Từ Việc Bị Đánh Cắp Đến Quay Trở Lại Thị Trường, Làm Thế Nào 2,92 Tỷ Đô la Được "Làm Sạch"?
Đề mục gốc: Tiền tệ Kelp $292 triệu đã đi đâu? Phân tích về một vụ rửa tiền $292 triệu.
Tác giả gốc: @the_smart_ape
Biên dịch: Peggy, BlockBeats
Ghi chú biên tập viên: Vào ngày 18 tháng 4, Kelp DAO bị tấn công, khoảng $2.92 tỷ tài sản bị đánh cắp. Vậy, trong một hệ thống hoàn toàn công khai trên chuỗi, số tiền này cuối cùng đã bị "rửa sạch" như thế nào, trở thành tài sản có thể lưu thông?
Trong bài viết này, thông qua sự kiện này làm điểm nhấn, chúng ta sẽ phân tích một con đường rửa tiền tiền điện tử được công nghiệp hóa cao: từ cơ sở hạ tầng ẩn danh trước cuộc tấn công, đến việc sử dụng Tornado Cash để cắt đứt mối liên kết trên chuỗi; từ việc thế chấp "tài sản độc hại" thông qua Aave, Compound để trao đổi lưu thông sạch sẽ, sau đó thông qua THORChain, cầu nối liên chuỗi và cấu trúc UTXO để tăng sự khó khăn trong việc theo dõi theo hệ số bậc, cuối cùng đổ vào hệ thống USDT trên Tron và thông qua mạng ngoài chuỗi để đổi thành tiền mặt trong thế giới thực.
Trong quá trình này, không có hoạt động hộp đen phức tạp, gần như mỗi bước đều tuân thủ "quy tắc". Chính vì vậy, những gì con đường này đã phơi bày, không phải là một lỗ hổng đơn lẻ, mà là căng thẳng cấu trúc của hệ thống DeFi dưới sự mở cửa, có thể kết hợp và không thể kiểm tra được — khi mà thiết kế giao thức chính cho phép tồn tại những hoạt động như vậy, việc "hồi phục tài sản" không còn là vấn đề công nghệ nữa, mà là vấn đề ranh giới hệ thống.
Do đó, vụ việc Kelp DAO không chỉ là một sự cố bảo mật, mà còn giống như một cuộc thử nghiệm áp lực về logic hoạt động của thế giới tiền điện tử: nó đã thể hiện cách mà hacker biến tiền của bạn thành tiền của anh ta, cũng như làm thế nào hệ thống này về cơ bản khó ngăn chặn quá trình này xảy ra.
Như bạn đã biết, vào ngày 18 tháng 4, một hacker Triều Tiên đã đánh cắp 2.92 tỷ USD từ Kelp DAO. Sau 5 ngày, hơn một nửa số tiền đã biến mất, phân mảnh lan tỏa trong hàng ngàn ví, được hoán đổi thông qua giao thức không thể tạm dừng, cuối cùng chảy về một đích cụ thể rất cụ thể.
Điều thú vị là: Làm thế nào để biến 2.92 tỷ USD tài sản tiền điện tử bị đánh cắp có thể tra cứu thành tiền mặt trong túi của Bình Nhưỡng mà không ai có thể ngăn chặn.
Mục đích của bài viết này là phơi bày lý do vì sao quy trình rửa tiền tiền điện tử hiện đại hoạt động như thế nào, tại sao không thể ngăn chặn trên mặt cấu trúc, và mỗi đô la sau khi rửa trắng cuối cùng mua được gì.
Stage 1: Lên kế hoạch (Vài giờ trước vụ tấn công)
Tấn công không bắt đầu bằng việc trực tiếp lấy cắp. Chiến thuật của Tổ chức Lazarus luôn bắt đầu từ việc chuẩn bị cơ sở hạ tầng.
Tấn công diễn ra khoảng 10 giờ trước, 8 ví hoàn toàn mới đã được tạo ra và tiền đã được nạp trước thông qua Tornado Cash — Tornado Cash là một dịch vụ trộn lẫn, giúp phân tách mối liên kết giữa nguồn tiền và đích đến.
