Biên tập viên: Vào ngày 18 tháng 4, Kelp DAO đã bị tấn công, khoảng 292 triệu USD tài sản bị đánh cắp. Vậy thì, trong một hệ thống chuỗi hoàn toàn công khai, số tiền này đã được “tẩy rửa” từng bước như thế nào để trở thành tài sản có thể lưu thông?
Bài viết này lấy sự kiện làm điểm khởi đầu để phân tích một con đường rửa tiền mã hóa được chuẩn hóa cao: từ việc chuẩn bị cơ sở hạ tầng ẩn danh trước cuộc tấn công, đến việc sử dụng Tornado Cash để cắt đứt mối liên kết trên chuỗi; từ việc tận dụng Aave và Compound để thế chấp tài sản “độc hại” đổi lấy thanh khoản sạch, đến việc thông qua THORChain, cầu liên chuỗi và cấu trúc UTXO để tăng mức độ khó theo cấp số nhân trong việc truy vết, cuối cùng hội tụ vào hệ thống USDT trên Tron và được chuyển đổi thành tiền mặt trong thế giới thực thông qua mạng lưới OTC.
Trong quá trình này, không có bất kỳ thao tác bí mật nào phức tạp; gần như từng bước đều đang “tuân theo quy tắc”. Chính vì vậy, con đường này không chỉ phơi bày một lỗ hổng đơn lẻ, mà còn làm nổi bật sự căng thẳng cấu trúc trong hệ thống DeFi dưới sự mở cửa, khả năng kết hợp và tính không thể kiểm duyệt — khi thiết kế giao thức bản thân đã cho phép những thao tác này tồn tại, thì việc “truy hồi vốn” không còn là vấn đề kỹ thuật, mà là vấn đề về ranh giới hệ thống.
Sự kiện Kelp DAO vì vậy không chỉ là một vụ mất an toàn, mà còn giống như một bài kiểm tra áp lực về logic vận hành của thế giới tiền mã hóa: nó cho thấy hacker có thể biến tiền của bạn thành tiền của họ, đồng thời cũng cho thấy tại sao hệ thống này về nguyên tắc rất khó ngăn chặn quá trình này xảy ra.
Như bạn đã biết, vào ngày 18 tháng 4, một tin tặc Bắc Triều Tiên đã đánh cắp 292 triệu USD từ Kelp DAO. Năm ngày sau, hơn một nửa số tiền đó đã biến mất, bị chia nhỏ và phân tán qua hàng ngàn ví, được chuyển đổi thông qua các giao thức không thể tạm dừng, cuối cùng đổ về một điểm đến rất cụ thể.
Điều thú vị là làm thế nào để biến 292 triệu USD tài sản mã hóa đã được xác minh bị đánh cắp thành tiền mặt trong túi của Bình Nhưỡng mà không ai có thể ngăn cản.
Mục đích của bài viết này là làm rõ tại sao quy trình rửa tiền mã hóa hiện đại hoạt động, tại sao nó không thể bị ngăn chặn về mặt cấu trúc, và mỗi đô la được rửa sạch đã mua được gì.
Giai đoạn đầu tiên: Chuẩn bị (vài giờ trước khi cuộc tấn công xảy ra)
Kẻ tấn công không bắt đầu bằng việc đánh cắp trực tiếp. Phương pháp của tổ chức Lazarus luôn bắt đầu từ việc chuẩn bị hạ tầng.
Khoảng 10 giờ trước khi cuộc tấn công xảy ra, 8 ví mới hoàn toàn đã được nạp trước thông qua Tornado Cash—một công cụ trộn tiền có khả năng cắt đứt mối liên hệ giữa nguồn và điểm đến của vốn.
Mỗi ví đều nhận 0,1 ETH để thanh toán phí Gas cho tất cả các thao tác tiếp theo. Do nguồn vốn trong các ví này đến từ máy trộn tiền, không có hồ sơ KYC của sàn giao dịch và không có dấu vết giao dịch trước đó, nên không thể liên kết với bất kỳ thực thể nào đã biết. Bảng trắng sạch sẽ.
Trước cuộc tấn công, kẻ tấn công đã thực hiện 3 giao dịch chuyển tiền liên chuỗi từ Ethereum Mainnet đến Avalanche và Arbitrum — rõ ràng nhằm nạp trước Gas trên hai L2 này và kiểm tra thao tác cầu nối, đảm bảo mọi thứ diễn ra suôn sẻ khi chuyển khoản số lượng lớn.
