Kẻ tấn công Heco Chain vào tháng 11/2023 đã chuyển hơn 40.000 ETH qua máy trộn Tornado Cash trong 8 ngày qua hòng tẩu tán tài sản.
Hacker HECO Chain "tẩu tán" hơn 145 triệu USD qua Tornado Cash
Dữ liệu on-chain từ đơn vị bảo mật PeckShieldAlert cho thấy kẻ tấn công đứng sau vụ hack HECO Chain, blockchain riêng của sàn giao dịch tiền mã hóa HTX (Huobi cũ) vào cuối tháng 11/2023, đang trong quá trình "rửa tiền" thông qua máy trộn Tornado Cash trong tám ngày gần nhất hòng tẩu tán tài sản.
Tính đến ngày 22/03/2024, hacker đã thành công chuyển khoảng 40.391,8 ETH - tương đương trị giá 145,7 triệu USD - qua Tornado Cash với hàng chục giao dịch.
#PeckShieldAlert As of today (22 Mar. 2024, UTC), #HECOBridge exploiters - labeled addresses - have transferred ~$40,391.8 $ETH (equivalent to ~$145.7m) to #TornadoCash within the last 8 days pic.twitter.com/ZfrDvbRQCm
— PeckShieldAlert (@PeckShieldAlert) March 22, 2024
Như Coincuatui đã đưa tin, lợi dụng lỗ hổng trong cầu nối HECO Bridge - được sử dụng để di chuyển tiền giữa Ethereum (ETH) và HECO Chain - hacker nặc danh đã "rút ruột" 86 triệu USD tiền mã hóa bao gồm 20,4 triệu USD ETH, 42,1 triệu USDT, 16,6 triệu USD HBTC (Bitcoin trên HECO), cùng các token khác gồm USDC, SHIB, LINK, TUSD, UNI.
Tiền sau đó đã được kẻ tấn công nhanh chóng di chuyển sang nhiều địa chỉ ví riêng biệt nhằm tránh bị truy vết và swap sang ETH để không bị Tether đóng băng. Tuy nhiên, trang tin The Block tuyên bố tổng thiệt hại có thể lên đến 110 triệu USD khi có thêm lỗ hổng từ HTX.
Ngay khi nắm bắt thông tin vụ việc, nhà sáng lập TRON Justin Sun đã lên tiếng xác nhận vụ hack, thông báo tạm ngừng nạp rút và cam kết sẽ bồi thường cho người dùng bị ảnh hưởng. Song đến nay, HECO Chain vẫn im hơi lặng tiếng và chưa nối lại hoạt động nạp rút. Tài khoản Twitter của HECO Chain cũng không còn cập nhật gì kể từ tháng 02/2023, càng khiến cộng đồng bất an cho tương lai của nền tảng này.
Đáng chú ý, đây là sự cố bảo mật thứ 3 nhắm vào hệ sinh thái HTX thuộc quyền sở hữu của Justin Sun trong năm 2023, sau hai vụ tấn công trước đó của Poloniex (thiệt hại 125 triệu USD) và HTX (tổn thất 7,9 triệu USD). HTX đã thuyết phục hacker trả lại tiền, đổi lấy phần thưởng bug bounty 5% giá trị hack. Poloniex cũng đã đề nghị hacker trả tiền với thưởng lên đến 10 triệu USD, nhưng vẫn chưa có hồi âm.
Tornado Cash là máy trộn giao dịch ETH, từng bị chính quyền Mỹ cáo buộc tiếp tay cho hành vi rửa tiền qua crypto của nhiều tổ chức tin tặc, đưa Tornado Cash vào danh sách trừng phạt và ra lệnh bắt giữ hai nhà sáng lập của dự án. Nhà phát triển Tornado Cash Alexey Pertsev hiện đang bị chính quyền Hà Lan buộc tội rửa tiền trị giá 1,2 tỷ USD và đang chờ xét xử vào ngày 26/03 sắp tới.
Tuy nhiên, smart contract của Tornado Cash vẫn hoạt động bình thường và tiếp tục được cả người dùng crypto lẫn hacker có kỹ năng lập trình cao sử dụng để che giấu giao dịch trên Ethereum.
Coincuatui tổng hợp
Nguồn: Coin68