Vào ngày 21 tháng 2 năm 2025, một nền tảng giao dịch Tài sản tiền điện tử nổi tiếng đã gặp phải một sự cố lỗ hổng bảo mật nghiêm trọng, dẫn đến việc khoảng 1,5 tỷ đô la tài sản bị đánh cắp từ ví lạnh Ethereum của họ. Sự kiện này được coi là vụ trộm lớn nhất trong lịch sử Tài sản tiền điện tử, vượt qua những vụ trộm quy mô lớn khác đã xảy ra vào năm 2021 và 2022, gây ra cú sốc lớn cho toàn ngành.
Bài viết này sẽ trình bày chi tiết về diễn biến của sự kiện hack này và các phương pháp rửa tiền của nó, đồng thời nhắc nhở người đọc lưu ý đến nguy cơ đóng băng tài sản quy mô lớn có thể xảy ra đối với những nhóm giao dịch ngoài trời và các công ty thanh toán tiền điện tử trong vài tháng tới.
Quá trình trộm cắp
Theo mô tả của các giám đốc điều hành nền tảng giao dịch và cuộc điều tra sơ bộ của công ty phân tích blockchain, quá trình trộm cắp diễn ra như sau:
Chuẩn bị tấn công: Hacker đã triển khai một hợp đồng thông minh độc hại ít nhất ba ngày trước khi sự việc xảy ra, chuẩn bị cho cuộc tấn công tiếp theo.
Xâm nhập hệ thống chữ ký đa dạng: Ví lạnh Ethereum của nền tảng giao dịch này sử dụng cơ chế chữ ký đa dạng, thường yêu cầu nhiều bên được ủy quyền ký để thực hiện giao dịch. Tin tặc đã xâm nhập vào máy tính quản lý ví đa chữ ký bằng cách chưa rõ, có thể đã sử dụng giao diện giả mạo hoặc phần mềm độc hại.
Giao dịch giả mạo: Vào ngày xảy ra sự việc, nền tảng giao dịch đã lên kế hoạch chuyển ETH từ ví lạnh sang ví nóng để đáp ứng nhu cầu giao dịch hàng ngày. Tin tặc đã lợi dụng thời điểm này, làm giả giao diện giao dịch thành thao tác bình thường, dụ dỗ người ký xác nhận một giao dịch có vẻ hợp pháp. Tuy nhiên, chữ ký thực tế thực thi là một lệnh thay đổi logic hợp đồng thông minh của ví lạnh.
Chuyển tiền: Sau khi lệnh có hiệu lực, hacker đã nhanh chóng kiểm soát ví lạnh, chuyển một lượng lớn ETH và chứng chỉ staking ETH đến một địa chỉ không xác định. Sau đó, tiền được phân tán đến nhiều ví và bắt đầu quy trình rửa tiền.
Phương pháp rửa tiền
Quá trình rửa tiền chủ yếu được chia thành hai giai đoạn:
Giai đoạn đầu tiên là phân tách vốn sớm. Kẻ tấn công nhanh chóng đổi chứng nhận đặt cọc ETH thành token ETH, thay vì chọn stablecoin có thể bị đóng băng. Sau đó, họ chuyển ETH đã được phân tách nghiêm ngặt đến địa chỉ cấp dưới, để chuẩn bị cho việc rửa tiền.
Đáng chú ý là, ở giai đoạn này, hành vi của kẻ tấn công cố gắng đổi 15000 chứng chỉ đặt cọc ETH sang ETH đã được ngăn chặn kịp thời, giúp ngành công nghiệp khôi phục một phần thiệt hại.
Giai đoạn thứ hai là công việc rửa tiền cụ thể. Kẻ tấn công sử dụng nhiều cơ sở hạ tầng ngành công nghiệp tập trung và phi tập trung để thực hiện chuyển tiền và hoán đổi, bao gồm nền tảng giao dịch xuyên chuỗi, sàn giao dịch phi tập trung, v.v. Một số nền tảng được sử dụng để hoán đổi tiền, trong khi những nền tảng khác được sử dụng để chuyển tiền xuyên chuỗi.