Giai đoạn hai: Đánh cắp
Một ví tấn công độc lập (0x4966…575e) đã gọi hàm lzReceive trên hợp đồng LayerZero EndpointV2. Do bộ xác thực đã bị lừa thành công, cuộc gọi này được coi là tin nhắn liên chuỗi hợp lệ. Hợp đồng cầu nối Kelp — Kelp DAO: RSETH_OFTAdapter (địa chỉ Etherscan: 0x85d…) sau đó đã giải phóng 116.500 rsETH đến 0x8B1.
18% tổng nguồn cung rsETH. Một lần gọi hàm, biến mất hoàn toàn.
46 phút sau, lúc 18:21 UTC, đa chữ ký khẩn cấp của Kelp đã tạm dừng giao thức. Lúc 18:26 và 18:28 UTC, kẻ tấn công đã cố gắng thực hiện thêm hai lần nữa theo cách hoàn toàn giống nhau, mỗi lần cố gắng đánh cắp thêm khoảng 40.000 rsETH (khoảng 100 triệu USD mỗi giao dịch). Cả hai lần đều bị rollback do Kelp ngắt điện kịp thời. Nếu không có hành động này, tổng số tài sản bị đánh cắp có thể đã gần 500 triệu USD.
Giai đoạn 3: Thao tác Aave + Compound
rsETH là một loại token chứng nhận, giá trị của nó sẽ về 0 ngay khi Kelp tạm dừng cầu chuyển hoặc đưa các token bị đánh cắp vào danh sách đen. Kẻ tấn công chỉ có vài phút để chuyển đổi chúng thành các tài sản không thể bị phong tỏa. Kelp mới tạm dừng sau 46 phút kể từ khi vụ đánh cắp xảy ra—đã quá muộn.
Việc bán trực tiếp trên thị trường mở 292 triệu USD tiền tệ restaking không thanh khoản sẽ làm giảm giá hơn 30% trong vài phút. Vì vậy, anh ta đã không chọn bán, mà sử dụng các giao thức vay mượn DeFi như công cụ rửa tiền để nhanh chóng thanh lý.
Ví nhận 0x8B1 đã phân tán 116.500 rsETH bị đánh cắp sang 7 ví nhánh khác nhau. Mỗi ví nhánh sau đó đã vào Aave và Compound V3, gửi một phần rsETH làm tài sản thế chấp và vay ETH.
Tổng vị thế của 7 chi nhánh như sau:
· Gửi tài sản thế chấp: 89.567 rsETH
· Cho vay: khoảng 82.650 WETH + 821 wstETH, tổng cộng khoảng 190 triệu USD tài sản Ethereum sạch và thanh khoản
· Thiết lập hệ số sức khỏe cho mỗi nhánh từ 1,01 đến 1,03—giới hạn tuyệt đối mà giao thức cho phép trước khi thanh lý
Kẻ tấn công đã đổi số rsETH trị giá 292 triệu USD, đã được đánh dấu và gần như không thể chuyển đổi thành tiền mặt, lấy 190 triệu USD ETH. Khi số rsETH này cuối cùng bị đánh dấu gần như mất hết giá trị (do Kelp không đủ tài sản để bù đắp qua cầu và không thể hoàn trả), các depositor của giao thức vay mượn đã gánh chịu tổn thất.
Khi thị trường nhận ra Aave đang nắm giữ hơn 200 triệu USD nợ xấu, người dùng hoảng loạn rút tiền. Aave đã mất 8 tỷ USD TVL (tổng lượng khóa) trong vòng 48 giờ. Giao thức cho vay DeFi lớn nhất thế giới đã trải qua cuộc rút tiền ngân hàng thực sự đầu tiên của nó—và nguyên nhân khởi phát là một kẻ tấn công sử dụng nó hoàn toàn theo đúng thiết kế của giao thức.
Giai đoạn 4: Tích hợp và chia nhỏ vốn
Sau khi hoàn tất vay Aave/Compound, 7 nhánh đã chuyển ETH vay đến ví tích hợp tầng ba (0x5d3).
Toàn bộ cụm hoạt động hiện đang thể hiện cấu trúc ba lớp rõ ràng:
1. Nhận: 0x8B1 (cũng được nạp thông qua Tornado Cash), nhận 116.500 rsETH bị đánh cắp ban đầu
2. Thao tác: 7 ví con được nạp qua Tornado Cash, thực hiện thao tác Aave/Compound
3. Tích hợp: 0x5d3 tái tập trung khoảng 71.000 ETH tiền vay, tập trung vào quy trình rửa tiền
Sau đó, vốn được phân phối trên hai chuỗi:
·75.700 ETH được giữ trên mạng chính Ethereum
·30.766 ETH trên Arbitrum (khoảng 71 triệu USD)
Ủy ban An toàn Arbitrum đã bỏ phiếu đóng băng một phần tài sản trên Arbitrum, chuyển 71 triệu USD vào một ví được kiểm soát bởi quản trị, chỉ có thể được mở khóa thông qua quản trị tiếp theo.