Mỗi ví nhận được 0.1 ETH, được sử dụng để thanh toán phí Gas cho tất cả các giao dịch tiếp theo. Do tiền trong các ví này đến từ dịch vụ trộn lẫn, không có bản ghi KYC trên sàn giao dịch, không có lịch sử giao dịch, không thể liên kết với bất kỳ thực thể nào đã biết. Sạch sẽ và trắng tinh.
Vào đêm trước khi tấn công, kẻ tấn công đã thực hiện 3 giao dịch chuyển tiền qua mạng chính Ethereum tới Avalanche và Arbitrum — rõ ràng mục đích là để nạp trước Gas trên hai mạng L2 này và thử nghiệm các thao tác cầu nối giao thức, đảm bảo mọi việc diễn ra trơn tru khi chuyển khoản số lớn.
Pha Hai: Lấy Cắp
Một ví độc lập phát động tấn công (0x4966...575e) đã gọi hàm có tên lzReceive trên hợp đồng LayerZero EndpointV2. Do đã thành công trong việc lừa dối người xác thực, cuộc gọi này được xem như một tin nhắn qua mạng hợp lệ. Hợp đồng cầu nối của Kelp được gọi là Kelp DAO: RSETH_OFTAdapter (Địa chỉ Etherscan: 0x85d…), ngay sau đó đã chuyển 116,500 đồng rsETH tới 0x8B1.
18% của tổng lưu hành của rsETH. Biến mất trong một cuộc gọi hàm.
46 phút sau đó, vào lúc 18:21 theo giờ UTC, hợp đồng đa chữ ký khẩn cấp của Kelp đã tạm dừng giao thức. Thời gian UTC 18:26 và 18:28, kẻ tấn công đã cố gắng thực hiện lại hai lần theo cùng một cách thức, mỗi lần cố gắng lấy cắp khoảng 40,000 đồng rsETH (tương đương khoảng 1 tỷ đô la) mỗi lần. Cả hai lần đều bị lùi lại do Kelp kịp thời ngưng hoạt động. Nếu không có điều này, tổng số tiền bị cắp có thể gần 5 tỷ đô la.
Pha Ba: Hoạt Động Aave + Compound
rsETH là một loại token bảo đảm, một khi Kelp tạm dừng cầu nối hoặc đưa token bị cắp vào danh sách đen, giá trị của nó sẽ trở thành 0. Kẻ tấn công chỉ có vài phút để chuyển đổi nó thành tài sản không thể bị đóng băng. Kelp đã tạm dừng sau 46 phút kể từ khi cắp giữa — đã quá muộn.
Việc bán đổ 2.92 tỷ USD của token restaking không lưu thông trực tiếp trên thị trường mở sẽ gây sụt giá hơn 30% trong vài phút. Do đó, anh ta không chọn bán mà sử dụng giao thức vay mượn DeFi như một công cụ rửa tiền để nhanh chóng tiêu thụ.
Ví nhận 0x8B1 đã phân tán 116,500 đồng rsETH bị đánh cắp trong 7 ví con khác nhau. Mỗi ví con sau đó đã tham gia vào Aave và Compound V3, đặt một phần rsETH làm tài sản thế chấp và vay ETH.
Tổng vị thế của 7 ví con như sau:
· Thế chấp vào: 89,567 đồng rsETH
· Vay: khoảng 82,650 đồng WETH + 821 đồng wstETH, tổng cộng khoảng 1.9 tỷ USD tài sản Ethereum sạch, lưu động
· Hệ số an toàn của mỗi ví con được đặt từ 1.01 đến 1.03 — giới hạn tuyệt đối mà giao thức cho phép trước khi thanh khoản
Kẻ tấn công đã sử dụng số rsETH trị giá tổng cộng 2.92 tỷ USD, đã bị đánh dấu và gần như không thể chuyển thành tiền mặt, để đổi lấy 1.9 tỷ USD ETH. Khi số rsETH này cuối cùng bị đánh dấu gần như bằng không (do nợ không thể chi trả của Kelp, không thể đổi lại), người gửi tiền của giao thức vay mượn phải chịu tổn thất.
