Cá voi Ethereum mất 27 triệu đô la: Liên kết pi tiết lộ máy móc rửa tiền và rủi ro tự động thanh lý

Một sự cố bảo mật nghiêm trọng vừa được công khai liên quan đến một “cá voi” Ethereum nổi tiếng với số tài sản khổng lồ. Thông qua công nghệ phân tích liên kết pi - những kết nối được hình thành do các hành động gửi tiền liên tục - đội ngũ chuyên gia bảo mật đã soi sáng toàn bộ quá trình tấn công tinh vi này, từ việc lộ khóa riêng tư đến hệ thống rửa tiền được lên kế hoạch kỹ lưỡng.

Theo báo cáo từ PeckShield (công ty chuyên phân tích bảo mật blockchain), toàn bộ quỹ trong multisig (ví đa chữ ký) của nạn nhân đã bị rút sạch với tổng giá trị khoảng 27,3 triệu đô la. Sự việc này xảy ra sau khi khóa bảo mật riêng tư bị xâm phạm, cho phép kẻ tấn công kiểm soát hoàn toàn tài khoản liên hợp của ông trùm tài chính này.

Multisig xâm phạm: Phát hiện liên kết pi giữa khóa riêng tư bị lộ và hành động rửa tiền

Những liên kết pi quan trọng nhất được hé lộ qua Etherscan cho thấy địa chỉ “0x1fCf1” liên tục thực hiện các lệnh gửi 100 ETH tới Tornado Cash - một mô hình hoạt động không phải là “phản ứng hoảng loạn” mà là một kế hoạch rửa tiền được chuẩn bị chu đáo. Các bằng chứng liên kết trên chuỗi khối này còn chứng minh rằng người rút tiền cũng kiểm soát đầy đủ quyền hạn multisig của nạn nhân.

Trong khoảng thời gian tấn công, kẻ phạm nhân đã chuyển hóa 12,6 triệu đô la (tương đương 4.100 ETH) thông qua Tornado Cash - một dịch vụ che giấu nguồn gốc tài sản. Phần còn lại của tài sản - khoảng 2 triệu đô la trong các token thanh khoản - vẫn nằm dưới kiểm soát của kẻ tấn công, chưa được di chuyển.

Tornado Cash rửa sạch 12,6 triệu đô la từ nguồn tài sản bị mất

Chiến thuật rửa tiền của kẻ tấn công thể hiện một mức độ kỹ lưỡng đáng chú ý. Thay vì thực hiện một lần gửi khổng lồ - hành động có thể kích hoạt báo động an ninh - chúng đã chọn cách chia nhỏ thành các lô 100 ETH và gửi từng lô một cách có hệ thống. Phương pháp tinh vi này giảm thiểu khả năng bị phát hiện và tạo ra một dòng chuyển gióng như một hoạt động “bình thường”.

Cơ chế thanh lý tự động: Rủi ro nằm trong những gì còn lại

Tuy nhiên, nguy hiểm thực sự không chỉ nằm ở những gì đã bị mất. Theo giao diện Aave được chụp lại, multisig của nạn nhân vẫn duy trì một vị thế long đòn bẩy (ký gửi thêm để vay): khoảng 25 triệu đô la Ethereum được cung cấp làm tài sản thế chấp để vay 12,3 triệu đô la DAI (một stablecoin). Chỉ số sức khỏe tài khoản hiện tại là 1,68 - con số này cho thấy ví vẫn còn hoạt động nhưng ở trạng thái “nguy hiểm”.

Rủi ro tự động thanh lý là gì? Nếu giá ETH giảm mạnh, chỉ số sức khỏe sẽ xuống dưới 1.0, kích hoạt cơ chế thanh lý tự động của Aave. Lúc đó, những tài sản thế chấp sẽ được bán tự động với giá thấp hơn để thanh toán khoản nợ, tạo ra một chuỗi phản ứng gây tổn thất thêm. Kẻ tấn công thậm chí không cần phải “xả hết” - một đợt giảm giá mạnh của ETH cũng đủ để gây ra sóng bán tháo tiêu cực.

201 token bị ảnh hưởng: Chi tiết danh sách tài sản mất cắp

Phân tích chi tiết ví trên Etherscan cho thấy mức độ tổn thất rộng lớn của sự cố này. Ngoài 100,3184 ETH (hiện giá trị khoảng $193,414 ở mức giá $1.93K), tài khoản còn chứa dư số khoảng 1,37 triệu đô la phân tán trên 201 token khác nhau.

Các tài sản lớn nhất bị mất gồm:

• 303,44 WETH (Ethereum được cấu trúc lại): trị giá khoảng 585,643 đô la
• 2.216,36 OKB (token của sàn giao dịch): trị giá 234,802 đô la
• 4.928,74 LEO (token Bitfinex): trị giá 36,374 đô la
• 151.990,97 FET (token Fetch.ai): trị giá 30,870 đô la

Tổng cộng, những token bị chiếm đoạt không chỉ đại diện cho một khoảng lỗ tài chính khổng lồ mà còn cho thấy đa dạng hóa tài sản của nạn nhân - một chiến lược bị vô hiệu hóa hoàn toàn do việc mất khóa riêng tư duy nhất.

Sự cố này nhấn mạnh lần nữa tầm quan trọng của bảo vệ khóa riêng tư và những rủi ro ẩn sâu trong các giao thức DeFi khi tài sản lớn được sử dụng làm tài sản thế chấp. Các liên kết pi được sử dụng để theo dõi những hành động tấn công này không chỉ giúp xác định kẻ phạm nhân mà còn cung cấp những bài học quý báu cho cộng đồng bảo mật blockchain.