉ có tiến triển từng bước. Việc lặp đi lặp lại việc sử dụng giao thức Tornado Cash cho thấy một kế hoạch có chủ đích nhằm xóa bỏ dấu vết giao dịch và khai thác thiết kế của mixer. Nhìn chung, vụ việc cho thấy cách phối hợp kỹ thuật xã hội, chuyển tiền xuyên chuỗi và các giao dịch nạp vào mixer có thể hạn chế nghiêm trọng triển vọng thu hồi trong các vụ trộm tiền điện tử quy mô lớn.