CEO Bybit tiết lộ gần 30% trong số 1,4 tỷ đô la tiền hack đã "biến mất" sau khi sử dụng Mixer

Vụ hack Bybit ngày càng lan rộng khi hơn 1,4 tỷ đô la tiền điện tử vẫn đang được theo dõi

Gần hai tháng sau vụ hack tiền điện tử kỷ lục trị giá 1,4 tỷ đô la tấn công Bybit, một phần lớn tài sản bị đánh cắp vẫn có thể truy tìm được—bất chấp những nỗ lực rửa tiền phức tạp liên quan đến máy trộn, cầu nối chuỗi chéo và sàn giao dịch phi tập trung.

Vào ngày 21 tháng 4 năm 2025, Giám đốc điều hành Bybit Ben Zhou đã chia sẻ thông tin cập nhật trên X về nơi ở của các tài sản bị đánh cắp, lưu ý rằng trong khi hầu hết vẫn có thể theo dõi được thì một phần đáng kể đã "biến mất".

ETH bị đánh cắp đã được rửa sạch qua các chuỗi như thế nào

Zhou xác nhận rằng khoảng 500.000 ETH đã bị đánh cắp khỏi nền tảng này sau một cuộc tấn công phần mềm độc hại có chủ đích được cho là do Nhóm Lazarus của Triều Tiên thực hiện.

Những kẻ tấn công được cho là đã xâm phạm hệ thống nhà phát triển Safe{Wallet} và chèn mã độc vào giao diện người ký Bybit, chuyển hướng tiền vào những giao dịch có vẻ hợp lệ.

Trong số 500.000 ETH, 432.748 ETH, tương đương khoảng 1,21 tỷ đô la hoặc 84,45%, đã được chuyển qua giao thức thanh khoản chuỗi chéo Thorchain và chuyển đổi thành 10.003 BTC.

Sau đó, BTC được phân tán trên 35.772 ví, mỗi ví chỉ chứa trung bình 0,28 BTC, một phương pháp được thiết kế để phân mảnh và che giấu dấu vết.

Gần 30 phần trăm tiền điện tử bị đánh cắp hiện không thể theo dõi được

Trong bài đăng trên X, Zhou báo cáo rằng 68,57% số tiền bị đánh cắp vẫn có thể truy tìm được.

Tuy nhiên, 27,59%, tương đương khoảng 386 triệu đô la, đã thực sự "biến mất" sau khi được chuyển qua các công cụ tập trung vào quyền riêng tư.

Chỉ có 3,84% số tiền điện tử bị đánh cắp đã được đóng băng thành công.

Chuỗi rửa tiền bắt đầu với Wasabi Mixer, mà Zhou cho biết hiện là “công cụ chính được các nhóm có liên hệ với CHDCND Triều Tiên sử dụng”.

Sau Wasabi, các quỹ tiếp tục được phân bổ thông qua các nền tảng như CryptoMixer, Tornado Cash và Railgun trước khi được chuyển tiếp hoặc hoán đổi qua Thorchain, eXch, LiFi, Stargate, Lombard và SunSwap.

Cuối cùng, các tài sản đã được chuyển đổi sang tiền pháp định thông qua các sàn giao dịch OTC và ngang hàng, làm phức tạp thêm nỗ lực phục hồi.

Cuộc săn tiền thưởng có thực sự là một nỗ lực công khai không?

Bybit đã triển khai chương trình tiền thưởng để truy tìm số tiền bị đánh cắp, treo giải thưởng 10% trên mỗi số tiền thu hồi được.

Trong 60 ngày qua, 5.443 báo cáo đã được gửi, nhưng chỉ có 70 báo cáo được xác nhận là hợp lệ.

Tỷ lệ thành công thấp bất thường này đã khiến cộng đồng tiền điện tử phải ngạc nhiên.

Một người dùng X, Kevin Ang, đã trả lời bài đăng của Zhou bằng cách chỉ ra rằng,

“Tôi đánh giá cao sự minh bạch, Ben. Nhưng tôi có một câu hỏi:

Trong số 5.443 báo cáo tiền thưởng, chỉ có 70 báo cáo là hợp lệ? Mức độ chính xác đó nghe có vẻ không giống như khám phá do cộng đồng đóng góp—có vẻ như những người trong cuộc đã biết phải tìm kiếm điều gì. 70 thợ săn tiền thưởng đó có phải là những người đóng góp công khai hay họ là những kẻ mũ trắng đã gần với ngọn lửa? Bởi vì đối với những người ngoài cuộc, điều này giống như một hoạt động khử trùng sau khai thác hơn là một cuộc săn lùng.”

Những người khác cũng bày tỏ mối quan tâm tương tự, với một người dùng khác bình luận,

“Thật kỳ lạ khi chúng ta không xác định được ai sau khi ăn cắp nhiều như vậy. Chúng ta cần phải trấn áp và đưa ra cáo buộc pháp lý; nếu không, điều này đã trở nên khá bình thường.”

eXch Xác Nhận Đóng Cửa Giữa Sức Nóng Pháp Lý

Trong số các nền tảng được xác định trong quá trình rửa tiền, eXch—một sàn giao dịch tiền điện tử coi trọng quyền riêng tư—đã xác nhận rằng họ sẽ ngừng hoạt động vào ngày 1 tháng 5 năm 2025.

Trong thông báo của mình, nhóm nghiên cứu cho biết việc đóng cửa là do áp lực từ cuộc điều tra quốc tế và phủ nhận việc cố ý hỗ trợ chuyển tiền bất hợp pháp.

Đội eXch tuyên bố,

“Chúng tôi đã phải đánh đổi lý tưởng về quyền riêng tư của mình dưới áp lực to lớn mà toàn bộ ngành phải đối mặt do những hành động vô trách nhiệm của những người tại ByBit.”

Hoạt động của Lazarus thúc đẩy phản ứng của công nghệ

Sau những lo ngại của công chúng về việc sử dụng sai mục đích các giao thức phi tập trung, Chainflip DEX đã tạm dừng hoạt động để triển khai các bản cập nhật bảo mật nhằm ngăn chặn việc sử dụng sai mục đích trong các hoạt động rửa tiền.

Trong khi đó, bất chấp các cuộc thảo luận nội bộ, THORChain đã quyết định không áp dụng các hạn chế, dẫn đến việc một số thành viên rời đi.

Zhou, khi đề cập đến tình hình hiện tại, đã nhấn mạnh tầm quan trọng của những nỗ lực của cộng đồng,

“Chúng tôi hoan nghênh nhiều báo cáo hơn. Chúng tôi cần nhiều thợ săn tiền thưởng hơn có thể giải mã hoạt động của máy trộn—chúng tôi cần rất nhiều sự giúp đỡ trong tương lai.”

Chỉ có 1,17% ETH ban đầu còn lại trên Ethereum, phân tán trên 12.490 ví.

Với phần lớn số tiền bị đánh cắp được chuyển đổi hoặc ẩn qua nhiều lớp phi tập trung khác nhau, vụ án này vẫn là một trong những vụ trộm kỹ thuật số tinh vi nhất trong lịch sử tiền điện tử.