Chính phủ Hoa Kỳ đã đệ trình hai lệnh tịch thu nhằm thu hồi 2,67 triệu USD bị Lazarus Group đánh cắp từ hai vụ hack Deribit và Stake.com.
Hoa Kỳ tiến hành thu giữ 2,7 triệu USD từ các vụ hack của Lazarus Group
Trong một loạt động thái pháp lý mới nhất, chính phủ Hoa Kỳ đã đệ trình hai lệnh tịch thu tài sản nhằm thu hồi khoảng số tiền 2,67 triệu USD bị đánh cắp bởi Lazarus Group – nhóm hacker khét tiếng do chính quyền Triều Tiên hậu thuẫn.
Theo tài liệu nộp ngày 06/10, lệnh tịch thu nhắm vào hai vụ hack lớn bao gồm 1,7 triệu USDT từ sàn giao dịch quyền chọn Deribit và 15,5 Bitcoin (trị giá khoảng 971.000 USD) từ Stake.com.
Vào tháng 11/2022, Lazarus Group đã tấn công ví nóng của sàn Deribit, chiếm đoạt 28 triệu USD. Sau đó, nhóm này đã chuyển số tài sản bị đánh cắp qua Ethereum (ETH) và USDC, rồi sử dụng Tornado Cash để che giấu các giao dịch. Sau đó, số tài sản đã được "rửa sạch" tiếp tục được chuyển qua nhiều ví ETH khác nhau trước khi được đổi thành USDT trên TRON.
Quy trình rửa tiền của Lazarus Group trong vụ hack sàn Deribit
Cơ quan thực thi pháp luật đã lần ra khoản tiền thông qua Tornado Cash nhờ phát hiện những điểm trùng lặp giữa các ví Ethereum. Các ví này có giao dịch diễn ra trong cùng khoảng thời gian (chỉ cách nhau vài phút), sử dụng cùng các loại cầu nối và nhận phí giao dịch từ cùng một địa chỉ. Cuối cùng, các khoản tiền này đều được gom về chung một ví.
Những kẻ tấn công đã cố gắng chuyển đổi tài sản Ethereum sang USDT qua ba đợt. Trong hai đợt đầu tiên, quá trình này bị gián đoạn khi cơ quan chức năng đóng băng 1,7 triệu USDT trong năm ví liên quan. Tuy nhiên, đến đợt thứ ba, các hacker đã thành công trong việc rửa phần còn lại của số tài sản.
Lệnh tịch thu thứ 2 liên quan đến vụ hack trang cá cược trực tuyến Stake.com với số tiền lên tới 41 triệu USD của Lazarus Group sau đó tiến hành rửa tiền gồm ba giai đoạn. Giai đoạn đầu là chuyển đổi tài sản bị đánh cắp thành BTC qua cầu nối Avalanche's Bitcoin bridge. Tiếp theo, số BTC này được chuyển qua các dịch vụ trộn tiền như Sinbad, Yonmix để xóa dấu vết giao dịch và cuối cùng là chuyển đổi BTC thành stablecoin.
Theo hồ sơ được gửi đi, lực lượng thực thi đã kịp thời đóng băng tài sản từ bảy giao dịch liên quan đến quá trình chuyển đổi tài sản bị đánh cắp thành các token như MATIC của Polygon hoặc BNB của Binance Smart Chain trước khi đưa qua cầu nối Avalanche để đổi thành BTC. Tuy nhiên, dù có sự can thiệp của chính phủ, nhóm hacker vẫn chuyển thành công phần lớn số tiền sang blockchain Bitcoin.
Trong giai đoạn hai, khi Lazarus Group sử dụng các "máy trộn" trên mạng Bitcoin, cơ quan chức năng đã cố gắng lần theo dòng tiền qua cả hai dịch vụ này nhưng chỉ thu hồi được thêm 0,099 BTC.
Lazarus Group, một nhóm tội phạm mạng được chính quyền Triều Tiên hậu thuẫn đã trở thành một trong những tổ chức hacker nguy hiểm nhất trong không gian blockchain. Các hoạt động của nhóm không chỉ dừng lại ở việc đánh cắp tiền mà còn đóng vai trò chính trong việc cung cấp tài chính cho các chương trình phát triển vũ khí hủy diệt hàng loạt của Triều Tiên.
Nhóm hacker này đã thực hiện hàng loạt cuộc tấn công lớn nhắm vào các nền tảng tiền mã hóa như là Ronin, Orbit Chain, CoinEx, Atomic Wallet, Harmony,... và mới nhất là sàn WazirX hồi tháng 07/2024. Ước tính, nhóm này đã bỏ túi hơn 3 tỷ USD trong 3 năm qua, theo báo cáo của công ty an ninh mạng Recorded Future.
Cơ quan chức năng và các bên liên quan đã bắt đầu triển khai những biện pháp cứng rắn hơn để đối phó với Lazarus Group. Điển hình là động thái các nhà phát hành stablecoin đã phong tỏa 5 triệu USD tài sản của nhóm này. Những mánh khóe tinh vi mà Lazarus sử dụng để tấn công và rửa tiền đã dần được "đưa ra ánh sáng". Tuy nhiên, việc truy vết và triệt phá nhóm hacker này vẫn là một thách thức lớn, đặc biệt khi Lazarus liên tục "nâng cấp" các "chiêu trò" của mình, khiến quá trình điều tra ngày càng trở nên phức tạp và khó khăn.
Coincuatui tổng hợp
Nguồn: Coin68