Tính đến hiện tại, một lượng lớn tiền bị đánh cắp đã được chuyển đổi thành các tài sản tiền điện tử chính như Bitcoin, Dogecoin, Solana để thực hiện việc chuyển giao. Kẻ tấn công thậm chí còn phát hành mã hóa meme hoặc chuyển tiền vào địa chỉ sàn giao dịch để gây nhầm lẫn.
Công ty phân tích blockchain đang theo dõi và truy dấu các địa chỉ liên quan đến quỹ bị đánh cắp, thông tin về mối đe dọa liên quan sẽ được đồng bộ hóa và gửi đến nền tảng chuyên nghiệp của họ, nhằm ngăn chặn người dùng nhận nhầm quỹ bị đánh cắp.
Phân tích tổ chức hacker
Thông qua việc phân tích dòng tiền, các nhà nghiên cứu phát hiện rằng cuộc tấn công này có liên quan đến hai sự kiện bị đánh cắp trên sàn giao dịch diễn ra vào tháng 10 năm 2024 và tháng 1 năm 2025, cho thấy ba vụ tấn công này có thể được lên kế hoạch bởi cùng một tổ chức hacker.
Kết hợp giữa các phương pháp rửa tiền công nghiệp hóa cao và các phương thức tấn công, một số chuyên gia an ninh blockchain suy đoán rằng sự kiện này có thể liên quan đến một tổ chức hacker khét tiếng. Tổ chức này đã nhiều lần thực hiện các cuộc tấn công mạng nhằm vào các tổ chức và cơ sở hạ tầng trong ngành tài sản tiền điện tử trong vài năm qua, đã thu được hàng tỷ đô la tài sản tiền điện tử một cách bất hợp pháp.
Rủi ro đóng băng tiềm ẩn
Theo các cuộc khảo sát trong vài năm qua, các nhà nghiên cứu phát hiện ra rằng tổ chức hacker này không chỉ sử dụng nền tảng phi tập trung để rửa tiền mà còn tận dụng rất nhiều nền tảng giao dịch tập trung để bán phá giá. Điều này trực tiếp dẫn đến việc nhiều tài khoản người dùng sàn giao dịch vô tình nhận tiền bẩn bị kiểm soát rủi ro, và địa chỉ kinh doanh của các nhà giao dịch OTC và tổ chức thanh toán bị đóng băng.
Ví dụ, vào năm 2024, một sàn giao dịch tiền điện tử Nhật Bản đã bị tấn công, 600 triệu USD Bitcoin đã bị đánh cắp. Một phần quỹ đã được chuyển đến một tổ chức thanh toán mã hóa ở khu vực Đông Nam Á, dẫn đến việc địa chỉ ví nóng của tổ chức này bị đóng băng, gần 30 triệu USD quỹ đã bị khóa.
Năm 2023, một nền tảng giao dịch nổi tiếng khác đã bị tấn công, gây thiệt hại hơn 100 triệu USD. Một phần tài sản tiền điện tử bị đánh cắp đã được rửa tiền thông qua hình thức giao dịch ngoài sàn, dẫn đến việc nhiều địa chỉ giao dịch ngoài sàn bị đóng băng, hoặc tài khoản của họ tại sàn giao dịch bị kiểm soát rủi ro, ảnh hưởng nghiêm trọng đến hoạt động kinh doanh bình thường.
Kết luận
Các sự kiện tấn công hacker xảy ra thường xuyên không chỉ gây ra thiệt hại lớn cho ngành tài sản tiền điện tử, mà các hoạt động rửa tiền sau đó còn ảnh hưởng đến nhiều cá nhân và tổ chức vô tội hơn. Đối với những nạn nhân tiềm năng này, việc giữ cảnh giác trong hoạt động hàng ngày và theo dõi chặt chẽ các dòng tiền đáng ngờ là chìa khóa để tránh thiệt hại đến lợi ích của bản thân. Với sự nỗ lực chung của các cơ quan quản lý và những người tham gia trong ngành, chúng tôi hy vọng có thể xây dựng một hệ sinh thái tài sản tiền điện tử an toàn và minh bạch hơn.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
15 tỷ USD ETH bị hacker đánh cắp, ngành mã hóa đối mặt với thách thức an ninh nghiêm trọng.
