Công ty phân tích blockchain này đã chỉ ra các mô hình rửa tiền xuyên chuỗi (cross-chain) cùng những thách thức truy vết đặc thù trên nền tảng Solana — những đặc điểm vốn phản chiếu các chiến dịch tấn công trước đây có liên hệ với chính quyền Triều Tiên.
Những điều cần biết:
- Công ty phân tích blockchain Elliptic cho biết vụ tấn công trị giá 285 triệu đô la vào Drift Protocol dựa trên nền tảng Solana cho thấy nhiều dấu hiệu đặc trưng của các hacker được nhà nước Triều Tiên tài trợ.
- Phân tích của Elliptic chỉ ra hành vi trên chuỗi được lên kế hoạch trước, dàn dựng cẩn thận và một quy trình rửa tiền xuyên chuỗi có cấu trúc, phản ánh các vụ trộm tiền điện tử liên quan đến Triều Tiên trong quá khứ.
- Vụ việc nhấn mạnh cách mô hình tài khoản phân mảnh của Solana và các chiến thuật rửa tiền xuyên chuỗi ngày càng phức tạp làm phức tạp các cuộc điều tra, khiến việc phân cụm ở cấp độ thực thể và các công cụ truy tìm toàn diện trở nên thiết yếu.
Elliptic cho biết vào thứ Năm rằng vụ tấn công vào Drift Protocol trị giá 285 triệu USD — vụ lớn nhất trong năm nay — mang theo “nhiều dấu hiệu” cho thấy sự tham gia của nhóm tin tặc DPRK do nhà nước Bắc Triều Tiên bảo trợ.
Công ty nghiên cứu này đặc biệt chỉ ra các hành vi trên chuỗi (on-chain), các phương thức rửa tiền và các tín hiệu cấp độ mạng lưới; tất cả đều trùng khớp với các cuộc tấn công có liên hệ với nhà nước đã xảy ra trước đây.
Drift Protocol — nền tảng có đồng token đã giảm hơn 40% xuống mức khoảng 0,06 USD kể từ sau vụ tấn công — hiện là sàn giao dịch hợp đồng tương lai vĩnh cửu phi tập trung lớn nhất trên blockchain Solana.
“Nếu được xác nhận, sự cố này sẽ đánh dấu hành vi thứ 18 của nhóm DPRK mà Elliptic đã theo dõi trong năm nay, với tổng số tiền bị đánh cắp tính đến nay đã vượt mốc 300 triệu USD,” báo cáo cho biết.
“Đây là sự tiếp nối của chiến dịch đánh cắp tài sản tiền mã hóa quy mô lớn và dai dẳng do nhóm DPRK thực hiện — chiến dịch mà chính phủ Hoa Kỳ đã xác định có liên quan đến việc tài trợ cho các chương trình vũ khí của quốc gia này. Các chủ thể có liên hệ với DPRK được cho là chịu trách nhiệm cho hàng tỷ USD tài sản tiền mã hóa bị đánh cắp trong những năm gần đây,” Elliptic nói thêm.
Vài giờ trước đó, dữ liệu từ Arkham cho thấy hơn 250 triệu USD đã được chuyển từ Drift sang một ví trung gian, sau đó tiếp tục được chuyển đến nhiều địa chỉ khác nhau.
Vào tháng 12 năm ngoái, một báo cáo của Chainalysis đã tiết lộ rằng các tin tặc DPRK đã đánh cắp một lượng tiền mã hóa kỷ lục trị giá 2 tỷ USD trong năm 2025 — bao gồm cả vụ tấn công vào Bybit gây thiệt hại 1,4 tỷ USD — đánh dấu mức tăng trưởng 51% so với năm trước đó. Bộ Tài chính Hoa Kỳ hồi tháng trước cũng cho biết Bắc Triều Tiên sử dụng các tài sản bị đánh cắp này để tài trợ cho chương trình vũ khí hủy diệt hàng loạt của quốc gia này.
Thay vì chỉ tập trung vào bản thân vụ tấn công, phân tích của Elliptic lại làm nổi bật một mô hình hoạt động quen thuộc. Các hoạt động này dường như đã được “tính toán trước và dàn dựng kỹ lưỡng,” với các giao dịch thử nghiệm sớm và việc thiết lập sẵn các ví tiền diễn ra trước khi sự kiện chính bùng nổ.
Báo cáo giải thích rằng ngay sau khi vụ tấn công được thực hiện, số tiền bị đánh cắp đã nhanh chóng được tập hợp lại, hoán đổi, chuyển đổi qua các chuỗi blockchain khác nhau và quy đổi sang các loại tài sản có tính thanh khoản cao hơn. Điều này phản ánh một quy trình rửa tiền có cấu trúc và mang tính lặp lại, được thiết kế nhằm che giấu nguồn gốc của tài sản trong khi vẫn duy trì được quyền kiểm soát đối với chúng.
Elliptic lưu ý rằng một thách thức trọng tâm trong vụ việc này nằm ở mô hình tài khoản của blockchain Solana. Do mỗi loại tài sản trên Solana đều được lưu trữ trong một tài khoản token riêng biệt, nên các hoạt động liên quan đến cùng một chủ thể có thể xuất hiện một cách rời rạc, phân tán trên nhiều địa chỉ khác nhau. Nếu không thể liên kết các địa chỉ này lại với nhau, các nhà điều tra sẽ có nguy cơ chỉ nhìn thấy được “những mảnh ghép rời rạc trong hoạt động của kẻ tấn công, chứ không thể thấy được bức tranh toàn cảnh.” Đây chính là điểm mà báo cáo của Elliptic làm nổi bật phương pháp tiếp cận theo cụm (clustering approach)—phương pháp giúp liên kết các tài khoản token về cùng một thực thể duy nhất, qua đó cho phép xác định mức độ phơi nhiễm rủi ro bất kể địa chỉ cụ thể nào đang được sàng lọc. Trong một sự cố liên quan đến hơn một tá loại tài sản khác nhau, góc nhìn toàn diện ở cấp độ thực thể này trở nên vô cùng thiết yếu.
Elliptic cũng bổ sung trong báo cáo của mình rằng vụ việc này còn nhấn mạnh thực tế: hoạt động rửa tiền hiện nay đã mang tính chất xuyên chuỗi (cross-chain) một cách cố hữu. Các khoản tiền đã được luân chuyển từ mạng Solana sang Ethereum và tiếp tục đi xa hơn nữa, qua đó minh chứng cho sự cần thiết của điều mà Elliptic mô tả là “năng lực truy vết xuyên chuỗi một cách toàn diện”.
Nguồn :
