Từ bị trộm đến tái gia nhập thị trường, 292 triệu USD đã bị "rửa sạch" như thế nào?

Tiêu đề gốc: where did the kelp $292m go? anatomy of a $292m laundering.
Tác giả gốc: @the_smart_ape
Biên dịch: Peggy, BlockBeats

Tác giả gốc:律动BlockBeats

Nguồn gốc gốc:

Chuyển thể: Mars Finance

Lời người biên tập: Ngày 18 tháng 4, Kelp DAO đã gặp phải cuộc tấn công, khoảng 292 triệu USD tài sản bị đánh cắp. Vậy, trong một hệ thống chuỗi mở hoàn toàn, số tiền này cuối cùng đã bị “rửa sạch” như thế nào, biến thành các tài sản có thể lưu thông?

Bài viết lấy sự kiện này làm điểm khởi đầu, phân tích một con đường rửa tiền mã hóa công nghiệp cao: từ việc chuẩn bị hạ tầng ẩn danh trước cuộc tấn công, đến việc sử dụng Tornado Cash để cắt đứt liên kết trên chuỗi; từ việc dựa vào Aave, Compound để thế chấp “tài sản độc hại” và rút ra thanh khoản sạch, đến việc sử dụng THORChain, cầu nối liên chuỗi và cấu trúc UTXO để mở rộng độ khó truy vết theo cấp số nhân, cuối cùng chuyển vào hệ thống USDT trên Tron, rồi qua mạng lưới OTC đổi thành tiền mặt thực tế.

Trong quá trình này, không có thao tác phức tạp nào trong hộp đen, hầu như mọi bước đều “theo quy tắc”. Chính vì vậy, con đường này không phải là lỗ hổng điểm đơn lẻ, mà là sự căng thẳng cấu trúc của hệ sinh thái DeFi dưới tính mở, khả năng ghép nối và tính không thể kiểm duyệt — khi thiết kế của giao thức đã cho phép các thao tác này tồn tại, việc “truy hồi vốn” không còn là vấn đề kỹ thuật, mà là vấn đề giới hạn hệ thống.

Sự kiện Kelp DAO do đó không chỉ là một sự cố an ninh, mà còn như một bài kiểm tra áp lực về logic vận hành của thế giới mã hóa: nó thể hiện cách hacker biến tiền của bạn thành của họ, và cũng cho thấy vì sao hệ thống này về nguyên tắc rất khó ngăn chặn quá trình này xảy ra.

Như bạn đã biết, ngày 18 tháng 4, một hacker Triều Tiên đã đánh cắp 292 triệu USD từ Kelp DAO. Năm ngày sau, hơn một nửa số đó đã biến mất, phân mảnh rải rác trong hàng nghìn ví, qua các giao thức không thể tạm dừng để đổi, cuối cùng chảy về một mục đích rất cụ thể.

Điều thú vị là: làm thế nào để số tài sản mã hóa bị đánh cắp 292 triệu USD có thể được xác minh rõ ràng, mà không ai có thể ngăn cản, biến thành tiền mặt trong túi của Bình Nhưỡng.

Mục đích của bài viết là tiết lộ toàn bộ quy trình rửa tiền mã hóa hiện đại hoạt động như thế nào, tại sao về cấu trúc lại không thể bị ngăn chặn, và mỗi đô la được rửa sạch cuối cùng đã mua được gì.

Giai đoạn 1: Chuẩn bị (trước vài giờ xảy ra tấn công)

Kẻ tấn công không bắt đầu bằng việc đánh cắp trực tiếp. Phương thức của tổ chức Lazarus luôn bắt đầu từ việc chuẩn bị hạ tầng.

Khoảng 10 giờ trước khi xảy ra tấn công, 8 ví mới hoàn toàn đã nạp tiền qua Tornado Cash — Tornado Cash là một mixer, có thể cắt đứt mối liên hệ giữa nguồn và đích của quỹ.

Mỗi ví nhận 0.1 ETH, dùng để trả phí Gas cho tất cả các thao tác sau này. Vì số tiền trong các ví này đến từ mixer, không có hồ sơ KYC tại sàn giao dịch, không có dấu vết giao dịch lịch sử, không thể liên kết với bất kỳ chủ thể nào đã biết. Một tờ giấy trắng sạch.