Khi thị trường nhận ra Aave đang giữ hơn 2 tỷ USD nợ xấu, người dùng hoảng loạn rút vốn. Aave đã mất 80 tỷ USD TVL (tổng giá trị đang khóa) trong vòng 48 giờ. Giao thức vay mượn lớn nhất này đã trải qua lần rút vốn ngân hàng đầu tiên chân thực — với đầu đốt là một kẻ tấn công đã sử dụng hoàn toàn theo thiết kế của giao thức.
Pha 4: Tích hợp và Phân chia Tài sản
Sau khi hoàn tất vay từ Aave/Compound, 7 ví con đã chuyển ETH đã vay đến ví tiền tổng hợp ở tầng 3 (0x5d3).
Toàn bộ cụm hoạt động hiện đang có cấu trúc rõ ràng 3 tầng:
1. Nhận: 0x8B1 (cũng thông qua Tornado Cash cho vay tín dụng), nhận 116,500 đồng rsETH trội phú đã bị đánh cắp
2、Hoạt động: 7 ví phụ được tài trợ bởi Tornado Cash, thực hiện giao dịch Aave/Compound
3、Tích hợp: 0x5d3 thống nhất khoản vay khoảng 71,000 ETH, cho toàn bộ vào quy trình rửa tiền
Sau đó, tiền được phân phối trên hai chuỗi:
· 75,700 ETH giữ lại trên mạng chính Ethereum
· 30,766 ETH trên Arbitrum (khoảng 71 triệu USD)
Ủy ban An ninh Arbitrum đã bỏ phiếu đóng băng số tiền trên Arbitrum, chuyển 71 triệu USD vào một ví quản lý được điều khiển bằng quản trị chỉ qua quản trị sau này.
Sau khi số tiền được đóng băng, kẻ tấn công ngay lập tức chuyển số dư ETH còn lại trên mạng chính và tăng tốc quá trình rửa tiền. Dựa vào những hành động này, rõ ràng anh ta không dự đoán được Arbitrum sẽ thực hiện hành động như vậy.
Pha 5: Đợt rửa tiền đầu tiên
Bốn ngày sau vụ tấn công, 0x5d3 bắt đầu được rút tiền. Arkham đã theo dõi được 3 giao dịch độc lập trong vài giờ.
Thời điểm được lựa chọn kỹ lưỡng: giờ giao dịch châu Âu vào thứ Ba. Nhà điều tra Mỹ đều đang nghỉ ngơi, cơ quan tuân thủ châu Âu đang xử lý công việc bị đọng từ thứ Hai, các sàn giao dịch châu Á sắp đóng cửa.
Sau đó, mô hình giao dịch bắt đầu lan rộng khắp. Mỗi điểm đến đầu tiên ngay lập tức lan ra: 0x62c7 được gửi đến khoảng 60 ví mới được tạo, 0xD4B8 được gửi đến thêm khoảng 60 ví khác. Trong vài giờ, cụm ví gốc 10 ví sạch sẽ mở rộng thành hơn 100 địa chỉ một lần, tất cả đều được nạp tiền song song, mỗi địa chỉ có số tiền nhỏ đủ để tránh phát hiện.
Lazarus chạy script HD wallet - một từ khóa duy nhất có thể được suy diễn ra hàng nghìn địa chỉ mới chỉ trong vài giây, phối hợp với một worker pool (Python + web3, ethers.js hoặc công cụ nội bộ của họ) để ký và phát sóng song song toàn bộ cây địa chỉ. Mã này, họ đã liên tục phát triển từ năm 2018.
Khi pha này kết thúc, chuỗi tuyến tính có thể theo dõi đã biến mất. Cụm giao dịch 10 ví đã phân ra thành hơn 100 ví phân mảnh, tiền đồng thời đi vào con đường riêng tư từ nhiều cửa ngõ độc lập.
Stage Six: THORChain - The Escape Machine
The true breakpoint occurs at THORChain.
THORChain is a decentralized protocol that supports native cross-chain asset swaps. You send ETH on Ethereum, it gives you back BTC on the Bitcoin network.
On April 22 alone, THORChain's 24-hour trading volume reached $4.6 billion. The protocol's normal daily trading volume is around $15 million. This hack, in a single day, amounted to 30 times the normal volume of the protocol.
