Thám tử trên chuỗi phá án: TRM Labs đã theo dõi số tiền bị đánh cắp 35 triệu USD của LastPass đến mạng lưới tội phạm đen ở Nga

Một báo cáo chuyên sâu gần đây của công ty tình báo blockchain TRM Labs đã tiết lộ tác động hậu của vụ rò rỉ dữ liệu quy mô lớn của trình quản lý mật khẩu nổi tiếng LastPass năm 2022. Báo cáo chỉ ra rằng số tiền bị đánh cắp liên quan đến lỗ hổng này đã vượt quá 3,5 triệu USD, và dòng tiền hướng trực tiếp đến một tổ chức tội phạm mạng Nga phối hợp. Đáng chú ý là, mặc dù hacker đã sử dụng các công cụ quyền riêng tư tiên tiến như Wasabi Wallet và dịch vụ trộn coin để che giấu dấu vết, các nhà phân tích của TRM Labs đã thành công trong việc phục hồi quá trình trộn tiền bằng cách nhận diện các đặc điểm hành vi chuỗi độc đáo của chúng, và theo dõi dòng tiền cuối cùng chảy vào các nền tảng giao dịch nội địa của Nga như Cryptex và Audi6, trong đó chỉ riêng dòng tiền chảy vào Audi6 đã khoảng 700万美元. Điều này không chỉ là một thành công trong điều tra chuỗi, mà còn phơi bày vai trò then chốt của hạ tầng mã hóa trong khu vực trong chuỗi rửa tiền tội phạm mạng toàn cầu.

Một quá trình “chảy máu chậm” của tài sản số kéo dài nhiều năm

Câu chuyện bắt đầu từ vụ rò rỉ dữ liệu LastPass gây chấn động toàn cầu năm 2022. Thời điểm đó, nhà cung cấp dịch vụ quản lý mật khẩu với hàng triệu người dùng thừa nhận bị xâm nhập, nhưng rủi ro chưa chấm dứt tại đó. Theo báo cáo mới nhất của TRM Labs, các hacker đã liên tục sử dụng thông tin xác thực bị đánh cắp trong nhiều năm sau đó để hệ thống hóa việc rút sạch tài sản của người dùng khỏi các ví tiền mã hóa liên quan. Phương thức trộm cắp này, không phải là chuyển khoản lớn một lần mà là rút dần theo thời gian, khiến việc phát hiện ban đầu khó hơn, cho đến khi thiệt hại tích lũy đạt hàng chục triệu USD mới thu hút sự chú ý rộng rãi.

Các khoản tiền bị đánh cắp không đứng yên. Các theo dõi của TRM Labs cho thấy, hacker thể hiện tính chuyên nghiệp và tổ chức cao. Họ không đơn thuần chuyển ETH hoặc token khác trực tiếp vào sàn để rút tiền, mà thực hiện một quy trình rửa tiền phức tạp. Đầu tiên, họ dùng dịch vụ đổi tiền tức thì để chuyển đổi các loại tài sản không phải Bitcoin thành Bitcoin. Bước này nhằm chuẩn hóa tài sản, đồng thời tạo tiền đề cho việc sử dụng các công cụ quyền riêng tư đặc thù của Bitcoin sau này. Tiếp theo, dòng tiền được gửi vào các ví như Wasabi Wallet hoặc qua các giao thức CoinJoin để trộn coin. Các dịch vụ này hoạt động dựa trên nguyên lý trộn lượng lớn tài sản của nhiều người dùng rồi phân phối lại, nhằm cắt đứt hoàn toàn mối liên hệ chuỗi giữa địa chỉ gửi và địa chỉ nhận, qua đó làm mờ nguồn gốc của dòng tiền.

Tuy nhiên, tội phạm dường như hoàn hảo này đã lộ diện trước công nghệ phân tích chuỗi. Các nhà nghiên cứu của TRM Labs phát hiện rằng, mặc dù đã dùng các công cụ quyền riêng tư, tổ chức này vẫn để lại một dạng ký hiệu chuỗi nhất quán. Ký hiệu này không chỉ là liên kết địa chỉ đơn thuần, mà còn là một loạt các mẫu hành vi lặp lại, dễ nhận diện, giống như bước đi hoặc nét chữ đặc trưng của một người trong thế giới số, giúp các thuật toán tinh vi có thể nhận diện ngay cả khi chúng ẩn mình trong đám đông.

