TIN TỨC

ThorChain bị chỉ trích vì “làm ngơ” để hacker Bybit rửa tiền

Tuan Anh
Tuan Anh Tháng Hai 28, 2025
Updated 2025/02/28 at 5:23 Chiều
- Advertisement -

Vụ hack 1,4 tỷ USD của Bybit tiếp tục có những diễn biến mới khi hacker tiến hành tẩu tán số ETH khi chuyển sang BTC trên mạng lưới Bitcoin thông qua ThorChain.

Lazarus Group rửa tiền qua ThorChain

Vào rạng sáng ngày 28/02, nền tảng phân tích dữ liệu on-chain Arkham Intelligence cho biết ít nhất 240 triệu USD bị đánh cắp trong vụ hack Bybit gây thiệt hại hơn 1,5 tỷ USD được nhóm hacker Triều Tiên Lazarus Group tẩu tán thông qua ThorChain, sàn DEX cho phép hoán đổi trực tiếp các loại tiền mã hóa từ blockchain này sang blockchain khác một cách an toàn mà không cần qua trung gian tập trung. Phần lớn số ETH đó đều được chuyển đổi qua BTC trên mạng Bitcoin.

Chỉ vài tiếng sau đó, tài khoản beetle (@1kbeetlejuice) đã tạo một bảng điều khiển dữ liệu trên Dune Analytics để theo dõi các dòng tiền từ ETH sang BTC thông qua ThorChain kể từ khi vụ hack xảy ra vào ngày 21/02. Từ đó xác định được các khoản tiền gửi có liên quan đến hacker, cung cấp bức tranh rõ ràng hơn về quy mô hoạt động rửa tiền của Lazarus Group.

Kết quả cho ra rất đáng báo động khi 93% số tiền gửi qua ThorChain từ ngày 21/02 đều có nguồn gốc từ các ví hacker. Điều này cho thấy Lazarus Group đang chi phối phần lớn thanh khoản trên ThorChain, biến nền tảng này thành công cụ rửa tiền chủ chốt trong vụ hack Bybit.

Tính tới thời điểm viết bài, Lazarus Group đã chuyển tổng cộng 221.124 ETH ( khoảng 466,2 triệu USD) qua ThorChain để thực hiện hoán đổi số tiền này sang BTC trên mạng Bitcoin.

Trước khi 221.124 ETH được chuyển qua ThorChain, hacker đã sử dụng một loạt công cụ, ứng dụng để phân tán và che giấu dấu vết giao dịch. Theo dữ liệu on-chain, chúng đã sử dụng Asgardex, DeFiSwap, FortunaSwap, GemWallet, LiFi, ShapeShift, TrustWallet, cùng nhiều nền tảng khác nhằm tăng cường tính ẩn danh và tẩu tán tài sản một cách hiệu quả.

Dòng tiền khổng lồ từ Lazarus Group cũng đẩy khối lượng giao dịch trên ThorChain lên mức cao nhất trong lịch sử, đạt kỷ lục 737 triệu USD trong ngày 27/02.

Với số ETH đã tẩu tán thành công qua ThorChain, Lazarus Group hiện đã rửa được hơn 270.000 ETH (tương đương 605 triệu USD), chiếm 54% tổng số ETH bị đánh cắp. Dù vậy, chúng vẫn đang nắm giữ 229.395 ETH (khoảng 514 triệu USD) tính tới sáng ngày 28/02.

Có thể thấy Lazarus Group đang tận dụng hai cầu nối phi lưu ký chính để rửa tiền là ThorChain và eXch. Tuy nhiên, giữa lúc bị nghi ngờ là công cụ giúp Lazarus tẩu tán hơn 94,2 triệu USD, eXch bất ngờ vô hiệu hóa giao dịch hoán đổi ETH và token ERC-20, làm gián đoạn quá trình chuyển đổi tài sản bị đánh cắp sang Bitcoin.

Động thái này có thể đã thay đổi kế hoạch rửa tiền của Lazarus Group, buộc nhóm hacker phải tìm kiếm phương án thay thế với ThorChain đang trở thành lựa chọn hàng đầu. Điều này cũng đồng nghĩa với việc ThorChain có nguy cơ trở thành tâm điểm trong cuộc điều tra rửa tiền lớn nhất lịch sử crypto khi nền tảng này dần trở thành mắt xích quan trọng nhất trong hoạt động tẩu tán tài sản của Lazarus.