Trước đêm xảy ra tấn công, hacker đã thực hiện 3 giao dịch chuyển chéo chuỗi từ mạng chính Ethereum sang Avalanche và Arbitrum — rõ ràng mục đích là để dự trữ Gas trên hai mạng Layer 2 này, và thử nghiệm thao tác cầu nối, đảm bảo mọi thứ trôi chảy khi chuyển khoản lớn.

Giai đoạn 2: Đánh cắp

Một ví tấn công độc lập (0x4966…575e) đã gọi hàm lzReceive trên hợp đồng LayerZero EndpointV2. Do trình xác thực đã bị lừa thành công, lần gọi này được xem là tin nhắn chéo chuỗi hợp lệ. Hợp đồng cầu nối của Kelp là Kelp DAO: RSETH_OFTAdapter (địa chỉ Etherscan: 0x85d…) đã ngay lập tức giải phóng 116.500 rsETH cho 0x8B1.

Toàn bộ 18% của rsETH lưu thông đã bị tiêu tán trong một lần gọi hàm.

Sau 46 phút, vào 18:21 UTC, Kelp đã kích hoạt tạm dừng khẩn cấp đa chữ ký. Vào 18:26 và 18:28 UTC, hacker lại cố gắng thao tác hai lần nữa theo cách hoàn toàn giống nhau, mỗi lần cố lấy thêm khoảng 40.000 rsETH (tương đương khoảng 1 tỷ USD). Cả hai lần đều bị rollback nhờ Kelp kịp thời ngắt điện. Nếu không, tổng số tiền bị đánh cắp có thể gần 500 triệu USD.

Giai đoạn 3: Aave + Compound thao tác

rsETH là một loại token chứng nhận, một khi Kelp tạm dừng cầu nối hoặc đưa token bị đánh cắp vào danh sách đen, giá trị của nó sẽ lập tức về 0. Hacker chỉ có vài phút để chuyển đổi thành tài sản không thể bị phong tỏa. Nhưng Kelp sau khi xảy ra đánh cắp 46 phút mới tạm dừng — đã quá muộn.

Việc bán tháo ngay lập tức số token không thanh khoản trị giá 292 triệu USD trên thị trường công khai sẽ khiến giá giảm hơn 30% trong vài phút. Vì vậy, hắn không chọn bán tháo, mà dùng các giao thức vay mượn DeFi như Aave, Compound để rửa tiền nhanh chóng.

Ví nhận 0x8B1 đã phân tán 116.500 rsETH bị đánh cắp vào 7 ví con khác. Mỗi ví con này sau đó vào Aave và Compound V3, thế chấp một phần rsETH và vay ETH.

Tổng vị thế của 7 ví con như sau:

· Thế chấp: 89.567 rsETH

· Vay: khoảng 82.650 WETH + 821 wstETH, tổng giá trị khoảng 190 triệu USD trong ETH sạch, lưu thông

· Hệ số an toàn của mỗi ví con đặt trong khoảng 1.01 đến 1.03 — mức tối đa mà giao thức cho phép trước khi thanh lý

Hacker dùng số rsETH trị giá 2,92 tỷ USD đã bị đánh dấu và gần như không thể thanh khoản, để đổi lấy 190 triệu USD ETH. Khi rsETH cuối cùng bị đánh dấu gần như về 0 (vì cầu nối của Kelp không còn khả năng thanh khoản, không thể chuộc lại), các nhà cho vay chịu thiệt hại.

Khi thị trường nhận ra Aave đang nắm giữ hơn 200 triệu USD nợ xấu, người dùng hoảng loạn rút vốn. Trong 48 giờ, Aave mất đi 8 tỷ USD TVL (tổng giá trị bị khóa). Giao thức vay mượn lớn nhất DeFi này đã trải qua đợt rút tiền ngân hàng thực sự đầu tiên — và nguyên nhân là hacker đã sử dụng đúng theo thiết kế của nó.

Giai đoạn 4: Tập hợp và phân tách vốn

Sau khi hoàn tất vay mượn Aave/Compound, 7 ví con chuyển ETH vay được về ví trung tâm tầng 3 (0x5d3).

