Tin tặc Balancer rửa 2.000 ETH thông qua Tornado Cash

Vụ khai thác Balancer đang bước sang một diễn biến mới. Kẻ tấn công đứng sau vụ việc trị giá 117 triệu USD đã bắt đầu rửa một lượng lớn Ethereum bị đánh cắp thông qua Tornado Cash. Các nhà quan sát on-chain phát hiện làn sóng giao dịch mới vào ngày 15/11, cho thấy hacker Balancer đã chuyển 2.000 ETH – tương đương khoảng 6,36 triệu USD – vào giao thức bảo mật chỉ trong vòng một giờ. Động thái này cho thấy gần như chắc chắn kẻ tấn công đã từ bỏ mọi khả năng thương lượng để trả lại tài sản theo hướng “mũ trắng”.

Hacker chuyển đổi token bị đánh cắp và bắt đầu rửa tiền

Trong vài ngày qua, hacker Balancer liên tục hoán đổi các liquid staking token (LST) và nhiều tài sản không phải ETH sang ETH. Giai đoạn chuyển đổi này đánh dấu sự thay đổi quan trọng về hành vi, cho thấy kẻ tấn công đang chuẩn bị rút tiền thay vì liên hệ với Balancer hay tìm kiếm một thỏa thuận.

Theo các tài khoản theo dõi on-chain, gần như toàn bộ số token bị đánh cắp đã được gom về ETH. Các cập nhật trước đó cho biết hacker Balancer nắm giữ khoảng 25.300 ETH, trị giá gần 92 triệu USD. Khi lượng chuyển đổi ngày càng tăng, cộng đồng dự đoán giai đoạn rửa tiền sẽ sớm bắt đầu – và hiện giờ điều đó đã xảy ra.

Hacker sử dụng Tornado Cash theo từng lô 100 ETH mỗi giao dịch. Hàng chục khoản nạp được ghi nhận liên tục trên chuỗi, khiến lượng tiền mới chảy vào Tornado Cash tăng đột biến. Mỗi giao dịch đều có phí gas nhỏ, thể hiện chiến lược phân bổ được chuẩn bị kỹ nhằm giảm khả năng bị truy vết. Một khi số tiền này được trộn trong Tornado, việc lần theo dấu vết gần như bất khả thi.

Vẫn còn hơn 5.000 ETH trong ví sau khi rửa tiền

Dù đã rửa 2.000 ETH qua Tornado Cash, ví được gắn nhãn “Balancer Exploiter 7” vẫn còn hơn 1.700 ETH tại thời điểm theo dõi. Trước đó, các ví liên quan khác cũng ghi nhận nhiều dòng tiền đổ về, cho thấy hacker đang phân phối tài sản có tổ chức qua nhiều địa chỉ.

Cách chia nhỏ nhiều ví là chiến thuật phổ biến trong các vụ tấn công lớn, giúp phân tán rủi ro và gây khó khăn cho việc truy dấu. Ngoài ra, các ví liên quan khác vẫn đang hoạt động, luân chuyển ETH qua lại trước khi tiếp tục nạp vào Tornado Cash theo từng đợt. Những mô hình này cho thấy quá trình rửa tiền có thể kéo dài trong vài giờ hoặc vài ngày tới.

Stakewise thu hồi một phần tài sản, nhưng vụ hack vẫn rất nghiêm trọng

Đầu tháng này, Stakewise đã sử dụng một lệnh smart contract để thu hồi 5.041 osETH, trị giá gần 19,3 triệu USD, từ hacker. Động thái này giúp giảm tổng thiệt hại từ 117 triệu USD xuống còn khoảng 98 triệu USD. Tuy vậy, hơn một nửa số tài sản bị đánh cắp đã được quy đổi sang ETH. Việc hacker tăng tốc rửa tiền cho thấy họ không còn quan tâm đến bất kỳ khoản thưởng hay thỏa thuận trả lại nào – trái ngược với nhiều vụ hack lớn khác từng đàm phán với bên bị hại.

Cộng đồng theo dõi khi Tornado Cash trở thành điểm đến cuối cùng

Với việc hacker đang mạnh tay rửa ETH qua Tornado Cash, cộng đồng crypto xem đây là giai đoạn cuối của vụ tấn công Balancer. Khi số ETH này được phân tán hoàn toàn, dấu vết gần như sẽ biến mất, để lại rất ít khả năng thu hồi cho Balancer và những người dùng bị ảnh hưởng. Các nhà điều tra vẫn tiếp tục theo dõi mô hình giao dịch, nhưng hiện tại hacker Balancer dường như quyết tâm rút lui với khoản lợi nhuận của mình, từng đợt 100 ETH một.