Vụ hack 90 triệu USD của sàn giao dịch tiền mã hóa lớn nhất Iran, Nobitex, đã gây chú ý toàn cầu. Nhưng dữ liệu blockchain mới xuất hiện cho thấy vụ việc này còn hé lộ điều gì đó lớn hơn.
Một báo cáo điều tra của công ty tình báo blockchain Global Ledger phát hiện rằng, nhiều tháng trước cuộc tấn công vào ngày 18/06, Nobitex đã có hành động di chuyển quỹ của người dùng một cách có hệ thống bằng các kỹ thuật thường liên quan đến rửa tiền.
Trước khi bị hack, sàn giao dịch Nobitex của Iran có rửa tiền của người dùng không?
Dữ liệu trên chuỗi cho thấy Nobitex đã sử dụng một phương pháp gọi là peelchaining. Đây là khi một lượng lớn Bitcoin được chia nhỏ và chuyển qua các ví tồn tại ngắn hạn.
Kỹ thuật này làm cho việc truy vết quỹ trở nên khó khăn và thường được sử dụng để che giấu nguồn gốc của tiền. Trong trường hợp của Nobitex, các nhà phân tích phát hiện một mô hình BTC được luân chuyển đều đặn trong các khối 30 coin.
Global Ledger cũng phát hiện rằng Nobitex đã sử dụng các địa chỉ gửi và rút tiền tạm thời—một hành vi được gọi là giao dịch chip-off. Những địa chỉ dùng một lần này chuyển BTC vào các ví mới, che giấu dấu vết thanh khoản.
Ví “Rescue Wallet” không phải là mới
Sau vụ hack, Nobitex tuyên bố đã di chuyển quỹ còn lại như một biện pháp an toàn. Hoạt động trên chuỗi cho thấy có 1,801 BTC (trị giá khoảng 187.5 triệu USD) được chuyển vào một ví mới tạo.
Nhưng ví này không phải là mới. Dữ liệu blockchain truy vết việc sử dụng lịch sử của nó từ tháng 10/2024. Ví này đã từ lâu thu thập các quỹ bị chip-off.
Ví “cứu hộ” này đã nhận nhiều lần chuyển 20–30 BTC theo các mô hình giống như rửa tiền, ngay cả trước khi vụ hack xảy ra.
Hoạt động sau vụ hack cho thấy sự kiểm soát tiếp tục
Vài giờ sau vụ vi phạm, Nobitex đã chuyển quỹ từ ví nóng bị lộ sang một địa chỉ nội bộ khác. Việc chuyển toàn bộ số dư này cho thấy Nobitex vẫn giữ quyền kiểm soát hoạt động.
Vào ngày 19/06, các nhà điều tra quan sát thấy 1,783 BTC được chuyển đến một ví đích mới. Điều này phù hợp với tuyên bố công khai của Nobitex về việc bảo vệ tài sản của mình—nhưng giờ đây có thêm bối cảnh.
Dòng chảy này cho thấy thay vì phản ứng với vụ hack, Nobitex chỉ đơn giản là đang theo đuổi sổ tay rửa tiền đã có sẵn.
Nhóm hacker ủng hộ Israel Gonjeshke Darande đã công bố các tệp tin tiết lộ cấu trúc ví nội bộ của Nobitex.
Vụ hack có thể đã gây sốc cho người dùng, nhưng dữ liệu blockchain cho thấy rằng Nobitex đã di chuyển quỹ theo cách này trong nhiều tháng.
Các ví cũ liên kết với sàn giao dịch thường xuyên gửi Bitcoin đến các ví mới. Từ đó, quỹ được chia nhỏ và di chuyển nhiều lần—thường là trong các khối 20 hoặc 30 BTC.
Phương pháp này làm cho việc theo dõi nơi tiền kết thúc trở nên khó khăn hơn. Nó giống như cách một số người che giấu dấu vết khi di chuyển quỹ qua tiền mã hóa.
Điều quan trọng là đây không phải là điều Nobitex bắt đầu sau vụ hack. Họ đã làm điều này từ lâu trước đó, và họ tiếp tục làm sau đó—gần như là quy trình tiêu chuẩn.
Một ví đặc biệt—bc1q…rrzq—xuất hiện nhiều lần. Nó nhận được nhiều khoản tiền gửi của người dùng và dường như là điểm khởi đầu cho nhiều chuyển động quỹ khó theo dõi này.
Tóm lại, vụ hack không khiến Nobitex thay đổi cách xử lý quỹ. Nó chỉ đơn giản là đưa hoạt động đang diễn ra phía sau hậu trường ra ánh sáng công khai.
Tất cả thông tin có trên trang web của chúng tôi được xuất bản với thiện chí và chỉ dành cho mục đích thông tin chung. Bất kỳ hành động nào người đọc thực hiện đối với thông tin được tìm thấy trên trang web của chúng tôi, họ cần phải đánh giá lại và hoàn toàn chịu rủi ro từ quyết định của chính họ.