Toàn bộ hoạt động này hiện rõ thành cấu trúc 3 tầng:

1. Nhận: 0x8B1 (cũng qua Tornado Cash), nhận 116.500 rsETH bị đánh cắp ban đầu

2. Thao tác: 7 ví con qua Tornado Cash, thực hiện các thao tác Aave/Compound

3. Tập hợp: 0x5d3 gom khoảng 71.000 ETH vay được, đưa vào quy trình rửa tiền

Tiền sau đó phân phối trên hai chuỗi:

· 75.700 ETH còn lại trên mạng chính Ethereum

· 30.766 ETH trên Arbitrum (khoảng 71 triệu USD)

Ủy ban an ninh Arbitrum đã bỏ phiếu phong tỏa phần tài sản này, chuyển 71 triệu USD sang ví kiểm soát do chính quyền sau này mở khóa.

Sau khi phong tỏa, hacker đã chuyển phần ETH còn lại trên mạng chính, đẩy nhanh quá trình rửa tiền. Từ các hành động này, rõ ràng hắn không dự đoán được Arbitrum sẽ có hành động như vậy.

Giai đoạn 5: Giai đoạn rửa tiền đầu tiên

Sau bốn ngày, 0x5d3 bắt đầu rút sạch. Arkham trong vài giờ đã theo dõi được 3 giao dịch chuyển khoản độc lập.

Thời điểm được chọn lọc kỹ: giờ giao dịch châu Âu thứ Ba. Các điều tra viên Mỹ còn đang nghỉ, bộ phận pháp lý châu Âu đang xử lý các công việc tồn đọng thứ Hai, các sàn châu Á đã gần đóng cửa.

Sau đó, mô hình chuyển khoản bắt đầu bùng nổ. Mỗi mục tiêu ban đầu lập tức phân tán thành khoảng 60 ví mới: 0x62c7 gửi đến khoảng 60 ví mới, 0xD4B8 gửi đến khoảng 60 ví khác. Trong vài giờ, nhóm 10 ví ban đầu đã mở rộng thành hơn 100 địa chỉ tạm thời, tất cả cùng lúc nạp tiền, mỗi ví có số tiền đủ nhỏ để tránh bị phát hiện.

Lazarus vận hành script ví HD — một mnemonic duy nhất có thể tạo ra hàng nghìn địa chỉ mới trong vài giây, phối hợp với nhóm worker (Python + web3, ethers.js hoặc công cụ nội bộ của họ) để ký và phát tán toàn bộ cây địa chỉ này song song. Bộ mã này họ đã liên tục cập nhật từ năm 2018.

Kết thúc giai đoạn này, chuỗi truy vết tuyến tính đã biến mất. 10 ví ban đầu biến thành hơn 100 ví phân mảnh, quỹ cùng lúc từ nhiều nguồn vào các đường riêng tư.

Giai đoạn 6: THORChain — máy thoát

Điểm đứt thực sự xảy ra tại THORChain.

THORChain là một giao thức phi tập trung, hỗ trợ đổi tài sản liên chuỗi gốc. Gửi ETH vào Ethereum, nó sẽ trả lại BTC trên mạng Bitcoin.

Chỉ riêng ngày 22 tháng 4, lượng đổi trong 24 giờ của THORChain đạt 460 triệu USD. Giao thức bình thường trung bình mỗi ngày khoảng 15 triệu USD. Cuộc tấn công này, trong 24 giờ, chiếm tới 30 lần lượng giao dịch bình thường của giao thức.

Trong cùng 24 giờ đó, giao thức tạo ra 494.000 USD lợi nhuận, chia cho các node operator (bonder), nhà cung cấp thanh khoản, quỹ phát triển, liên minh hợp tác và quỹ marketing.

Trong khi đó, vốn còn chảy qua một nhóm các đường riêng tư nhỏ hơn nhưng bổ sung cho nhau:

·Umbra: Giao thức địa chỉ ẩn danh trên Ethereum. Cho phép gửi tiền đến địa chỉ dùng một lần, chỉ người nhận mới tính toán được địa chỉ qua khóa chia sẻ. Người theo dõi trên chuỗi không thể biết mục đích thực sự. Khoảng 78.000 USD ban đầu đã được theo dõi qua đây, sau đó công cụ mất dấu.

·Chainflip: Một sàn DEX liên chuỗi khác, mô hình tương tự THORChain.

·BitTorrent Chain: Chuỗi phụ liên kết với Tron, chi phí thấp, quản lý ít.

·Tornado Cash: Mixer như ban đầu, đã bị Bộ Tài chính Mỹ liệt vào danh sách trừng phạt từ 2022.