Sau khi bị phong tỏa, kẻ tấn công ngay lập tức chuyển số ETH còn lại trên mainnet và tăng tốc quá trình rửa tiền. Từ những hành động này, rõ ràng hắn không dự đoán được Arbitrum sẽ có hành động như vậy.
Giai đoạn thứ năm: Đợt rửa tiền đầu tiên
Bốn ngày sau vụ tấn công, 0x5d3 bắt đầu thanh lý. Arkham đã theo dõi được 3 giao dịch chuyển tiền độc lập trong vòng vài giờ.
Thời điểm được chọn một cách có chủ ý: phiên giao dịch châu Âu vào thứ Ba. Các nhà điều tra Mỹ vẫn đang nghỉ ngơi, các bộ phận tuân thủ châu Âu đang xử lý công việc tích lũy từ thứ Hai, và các sàn giao dịch châu Á đã gần đến giờ đóng cửa.
Sau đó, mô hình chuyển tiền bắt đầu lan rộng bùng nổ. Mỗi điểm đến trong đợt đầu tiên lập tức lại lan rộng thêm: 0x62c7 gửi đến khoảng 60 ví mới được tạo, 0xD4B8 gửi đến thêm khoảng 60 ví khác. Trong vài giờ, cụm 10 ví ban đầu được sắp xếp gọn gàng đã mở rộng thành hơn 100 địa chỉ dùng một lần, tất cả đều được nạp tiền song song, mỗi địa chỉ giữ một số tiền nhỏ đủ để tránh phát hiện.
Lazarus chạy script ví HD—một từ mật duy nhất có thể toán học suy ra hàng ngàn địa chỉ hoàn toàn mới trong vài giây, kết hợp với một pool worker (Python + web3, ethers.js hoặc công cụ nội bộ của họ) để ký và phát sóng song song toàn bộ cây địa chỉ. Mã này, họ đã liên tục cải tiến kể từ năm 2018.
Khi kết thúc giai đoạn này, chuỗi có thể truy xuất tuyến tính đã biến mất. Nhóm hoạt động của 10 ví đã bùng nổ thành hơn 100 ví bị phân mảnh, và vốn đồng thời đi vào quỹ đạo riêng tư qua hàng chục lối vào độc lập.
Giai đoạn thứ sáu: THORChain — Máy trốn chạy
Điểm ngắt thực sự xảy ra tại THORChain.
THORChain là một giao thức phi tập trung hỗ trợ trao đổi tài sản gốc xuyên chuỗi. Bạn gửi ETH trên Ethereum, nó sẽ trả lại BTC cho bạn trên mạng Bitcoin.
Chỉ trong ngày 22 tháng 4, khối lượng hoán đổi 24 giờ của THORChain đạt 460 triệu USD. Khối lượng giao dịch trung bình hàng ngày bình thường của giao thức này vào khoảng 15 triệu USD. Cuộc tấn công này đã chiếm tới 30 lần khối lượng giao dịch bình thường hàng ngày của giao thức.
Trong cùng khung thời gian 24 giờ, giao thức đã tạo ra lợi nhuận 494.000 USD, được chia sẻ giữa bonder (người vận hành nút), người cung cấp thanh khoản, quỹ phát triển, nhà tích hợp liên minh và quỹ tiếp thị.
Trong khi đó, nguồn vốn cũng đồng thời chảy qua một nhóm các quỹ riêng tư nhỏ hơn nhưng bổ sung cho nhau:
· Umbra: Giao thức địa chỉ ẩn trên Ethereum. Cho phép gửi tiền đến các địa chỉ một lần, chỉ người nhận mới có thể tính toán địa chỉ đó thông qua khóa chia sẻ. Các nhà giám sát trên chuỗi không thể xác định được điểm đến thực sự. Khoảng 78.000 USD hoạt động ban đầu đã được theo dõi, sau đó công cụ mất dấu.
·Chainflip: Một DEX chéo chuỗi khác, mô hình tương tự THORChain.
·BitTorrent Chain: Một sidechain chi phí thấp, ít bị giám sát, kết nối với Tron.
· Tornado Cash: Máy trộn tiền giống như khi nạp trước Gas ban đầu. Bộ Tài chính Hoa Kỳ đã đưa nó vào danh sách trừng phạt vào năm 2022.
Mỗi lớp giao thức được thêm vào, chi phí theo dõi tăng khoảng 10 lần. Sau 5 lớp, các công ty điều tra vẫn có thể theo dõi từng mảnh nhỏ về mặt lý thuyết, nhưng chi phí kinh tế đã vượt quá giá trị có thể thu hồi.