Tài sản tiền điện tử nền tảng遭遇重大安全事件
Vào ngày 21 tháng 2 năm 2025, một nền tảng giao dịch Tài sản tiền điện tử nổi tiếng đã gặp phải một sự cố lỗ hổng bảo mật nghiêm trọng, dẫn đến việc khoảng 1,5 tỷ đô la tài sản bị đánh cắp từ ví lạnh Ethereum của họ. Sự kiện này được coi là vụ trộm lớn nhất trong lịch sử Tài sản tiền điện tử, vượt qua những vụ trộm quy mô lớn khác đã xảy ra vào năm 2021 và 2022, gây ra cú sốc lớn cho toàn ngành.
Bài viết này sẽ trình bày chi tiết về diễn biến của sự kiện hack này và các phương pháp rửa tiền của nó, đồng thời nhắc nhở người đọc lưu ý đến nguy cơ đóng băng tài sản quy mô lớn có thể xảy ra đối với những nhóm giao dịch ngoài trời và các công ty thanh toán tiền điện tử trong vài tháng tới.
Quá trình trộm cắp
Theo mô tả của các giám đốc điều hành nền tảng giao dịch và cuộc điều tra sơ bộ của công ty phân tích blockchain, quá trình trộm cắp diễn ra như sau:
Chuẩn bị tấn công: Hacker đã triển khai một hợp đồng thông minh độc hại ít nhất ba ngày trước khi sự việc xảy ra, chuẩn bị cho cuộc tấn công tiếp theo.
Xâm nhập hệ thống chữ ký đa dạng: Ví lạnh Ethereum của nền tảng giao dịch này sử dụng cơ chế chữ ký đa dạng, thường yêu cầu nhiều bên được ủy quyền ký để thực hiện giao dịch. Tin tặc đã xâm nhập vào máy tính quản lý ví đa chữ ký bằng cách chưa rõ, có thể đã sử dụng giao diện giả mạo hoặc phần mềm độc hại.
Giao dịch giả mạo: Vào ngày xảy ra sự việc, nền tảng giao dịch đã lên kế hoạch chuyển ETH từ ví lạnh sang ví nóng để đáp ứng nhu cầu giao dịch hàng ngày. Tin tặc đã lợi dụng thời điểm này, làm giả giao diện giao dịch thành thao tác bình thường, dụ dỗ người ký xác nhận một giao dịch có vẻ hợp pháp. Tuy nhiên, chữ ký thực tế thực thi là một lệnh thay đổi logic hợp đồng thông minh của ví lạnh.
Chuyển tiền: Sau khi lệnh có hiệu lực, hacker đã nhanh chóng kiểm soát ví lạnh, chuyển một lượng lớn ETH và chứng chỉ staking ETH đến một địa chỉ không xác định. Sau đó, tiền được phân tán đến nhiều ví và bắt đầu quy trình rửa tiền.
Phương pháp rửa tiền
Quá trình rửa tiền chủ yếu được chia thành hai giai đoạn:
Giai đoạn đầu tiên là phân tách vốn sớm. Kẻ tấn công nhanh chóng đổi chứng nhận đặt cọc ETH thành token ETH, thay vì chọn stablecoin có thể bị đóng băng. Sau đó, họ chuyển ETH đã được phân tách nghiêm ngặt đến địa chỉ cấp dưới, để chuẩn bị cho việc rửa tiền.
Đáng chú ý là, ở giai đoạn này, hành vi của kẻ tấn công cố gắng đổi 15000 chứng chỉ đặt cọc ETH sang ETH đã được ngăn chặn kịp thời, giúp ngành công nghiệp khôi phục một phần thiệt hại.
Giai đoạn thứ hai là công việc rửa tiền cụ thể. Kẻ tấn công sử dụng nhiều cơ sở hạ tầng ngành công nghiệp tập trung và phi tập trung để thực hiện chuyển tiền và hoán đổi, bao gồm nền tảng giao dịch xuyên chuỗi, sàn giao dịch phi tập trung, v.v. Một số nền tảng được sử dụng để hoán đổi tiền, trong khi những nền tảng khác được sử dụng để chuyển tiền xuyên chuỗi.