Mỗi lớp giao thức, chi phí truy vết tăng gấp khoảng 10 lần. Sau 5 lớp, dù công ty chứng cứ vẫn có thể truy vết từng mảnh, nhưng chi phí kinh tế đã vượt quá giá trị có thể thu hồi.

Giai đoạn 7: Phân mảnh UTXO của Bitcoin

Chuyển ETH sang BTC qua THORChain về cơ bản biến tiền thành mảnh vụn.

Ethereum dùng mô hình tài khoản, số dư gắn liền với địa chỉ dưới dạng số. Bitcoin dùng mô hình UTXO — mỗi UTXO là một khối tiền cụ thể, có đầy đủ lịch sử giao dịch. Mỗi lần tiêu Bitcoin, các khối này bị chia nhỏ và ghép lại thành khối mới.

Tưởng tượng xé một tờ 100 USD thành 87 mảnh, rồi xé mỗi mảnh thành 87 mảnh nữa, lặp lại 7 lần. Về mặt kỹ thuật, mỗi mảnh đều có thể truy vết về tờ tiền ban đầu. Thực tế, không có đội ngũ chứng cứ thủ công nào có thể theo dõi hàng nghìn chuỗi song song và kịp thời ghép lại toàn bộ để hành động.

Vì vậy, THORChain đã hoàn thành hai việc: đưa tiền qua mọi giới hạn trừng phạt, và phân mảnh thành bụi không thể truy vết.

Giai đoạn 8: Chuỗi USDT của Tron

Sau khi qua các lớp Bitcoin và lớp riêng tư, tiền lại hội tụ về điểm cuối cùng: USDT trên Tron.

Nhiều người nghĩ rằng chiến trường chính của rửa tiền là BTC, điều này sai. Thực tế, chiến trường chính là USDT trên Tron. Dữ liệu cho thấy, USDT-Tron mỗi năm chứa lượng giao dịch bất hợp pháp nhiều nhất, vượt tất cả các chuỗi khác cộng lại.

Trong dòng chảy của khoản tiền này, con đường cụ thể là: chuyển qua cầu từ BTC vào Tron, đổi thành USDT, rồi nhiều lần chuyển giữa các ví trên Tron. Chi phí mỗi lần chuyển rất thấp, chỉ vài xu, có thể cộng dồn thành 10 lớp phân mảnh nữa.

Giai đoạn 9: Rút tiền — Tiền mã hóa thành tiền mặt

Mỗi lần hacker tấn công, cuối cùng số tiền đều qua một mạng lưới trung gian có thể kiểm chứng, biến thành tiền mặt pháp lý.

Một nhóm OTC hoạt động tại Trung Quốc đại lục và Đông Nam Á nhận gửi USDT-Tron, đổi ra tiền mặt địa phương. Các nhóm này thực chất là các ngân hàng đen không phép. Họ gom tiền từ nhiều khách hàng (phù hợp quy định hoặc không), bù trừ nội bộ, rồi thanh toán qua mạng lưới thanh toán nội địa Trung Quốc (UnionPay), hoạt động ngoài hệ thống SWIFT và các chế tài của phương Tây.

Từ các tài khoản do các nhóm này kiểm soát, dòng tiền chảy vào các tài khoản do Triều Tiên kiểm soát, thường là của các công ty vỏ đăng ký tại Hồng Kông, Macau hoặc các khu vực pháp lý thứ ba. Sau đó, qua các phương thức thanh toán phi chính thức kiểu Havaala, chuyển tiền vật lý, mua bán các công ty tiền mặt, dòng tiền sẽ về Bình Nhưỡng.

Liên Hợp Quốc, FBI và Bộ Tài chính Mỹ đều đã ghi nhận rõ ràng hướng đi cuối cùng của dòng tiền này. Các dự án tên lửa đạn đạo, phát triển vũ khí hạt nhân của Triều Tiên, và các biện pháp né tránh chế tài quốc tế đều dựa vào dòng tiền này.

Báo cáo của Liên Hợp Quốc năm 2024 ước tính, các cuộc tấn công mạng của hacker mã hóa chiếm khoảng 50% tổng thu ngoại hối của Triều Tiên — là nguồn tài chính chính cho các chương trình vũ khí của họ, vượt cả xuất khẩu than, bán vũ khí và xuất khẩu lao động cộng lại.