Đường đi rửa tiền của hacker và các điểm theo dõi chuỗi quan trọng

• Nguồn tấn công: Sử dụng thông tin xác thực bị đánh cắp từ lỗ hổng LastPass năm 2022.
• Quy mô trộm cắp: Hơn 3,5 triệu USD các loại tiền mã hóa.
• Bước đầu rửa tiền (chuyển đổi): Dùng dịch vụ đổi tiền tức thì để chuyển đổi các tài sản khác nhau thành Bitcoin.
• Bước thứ hai (trộn): Đưa Bitcoin vào Wasabi Wallet, CoinJoin hoặc các dịch vụ trộn khác nhằm cắt đứt dòng tiền.
• Điểm phá vỡ theo dõi: TRM Labs nhận diện đặc điểm hành vi chuỗi hoặc dấu vết số độc đáo của tổ chức này, như cách nhập khóa riêng vào ví, quy luật thời gian giao dịch, v.v.
• Điểm cuối cùng: Sau khi giải trộn thành công, dòng tiền cuối cùng chảy vào các nền tảng giao dịch nội địa của Nga như Cryptex và Audi6, trong đó chỉ riêng dòng chảy vào Audi6 đã khoảng 700万美元.
• Liên quan khu vực: Các ví tương tác với dịch vụ trộn đều thể hiện mối liên hệ với Nga trước và sau khi rửa tiền, cho thấy hacker có khả năng trực tiếp nằm trong khu vực này.

Nghệ thuật “giải trộn”: Phân tích hành vi xuyên thủng màn sương công cụ quyền riêng tư

Đối mặt với dòng tiền đã qua trộn của các dịch vụ trộn coin, các phương pháp theo dõi truyền thống thường bất lực. Nhưng trong cuộc điều tra này, công nghệ phân tích liên tục hành vi của TRM Labs đã mở ra một giai đoạn mới trong điều tra chuỗi. Trọng tâm của họ không phải là theo dõi đơn thuần địa chỉ ví, mà là thói quen hành vi của người điều hành ví đó. Những thói quen này có thể bao gồm: cách cấu hình ví khi sử dụng phần mềm, sở thích thời gian thực hiện giao dịch (liên quan đến múi giờ), mẫu tương tác với hợp đồng thông minh, thậm chí là các dấu vết phần mềm nhỏ khi nhập khóa riêng hoặc xây dựng giao dịch.

Ví dụ, mặc dù Wasabi Wallet được thiết kế để cung cấp bảo vệ quyền riêng tư mạnh mẽ cho mỗi giao dịch, người dùng trong quá trình thao tác ví có thể vô tình để lại siêu dữ liệu hoặc mẫu hành vi liên quan. Các nhà phân tích của TRM Labs đã thành công trong việc tổng hợp phân tích các điểm dữ liệu chuỗi và ngoại chuỗi tưởng chừng không liên quan, để phân tích lại quá trình trộn coin, tái cấu trúc các giao dịch bị làm mờ. Quá trình này giống như từ một mối chỉ thắt chặt bị rối loạn, nhận diện từng sợi chỉ riêng biệt qua kết cấu và màu sắc, cuối cùng phục hồi lại đường nối ban đầu. Báo cáo này chứng minh rằng, trước các phân tích blockchain cao cấp, nhiều công cụ quyền riêng tư không hoàn toàn đảm bảo ẩn danh, đặc biệt khi người thao tác để lộ đặc điểm hành vi.

Bước đột phá này có ý nghĩa lớn. Nó không chỉ cung cấp một phương pháp kỹ thuật khả thi cho các cơ quan thực thi pháp luật truy tìm tội phạm, mà còn cảnh báo các tội phạm rửa tiền bằng các phương pháp tương tự. Quan trọng hơn, nó đặt ra thách thức mới cho lĩnh vực công nghệ quyền riêng tư trong tiền mã hóa: bảo vệ quyền riêng tư thực sự có thể cần vượt ra ngoài việc che giấu các giao dịch, mở rộng đến việc bảo vệ toàn diện các dấu vết hành vi của người dùng. Đây sẽ là cuộc chiến công nghệ liên tục.