Within the same 24-hour window, the protocol generated a total revenue of $494,000, distributed among bonders (node operators), liquidity providers, the development fund, alliance integrators, and the marketing fund.
Meanwhile, funds also flowed through a set of smaller but complementary privacy rails in parallel:
· Umbra: A stealth address protocol on Ethereum. It allows funds to be sent to one-time addresses, where only the recipient can derive the address through a shared key. On-chain observers have no way of knowing the real destination. Approximately $78,000 of initial activity was traced here, after which the trail went cold.
· Chainflip: Another cross-chain DEX with a similar pattern to THORChain.
· BitTorrent Chain: A low-cost, low-regulation sidechain connected to Tron.
· Tornado Cash: A mixer similar to the initial Gas Presale. The U.S. Treasury Department sanctioned it in 2022.
With each layer of protocol, the tracing cost roughly increases tenfold. After passing through five layers, forensics theoretically could still trace every shard; however, the economic cost now surpasses the recoverable value.
Stage Seven: Bitcoin UTXO Fragmentation
Completing an ETH to BTC transfer via THORChain essentially turns money into confetti.
Ethereum operates on an account model, where your balance is a number attached to an address, straightforward. Bitcoin, on the other hand, utilizes a UTXO (Unspent Transaction Output) model — each UTXO is a specific block of a coin with a full transaction history. Every bitcoin spend splits and recombines these blocks to create new ones.
Imagine tearing a $100 bill into 87 pieces, then tearing each piece into 87 more pieces, repeating this process 7 times. Technically, each fragment can be traced back to the original bill. However, no forensic team in the world can real-time trace thousands of parallel chains and piece together the whole picture and take action in a sufficiently fast time.
Therefore, THORChain accomplishes two things simultaneously: moving funds across borders that no sanction could cross and shattering funds into untraceable dust.
Phase Eight: Tron USDT Orbit
After Bitcoin and the privacy layer, funds reconverge at one destination: USDT on Tron.
Most people think the main battleground for money laundering is BTC, which is incorrect. The real battleground is USDT on Tron. Data shows that USDT-Tron carries the highest annual volume of illicit crypto asset transactions, surpassing the total of all other chains.
In this flow of funds through Kelp, the specific path is: bridging from BTC to Tron, exchanging for USDT, and then transferring multiple times between Tron addresses. Each hop on Tron has an extremely low cost, only costing a few cents, to layer on another 10 levels of fragmentation.
Phase Nine: Cashout - Crypto to Cash
At the endpoint of each hack, funds flow through a specific, traceable human intermediary network and convert to fiat cash.
A group of over-the-counter (OTC) brokers active in mainland China and Southeast Asia receive USDT-Tron deposits and settle in local currency cash. These brokers essentially function as unlicensed underground banks. They aggregate funds flows from multiple clients (compliant and non-compliant), perform internal netting, and settle in fiat currency through the China domestic payment network (UnionPay) - completely outside the SWIFT system and Western sanctions enforcement.
From these broker-controlled accounts, funds flow to bank accounts controlled by North Korea, often held in the name of shell companies registered in Hong Kong, Macau, or third-party jurisdictions. Then, from these accounts, funds are remitted back to Pyongyang through informal hawala-style clearing, physical cash movements, and front company purchases.
The United Nations Security Council, FBI, and the U.S. Treasury have independently documented the final destination of these funds. North Korea's ballistic missile program, nuclear weapons development, and evasion of international sanctions all rely on the continuous support of these funds flows.
Năm 2024, một báo cáo của Liên Hợp Quốc ước lượng rằng cuộc tấn công hack tiền điện tử chiếm khoảng 50% tổng thu nhập từ ngoại hối của Triều Tiên, biến nó thành nguồn tiền chính đầu tiên của chương trình vũ khí của Triều Tiên — vượt qua tổng số từ việc xuất khẩu than đá, bán vũ khí và xuất khẩu lao động.
Chào mừng bạn tham gia cộng đồng chính thức của BlockBeats:
Nhóm Telegram đăng ký: https://t.me/theblockbeats
Nhóm Telegram thảo luận: https://t.me/BlockBeats_App
Tài khoản Twitter chính thức: https://twitter.com/BlockBeatsAsia