ThorChain bị chỉ trích vì tiếp tay rửa tiền cho Lazarus

Dòng tiền bẩn từ vụ hack Bybit chảy qua ThorChain không chỉ thu hút sự chú ý của giới phân tích mà còn làm dấy lên nhiều tranh cãi gay gắt. Ngày 25/02, trong một cuộc tranh luận với lập trình viên trưởng của ThorChain là Pluto, chuyên gia nghiên cứu tại Paradigm, samczsun đã chỉ ra ba yếu tố khiến ThorChain trở thành công cụ bị hacker Triều Tiên lợi dụng, khác biệt hoàn toàn so với các sàn DEX phổ biến như Uniswap hay Curve trong đó:

  • ThorChain cung cấp quyền truy cập trực tiếp vào mạng lưới Bitcoin: Lazarus Group thường rút tiền bằng cách hoán đổi tài sản sang BTC trên mạng Bitcoin, sau đó sang USDT và cuối cùng là Nhân dân tệ (RMB). Do đó, bất kỳ nền tảng nào giúp di chuyển tài sản sang Bitcoin đều có nguy cơ bị lợi dụng cao hơn.
  • eXch là mắt xích quan trọng trong chuỗi rửa tiền lại phụ thuộc vào ThorChain: Ban đầu, hacker Triều Tiên rửa tiền thông qua eXch, một sàn không yêu cầu KYC, bằng cách gửi ETH và nhận lại BTC. Để duy trì quy trình này, eXch cần mua thêm BTC, và ThorChain chính là nơi họ hoán đổi ETH lấy BTC, khiến ThorChain vô tình tiếp tay cho hoạt động rửa tiền.
  • Khi eXch không còn đủ BTC dự trữ để tiếp tục quy trình này. Để giải quyết, hacker chuyển sang sử dụng ThorChain trực tiếp để đổi ETH lấy BTC. Mặc dù giao dịch này có thể dễ theo dõi hơn, nhưng ThorChain vẫn đang giúp tiền bẩn từ Ethereum chảy sang Bitcoin.

Pluto không phủ nhận rằng ThorChain đang gặp vấn đề nhưng nhấn mạnh rằng việc phát hiện và ngăn chặn giao dịch rửa tiền bằng cách cấm các địa chỉ ví trong danh sách của OFAC không hề đơn giản:

  • “Bạn có biết hầu hết các địa chỉ hacker không có trong danh sách OFAC tại thời điểm chúng được gửi đến ThorChain không? Ngay cả những dịch vụ sàng lọc nâng cao cũng không thể theo kịp với kỹ thuật ẩn danh của chúng.”

Tuy nhiên, vấn đề không còn nằm ở việc ThorChain có thể chặn giao dịch hay không, mà là cơ chế hoạt động của chính nền tảng này đang tiếp tay cho hoạt động rửa tiền của hacker Triều Tiên. Mặc dù vậy. đội ngũ ThorChain đến nay vẫn chưa có bất kỳ động thái cụ thể nào để ngăn chặn tình trạng này. Sự im lặng kéo dài của họ đã dấy lên những hoài nghi trong cộng đồng, đặt câu hỏi liệu ThorChain thực sự bất lực hay đang cố tình làm ngơ trước dòng tiền phi pháp?

Tài khoản Ed (@AirdropGlideapp) cho biết trên X: 

  • “Nếu ThorChain không có biện pháp ngăn chặn dòng tiền ETH bị đánh cắp chảy qua nền tảng của mình thì sớm muộn cũng sẽ phải đối mặt với hậu quả nghiêm trọng.
  • Thật trớ trêu khi chỉ cần 2 phút để đóng cửa ThorFi, nhưng khi hacker Triều Tiên rửa hàng tỷ USD ETH qua ThorChain thì bỗng dưng lại không có ai làm gì để ngăn chặn!”

Nội bộ ThorChain lục đục, validator “bóc phốt” dự án không phi tập trung như tuyên bố

Ngay sau khi ThorChain bị chỉ trích vì trở thành công cụ rửa tiền chính của Lazarus, lập trình viên trưởng của ThorChain, Pluto đã thông báo rút lui khỏi dự án. Trong bài đăng chia tay, ông chia sẻ:

  • “Từ hôm nay, tôi sẽ không còn đóng góp cho ThorChain nữa. Tôi vẫn sẽ hỗ trợ Nine Realms để đảm bảo quá trình chuyển giao trách nhiệm diễn ra suôn sẻ. Được xây dựng và duy trì giao thức này suốt 4 năm qua là một vinh dự lớn lao. Dù hành trình của tôi với ThorChain đã kết thúc, tôi vẫn tin tưởng vào tầm nhìn xây dựng một hệ thống cross-chain an toàn và thanh khoản.”

Sự ra đi của Pluto đánh dấu một bước ngoặt lớn đối với ThorChain bởi ông là một trong những nhân tố quan trọng giúp dự án phát triển và vận hành ổn định trong nhiều năm qua.