Điều này cũng gây tiếng vang trong lĩnh vực tuân thủ tài chính truyền thống (TradFi), khi cho thấy rằng, bất kể công nghệ tiến bộ thế nào, việc giám sát dựa trên mẫu hành vi và đánh giá rủi ro vẫn là trung tâm của công tác chống rửa tiền.

Nền tảng giao dịch nội địa Nga: “Trung tâm” và “Điểm đến” của dòng tiền tội phạm mạng

Khi dòng tiền đã rõ ràng, điểm cuối của chuỗi hướng trực tiếp đến các nền tảng giao dịch tiền mã hóa nội địa của Nga. Báo cáo đề cập đến hai nền tảng: Cryptex và Audi6. Trong đó, Cryptex đặc biệt đáng chú ý vì đã bị Bộ Tài chính Mỹ đưa vào danh sách trừng phạt OFAC. Khoảng 700万美元 tiền bị đánh cắp đã chảy vào Audi6, phần còn lại chủ yếu tích tụ cuối cùng tại Cryptex và các nền tảng khác.

Các nền tảng này đóng vai trò quan trọng trong việc rút tiền sau quá trình rửa. Bitcoin sạch sau khi qua các bước trộn phức tạp, tại đây được đổi thành tiền pháp định hoặc chuyển tiếp để hoàn tất quá trình chuyển đổi từ tài sản số sang tài sản có thể tiêu dùng. TRM Labs chỉ ra rằng, các nền tảng này có mối liên hệ lâu dài và sâu sắc với thế giới ngầm tội phạm mạng Nga, cung cấp tính thanh khoản và hạ tầng tài chính không thể thiếu. Các phát hiện then chốt cho thấy, các địa chỉ ví tương tác với dịch vụ trộn đều thể hiện mối liên hệ với Nga trước và sau khi rửa tiền. Điều này cho thấy, tổ chức tấn công không chỉ thuê hạ tầng Nga, mà khả năng cao là chính chúng nằm trong hoặc do người Nga điều hành.

Tình hình này làm nổi bật một vấn đề quản lý lâu dài: một số sàn giao dịch tiền mã hóa ở các khu vực pháp lý lỏng lẻo hoặc thiếu hợp tác pháp luật, thực chất trở thành trung tâm trung chuyển và nơi trú ẩn dòng tiền tội phạm toàn cầu. Sự tồn tại của chúng làm giảm đáng kể rào cản kinh tế và kỹ thuật trong hoạt động tội phạm mạng, giúp hacker hợp pháp hóa các khoản thu bất hợp pháp một cách an toàn hơn. Điều này không chỉ gây tổn hại uy tín của ngành công nghiệp tiền mã hóa mà còn đe dọa an ninh tài chính toàn cầu. Từ đó, rõ ràng cần xây dựng khung quản lý tài sản mã hóa toàn cầu, phù hợp với tiêu chuẩn của tài chính truyền thống (TradFi), để cô lập các dòng chảy bất hợp pháp. Báo cáo này cũng chứng minh vai trò then chốt của các tổ chức phân tích blockchain tư nhân, khi các thông tin của họ đang trở thành cầu nối quan trọng giữa thế giới mã hóa và hệ thống thực thi pháp luật truyền thống.

Vụ án kéo dài nhiều năm, trị giá hàng chục triệu USD này như một tấm gương phản chiếu những thách thức phức tạp về an ninh, quyền riêng tư và tuân thủ pháp luật trong thế giới tiền mã hóa. Nó chứng minh rằng, trên blockchain, dấu vết có thể bị che giấu kỹ lưỡng, nhưng chỉ cần hành động là sẽ để lại dấu vết số có thể truy vết. Đối với toàn ngành, xây dựng một hệ sinh thái vừa bảo vệ an toàn tài sản và quyền riêng tư của người dùng, vừa có khả năng chống và truy vết tội phạm sẽ là nhiệm vụ trung tâm trong thời gian tới. Trong quá trình này, các nguyên lý kiểm soát rủi ro của tài chính truyền thống, công nghệ giám sát pháp lý và hợp tác với cơ quan thực thi pháp luật đều là những công cụ không thể thiếu.