Giai đoạn thứ bảy: Phân mảnh UTXO của Bitcoin
Chuyển ETH sang BTC thông qua THORChain về bản chất là biến tiền thành giấy vụn.
Ethereum sử dụng mô hình tài khoản, số dư của bạn là một con số gắn với địa chỉ, đơn giản và trực tiếp. Khác với Bitcoin, nó sử dụng mô hình UTXO (đầu ra giao dịch chưa chi tiêu) — mỗi UTXO là một khối tiền cụ thể, đi kèm toàn bộ lịch sử giao dịch. Mỗi khi chi tiêu Bitcoin, những khối này sẽ được chia nhỏ và kết hợp lại để tạo thành các khối mới.
Hãy tưởng tượng việc xé một tờ tiền 100 USD thành 87 mảnh, sau đó mỗi mảnh lại xé tiếp thành 87 mảnh, lặp lại quá trình này 7 lần. Về mặt kỹ thuật, mỗi mảnh nhỏ đều có thể truy ngược về tờ tiền gốc. Tuy nhiên, trên thực tế, không có bất kỳ đội ngũ điều tra pháp lý nào có thể theo dõi kịp thời hàng ngàn chuỗi song song và nhanh chóng tái tạo toàn bộ bức tranh để hành động.
Do đó, THORChain đã thực hiện đồng thời hai việc: chuyển tiền vượt qua những biên giới mà bất kỳ lệnh trừng phạt nào cũng không thể vượt qua, và phân mảnh số tiền thành những hạt bụi không thể truy vết.
Giai đoạn thứ tám: Tron USDT轨道
Sau khi đi qua Bitcoin và lớp bảo mật, nguồn vốn hội tụ lại tại cùng một điểm cuối: USDT trên Tron.
Đa số mọi người nghĩ rằng thị trường chính của rửa tiền là BTC, điều này là sai lầm. Thị trường chính thực sự là USDT trên Tron. Dữ liệu cho thấy, khối lượng giao dịch tài sản mã hóa bất hợp pháp trên USDT-Tron mỗi năm đều đứng đầu, vượt quá tổng cộng tất cả các chuỗi khác.
Trong luồng vốn Kelp, lộ trình cụ thể là: chuyển BTC qua cầu sang Tron, đổi thành USDT, sau đó chuyển nhiều lần giữa các địa chỉ Tron. Chi phí cho mỗi bước trên Tron cực kỳ thấp, chỉ vài xu, có thể thêm 10 lớp phân mảnh nữa.
Giai đoạn thứ chín: Rút tiền — Chuyển tiền mã hóa thành tiền mặt
Mỗi cuộc tấn công mạng đều kết thúc bằng việc tiền được chuyển thành tiền mặt pháp định thông qua một mạng lưới người trung gian con người cụ thể và có thể xác minh.
Một nhóm môi giới giao dịch OTC hoạt động tại Trung Quốc đại lục và Đông Nam Á nhận tiền gửi USDT-Tron và thanh toán bằng tiền mặt nội địa. Những môi giới này thực chất là các tiệm đổi tiền bất hợp pháp. Họ tập hợp dòng tiền từ nhiều khách hàng (tuân thủ và không tuân thủ), thực hiện bù trừ nội bộ, và thanh toán bằng tiền pháp định thông qua mạng lưới thanh toán trong nước Trung Quốc (UnionPay)—UnionPay hoàn toàn hoạt động ngoài phạm vi hệ thống SWIFT và các biện pháp trừng phạt phương Tây.
Từ các tài khoản do các môi giới này kiểm soát, tiền được chuyển vào các tài khoản ngân hàng do Triều Tiên kiểm soát, thường được giữ dưới danh nghĩa các công ty vỏ bọc đăng ký tại Hồng Kông, Ma Cao hoặc các jurisdiction thứ ba. Sau đó, từ những tài khoản này, tiền được chuyển về Bình Nhưỡng thông qua các hình thức thanh toán phi chính thức kiểu hawala, vận chuyển tiền mặt vật lý và mua sắm các công ty cửa ngõ.
Hội đồng Bảo an Liên Hợp Quốc, FBI và Bộ Tài chính Hoa Kỳ đều đã ghi nhận độc lập hướng đi cuối cùng của số vốn này. Kế hoạch tên lửa đạn đạo của Triều Tiên, nghiên cứu phát triển vũ khí hạt nhân và việc tránh né các lệnh trừng phạt quốc tế đều dựa vào sự hỗ trợ liên tục từ các dòng vốn như vậy.
The 2024 United Nations report estimated that crypto hacks account for approximately 50% of North Korea's entire foreign exchange earnings, making it the primary funding source for North Korea's weapons programs—exceeding the combined total of coal exports, arms sales, and labor exports.