Không chỉ Pluto, TCB – một trong ba validator đã bỏ phiếu chặn giao dịch ETH trên ThorChain để ngăn Lazarus Group rửa tiền – cũng lên tiếng mạnh mẽ về vấn đề này. Ông tuyên bố sẽ rời khỏi dự án nếu ThorChain không nhanh chóng tìm ra giải pháp để ngăn chặn dòng tiền từ hacker Triều Tiên.

  • “Tôi đã cảnh báo về vấn đề này từ lâu, nhưng nếu không có hành động kịp thời, tôi cũng sẽ rời đi. Đây có thể là một trong những lần cuối cùng tôi nhắc đến ThorChain.”

Trước đó, khi phát hiện các giao dịch đáng ngờ từ vụ hack Bybit, ba validator đã bỏ phiếu chặn các giao dịch liên quan đến hacker, tạm thời làm gián đoạn dòng tiền bẩn. Tuy nhiên, lệnh chặn này nhanh chóng bị hủy bỏ chỉ sau vài phút, khiến hacker tiếp tục rửa tiền thông qua giao thức này.

Nguyên nhân nằm ở cơ chế đồng thuận của ThorChain, trong đó việc chặn giao dịch không phải là quyết định vĩnh viễn mà hoàn toàn phụ thuộc vào phiếu bầu của các validator sau đó. Cụ thể, cần ít nhất 3 validator chấp thuận để tạm dừng một giao dịch nhưng chỉ cần 4 validator phản đối, lệnh chặn sẽ ngay lập tức bị hủy bỏ. 

Theo TCB, với việc hơn 50% thanh khoản trên ThorChain đang bị chi phối bởi Lazarus Group, đây không còn đơn thuần là vấn đề của ngành crypto, mà đã trở thành một mối đe dọa an ninh quốc gia.

  • “Khi phần lớn dòng tiền của bạn đến từ vụ rửa tiền lớn nhất trong lịch sử, ThorChain có thể sẽ trở thành mục tiêu bị chính phủ Mỹ tấn công.”

Bên cạnh đó, TCB cũng thẳng thắn chỉ ra rằng ThorChain không hề phi tập trung như cộng đồng vẫn nghĩ, bởi phần lớn hạ tầng của dự án vẫn do một nhóm nhỏ kiểm soát khi:

  • Đội ngũ phát triển chủ yếu là người Mỹ.
  • Các nhà cung cấp hạ tầng lớn đều là công ty Bắc Mỹ.
  • Hầu hết các ví tích hợp ThorChain đều thuộc về các công ty tập trung và có khả năng kiểm duyệt giao dịch.
  • “Bạn có thể tuyên bố ThorChain là phi tập trung bao nhiêu lần tùy thích nhưng sự thật là nó vẫn phụ thuộc vào một nhóm nhỏ các tổ chức kiểm soát.”

TCB cũng nhận định rằng việc duy trì full node cho mọi blockchain được hỗ trợ trên ThorChain khiến quá trình triển khai validator mới trở nên cực kỳ phức tạp, dẫn đến việc chỉ có một số ít người thực sự vận hành mạng lưới. 

  • “Tôi không nghĩ ThorChain đủ phi tập trung để sống sót qua một cuộc tấn công pháp lý. Đây không phải là một blockchain như Ethereum hay Bitcoin với hàng nghìn validator và node phi tập trung.”

Ngay sau khi thông tin trên được công bố, giá RUNE lao dốc hơn 16,2% trong 24 giờ qua và hiện đang dao động quanh mức 1,31 USD. Tuy nhiên, đà giảm này không chỉ đến từ những bê bối mà ThorChain vướng phải mà còn bị ảnh hưởng bởi cú sụt giảm mạnh trên toàn thị trường sau khi Donald Trump tuyên bố áp thuế bổ sung lên Trung Quốc.

- Advertisement -
TAGGED:
Share this Article
Previous Article Pyth Network ra mắt Insights Hub
Next Article Thủ tướng yêu cầu trình khung pháp lý tài sản số ngay trong tháng 3
Leave a comment

Trả lời

Email của bạn sẽ không được hiển thị công khai.

Mục lục

BÀI VIẾT MỚI NHẤT

Star Atlas khẳng định sẽ ra mắt game vào cuối năm 2025
TIN TỨC
ZKsync “dừng ngang” chương trình Ignite
TIN TỨC
Luật sư Argentina yêu cầu Interpol truy nã Hayden Davis
TIN TỨC
Việt Nam và Singapore hợp tác quản lý tài sản số
Tin nóng TIN TỨC

MẠNG XÃ HỘI

Lost your password?