Số tiền đánh cắp từ sàn Phemex đang được chuyển đi, một số được chuyển đến máy trộn Tornado Cash

Theo dữ liệu blockchain, khoản tiền bị đánh cắp trong sàn Phemex hồi tháng trước đang được di chuyển.

Ngày 19/2, hacker – hoặc nhiều khả năng là một nhóm hacker – đã bắt đầu chia nhỏ một phần số tiền vào các địa chỉ mới và chuyển token đến bộ trộn tiền điện tử Tornado Cash nhằm che giấu nguồn gốc giao dịch.

Theo báo cáo của công ty phân tích blockchain Thụy Sĩ Global Ledger công bố hôm thứ Tư (19/2), hacker đã chuyển hơn 2.080 ETH (trị giá khoảng 6 triệu USD) đến 14 địa chỉ mới. Hiện tại, ví Ethereum chính liên quan đến vụ tấn công còn chưa đến 4.000 ETH.

Tương tự vụ hack ban đầu nhắm vào sàn giao dịch có trụ sở tại Singapore, các giao dịch mới nhất có dấu hiệu được thực hiện bởi một nhóm hacker có kinh nghiệm sâu rộng về blockchain. Quá trình di chuyển quỹ được triển khai thông qua nhiều bước trung gian, kết hợp với hàng loạt giao thức và nền tảng khác nhau để tránh bị phát hiện.

Chẳng hạn, một ví mới được tạo gần đây đã nhận 601,34 ETH thông qua năm giao dịch riêng lẻ trước khi hợp nhất toàn bộ số tiền vào một địa chỉ khác trên cầu nối token cross-chain Across Protocol. Sau đó, lượng tài sản này tiếp tục bị xáo trộn khi được chuyển đến một địa chỉ Across thứ hai.

Bên cạnh việc sử dụng Tornado Cash và eXch để che giấu dấu vết giao dịch, hacker cũng tận dụng nhiều nền tảng khác như Wintermute, giao thức DLN Trade và THORChain để giao dịch tài sản.

Global Ledger lưu ý rằng, mặc dù một phần nhỏ số tiền đã được chuyển đến các nền tảng lưu ký như OKX và CoinEx – có thể nhằm rút tiền mặt – phần lớn vẫn được dịch chuyển thông qua các công cụ on-chain như dịch vụ cầu nối của Bitget và ví ChangeNOW.

Thông thường, hacker có xu hướng chia nhỏ tài sản bị đánh cắp và phân bổ qua nhiều blockchain cùng nhiều dịch vụ khác nhau nhằm giảm thiểu nguy cơ bị phong tỏa giao dịch. Đơn cử như vụ tấn công Phemex ban đầu đã bao gồm hơn 275 giao dịch chỉ trên các chain tương thích với EVM.

Số tiền di chuyển vào ngày 19/2 chỉ chiếm một phần nhỏ trong tổng giá trị khoảng 85 triệu USD bị đánh cắp vào tháng 1. Tuy nhiên, hacker dường như đã liên tục dịch chuyển tài sản trong những tuần gần đây, bao gồm việc rút 50 BTC và 4 triệu XRP từ Phemex.

Nâng cấp bảo mật và nghi vấn liên quan đến hacker Triều Tiên

Phemex đã khôi phục hoạt động giao dịch và cảnh báo người dùng về việc sử dụng các địa chỉ nạp tiền cũ. Đầu tuần này, CEO Federico Variola cho biết sàn giao dịch đã chuyển một phần quỹ vào ví lạnh như một phần trong kế hoạch “nâng cấp bảo mật toàn diện.”

Nhà nghiên cứu bảo mật ẩn danh SomaXBT.eth trước đó từng nhận định rằng vụ tấn công mang nhiều dấu hiệu đặc trưng của hacker Triều Tiên, chủ yếu do tính phức tạp và tinh vi của các thao tác.

Theo Global Ledger, ít nhất 32.210 ETH đã được chuyển đến Tornado Cash kể từ đầu năm 2025, trong đó khoảng 40% (tương đương 36,6 triệu USD) có liên quan đến các vụ hack. Tornado Cash từng bị chính phủ Mỹ trừng phạt vào năm 2023, nhưng gần đây, Tòa phúc thẩm khu vực Năm đã đảo ngược lệnh cấm của Bộ Tài chính đối với các hợp đồng thông minh phi tập trung của nền tảng này.

Disclaimer: Bài viết chỉ có mục đích thông tin, không phải lời khuyên đầu tư. Nhà đầu tư nên tìm hiểu kỹ trước khi ra quyết định. Chúng tôi không chịu trách nhiệm về các quyết định đầu tư của bạn. 

Youtube: https://www.youtube.com/@tapchibitcoinvn

Ông Giáo