Tính đến hiện tại, một lượng lớn tiền bị đánh cắp đã được chuyển đổi thành các tài sản tiền điện tử chính như Bitcoin, Dogecoin, Solana để thực hiện việc chuyển giao. Kẻ tấn công thậm chí còn phát hành mã hóa meme hoặc chuyển tiền vào địa chỉ sàn giao dịch để gây nhầm lẫn.
Công ty phân tích blockchain đang theo dõi và truy dấu các địa chỉ liên quan đến quỹ bị đánh cắp, thông tin về mối đe dọa liên quan sẽ được đồng bộ hóa và gửi đến nền tảng chuyên nghiệp của họ, nhằm ngăn chặn người dùng nhận nhầm quỹ bị đánh cắp.
Phân tích tổ chức hacker
Thông qua việc phân tích dòng tiền, các nhà nghiên cứu phát hiện rằng cuộc tấn công này có liên quan đến hai sự kiện bị đánh cắp trên sàn giao dịch diễn ra vào tháng 10 năm 2024 và tháng 1 năm 2025, cho thấy ba vụ tấn công này có thể được lên kế hoạch bởi cùng một tổ chức hacker.
Kết hợp giữa các phương pháp rửa tiền công nghiệp hóa cao và các phương thức tấn công, một số chuyên gia an ninh blockchain suy đoán rằng sự kiện này có thể liên quan đến một tổ chức hacker khét tiếng. Tổ chức này đã nhiều lần thực hiện các cuộc tấn công mạng nhằm vào các tổ chức và cơ sở hạ tầng trong ngành tài sản tiền điện tử trong vài năm qua, đã thu được hàng tỷ đô la tài sản tiền điện tử một cách bất hợp pháp.
Rủi ro đóng băng tiềm ẩn
Theo các cuộc khảo sát trong vài năm qua, các nhà nghiên cứu phát hiện ra rằng tổ chức hacker này không chỉ sử dụng nền tảng phi tập trung để rửa tiền mà còn tận dụng rất nhiều nền tảng giao dịch tập trung để bán phá giá. Điều này trực tiếp dẫn đến việc nhiều tài khoản người dùng sàn giao dịch vô tình nhận tiền bẩn bị kiểm soát rủi ro, và địa chỉ kinh doanh của các nhà giao dịch OTC và tổ chức thanh toán bị đóng băng.
Ví dụ, vào năm 2024, một sàn giao dịch tiền điện tử Nhật Bản đã bị tấn công, 600 triệu USD Bitcoin đã bị đánh cắp. Một phần quỹ đã được chuyển đến một tổ chức thanh toán mã hóa ở khu vực Đông Nam Á, dẫn đến việc địa chỉ ví nóng của tổ chức này bị đóng băng, gần 30 triệu USD quỹ đã bị khóa.
Năm 2023, một nền tảng giao dịch nổi tiếng khác đã bị tấn công, gây thiệt hại hơn 100 triệu USD. Một phần tài sản tiền điện tử bị đánh cắp đã được rửa tiền thông qua hình thức giao dịch ngoài sàn, dẫn đến việc nhiều địa chỉ giao dịch ngoài sàn bị đóng băng, hoặc tài khoản của họ tại sàn giao dịch bị kiểm soát rủi ro, ảnh hưởng nghiêm trọng đến hoạt động kinh doanh bình thường.
Kết luận
Các sự kiện tấn công hacker xảy ra thường xuyên không chỉ gây ra thiệt hại lớn cho ngành tài sản tiền điện tử, mà các hoạt động rửa tiền sau đó còn ảnh hưởng đến nhiều cá nhân và tổ chức vô tội hơn. Đối với những nạn nhân tiềm năng này, việc giữ cảnh giác trong hoạt động hàng ngày và theo dõi chặt chẽ các dòng tiền đáng ngờ là chìa khóa để tránh thiệt hại đến lợi ích của bản thân. Với sự nỗ lực chung của các cơ quan quản lý và những người tham gia trong ngành, chúng tôi hy vọng có thể xây dựng một hệ sinh thái tài sản tiền điện tử an toàn và minh bạch hơn.