Hacker Phemex Bắt Đầu Tẩu Tán Số Tiền Đánh Cắp

Tóm tắt sự kiện

Vào ngày 23 tháng 1 năm 2025, sàn giao dịch tiền mã hóa Phemex, có trụ sở tại Singapore, đã bị tấn công, dẫn đến thiệt hại hơn 70 triệu USD. Hacker đã rút nhiều loại tài sản trên nhiều blockchain khác nhau, sau đó chuyển đổi chúng thành token gốc của từng blockchain, ưu tiên các stablecoin có thể bị đóng băng, trước khi chuyển sang các loại tiền khác.

Quá trình tẩu tán tài sản được thực hiện thông qua nhiều bước phức tạp và sử dụng các giao thức khác nhau. Ví dụ, một ví mới nhận được 601,34 ETH từ 5 giao dịch riêng biệt, sau đó hợp nhất số tiền này và chuyển qua cầu nối cross-chain của Across Protocol, tiếp tục chuyển đến các địa chỉ khác. Ngoài ra, hacker còn sử dụng các nền tảng trộn tiền như Tornado Cash và eXch, cùng với các giao thức như Wintermute, DLN Trade và THORChain để chuyển đổi tài sản, làm cho việc theo dõi trở nên khó khăn hơn.

Một phần số tiền bị đánh cắp đã được chuyển đến các sàn giao dịch như OKX và CoinEx, cho thấy khả năng hacker đang cố gắng rút tiền mặt. Tuy nhiên, phần lớn tài sản vẫn đang được di chuyển qua các công cụ on-chain như dịch vụ cầu nối của Bitget và ví ChangeNOW.

Dữ liệu : Arkham Intelligence

Vào ngày 19 tháng 2 năm 2025, các hacker liên quan đến vụ tấn công sàn giao dịch Phemex đã bắt đầu di chuyển số tiền mã hóa chiếm đoạt được, sử dụng các phương thức tinh vi để che giấu dấu vết. Theo công ty bảo mật Global Ledger, hơn 2.080 ETH (tương đương khoảng 6 triệu USD) đã được chuyển vào 14 ví mới, giảm số dư của ví chính xuống dưới 3.600 ETH.

Trước đó, vào ngày 23 tháng 1 năm 2025, Phemex, một sàn giao dịch có trụ sở tại Singapore, đã bị tấn công, dẫn đến thiệt hại hơn 70 triệu USD. Các hacker đã rút nhiều loại tài sản trên nhiều blockchain khác nhau, sau đó chuyển đổi chúng thành token gốc của từng blockchain, ưu tiên các stablecoin có thể bị đóng băng, trước khi chuyển sang các loại tiền khác.

Quá trình tẩu tán tài sản được thực hiện thông qua nhiều bước phức tạp và sử dụng các giao thức khác nhau. Ví dụ, một ví mới nhận được 601,34 ETH từ 5 giao dịch riêng biệt, sau đó hợp nhất số tiền này và chuyển qua cầu nối cross-chain của Across Protocol, tiếp tục chuyển đến các địa chỉ khác. Ngoài ra, các hacker còn sử dụng các nền tảng trộn tiền như Tornado Cash và eXch, cùng với các giao thức như Wintermute, DLN Trade và THORChain để chuyển đổi tài sản, làm cho việc theo dõi trở nên khó khăn hơn.

Dữ liệu : Arkham Intelligence

Mặc dù số tiền chuyển đi vào ngày 19 tháng 2 chỉ chiếm một phần nhỏ trong tổng số 85 triệu USD bị đánh cắp từ Phemex, nhưng các hacker đã liên tục rút tiền trong nhiều tuần qua thay vì thực hiện một giao dịch lớn duy nhất. Trước đó, họ đã rút 50 BTC và 4 triệu XRP từ sàn giao dịch này, ngoài số ETH đã đề cập.

Các công ty bảo mật blockchain đang theo dõi chặt chẽ các giao dịch này và hợp tác với các sàn giao dịch lớn để xác định danh tính của các hacker. Tuy nhiên, với các chiến thuật rửa tiền ngày càng tinh vi, quá trình điều tra có thể kéo dài và gặp nhiều thách thức.

Theo Global Ledger, kể từ đầu năm 2025, ít nhất 32.210 ETH đã được gửi đến Tornado Cash, trong đó khoảng 40% (tương đương 36,6 triệu USD) liên quan đến các vụ hack. Mặc dù Tornado Cash từng bị chính phủ Hoa Kỳ áp đặt lệnh trừng phạt vào năm 2023, gần đây Tòa phúc thẩm Liên bang Mỹ đã đảo ngược lệnh trừng phạt này, cho rằng các hợp đồng thông minh của Tornado Cash không phải là tài sản của một tổ chức hay chính phủ nước ngoài, do đó không thể bị trừng phạt theo Đạo luật Quyền hạn Kinh tế Khẩn cấp Quốc tế.