Kẻ đứng sau vụ trộm tiền điện tử 27,3 triệu USD ngày 18/12 đã rút 1.000 ETH (3,24 triệu USD) từ Aave và rửa tiền qua Tornado Cash.
Các dữ liệu on-chain từ PeckShield cho thấy dòng tiền tiếp tục được phân tán có hệ thống, đồng thời xuất hiện những dấu vết liên quan đến các chiến dịch lừa đảo “vỗ béo heo” (pig-butchering), khiến việc truy vết và thu hồi tài sản phức tạp hơn.
- Tin tặc đã rút 1.000 ETH từ Aave và chuyển qua Tornado Cash để che giấu dấu vết.
- PeckShield ước tính tổng cộng tới 6.300 ETH đã được đưa qua Tornado Cash kể từ vụ xâm nhập ban đầu.
- Nhiều manh mối rửa tiền khác liên quan đến pig-butchering và dòng tiền bridge từ TRON sang Ethereum.
Tin tặc rút 1.000 ETH từ Aave và rửa tiền qua Tornado Cash
Kẻ tấn công đã rút 1.000 ETH trị giá 3,24 triệu USD từ Aave, sau đó chuyển qua Tornado Cash để làm đứt liên kết giữa nguồn tiền và điểm rút.
Theo PeckShield, kể từ vụ việc ngày 18/12, đối tượng đã chuyển tối đa 6.300 ETH (19,4 triệu USD) qua Tornado Cash. Kiểu di chuyển này thường nhắm đến việc làm mờ dấu vết bằng cách trộn tiền, khiến các nỗ lực theo dõi dòng tiền gặp khó khăn hơn.
PeckShield đăng trên X rằng “drainer” đang kiểm soát multisig bị xâm nhập còn nắm một vị thế long đòn bẩy khoảng 9,75 triệu USD, tương ứng 20,5 triệu USD ETH đối ứng với 10,7 triệu USD DAI.
“Kẻ rút tiền (drainer) kiểm soát multisig bị xâm nhập đang giữ một vị thế long đòn bẩy trị giá 9,75 triệu USD (20,5 triệu USD bằng ETH đối ứng với 10,7 triệu USD bằng DAI).”
– PeckShield, bài đăng trên X
Vị thế đòn bẩy khiến việc xử lý vụ việc phức tạp hơn
Vị thế long đòn bẩy trên Aave có thể tạo rủi ro biến động nếu bị thanh lý, nhưng cũng có thể cung cấp tín hiệu theo dõi khi kẻ tấn công tìm cách hiện thực hóa lợi nhuận.
Trong bối cảnh tài sản bị đánh cắp đang được trộn qua Tornado Cash, việc đối tượng vẫn giữ một cấu trúc vị thế có liên quan đến DAI và ETH tạo thêm lớp phức tạp: biến động giá, ngưỡng sức khỏe vị thế và các giao dịch bổ sung có thể phát sinh khi họ bảo vệ hoặc đóng vị thế.
Góc nhìn điều tra on-chain thường tập trung vào các điểm “bắt buộc phải lộ diện”, như lúc bổ sung tài sản thế chấp, đổi tài sản sang stablecoin, hoặc rút về các sàn/điểm off-ramp. Tuy nhiên, bài toán vẫn khó khi đối tượng đồng thời dùng dịch vụ trộn để tách liên kết nạp-rút.
Dấu vết pig-butchering xuất hiện trong dòng tiền rửa tiền
Các trình theo dõi on-chain ghi nhận một vụ rửa tiền khác có dấu hiệu liên quan lừa đảo pig-butchering, với dòng tiền được bridge từ TRON sang Ethereum trước khi đi qua Tornado Cash.
Nhà phân tích on-chain Specter cho biết một ví đã bridge 7 triệu USD sang Ethereum từ nhiều ví trên blockchain TRON. Khi truy vết, dòng tiền được cho là bắt nguồn từ một vụ lừa đảo đầu tư crypto theo mô hình pig-butchering.
PeckShield cũng đối chiếu dữ liệu on-chain và cho biết phát hiện một hoạt động rửa tiền có liên quan đến pig-butchering. Cách tiếp cận thường thấy trong các vụ việc dạng này là gom tiền từ nhiều ví, bridge qua chuỗi khác để phá ngữ cảnh, rồi dùng công cụ trộn để che dấu vết.
“Một ví đã bridge 7 triệu USD sang Ethereum từ nhiều ví trên blockchain TRON. Truy vết dòng tiền cho thấy chúng bắt nguồn từ một vụ lừa đảo đầu tư crypto theo mô hình pig-butchering.”
– Specter, nhà phân tích on-chain, bài đăng trên X
PeckShield ghi nhận 2.479,1 ETH đi qua Tornado Cash từ nhiều ví TRON
PeckShield báo cáo một địa chỉ đã xử lý 2.479,1 ETH (7,9 triệu USD) qua Tornado Cash, với nguồn tiền được lần về nhiều ví TRON rồi bridge sang Ethereum.
Theo phân tích của PeckShield trên X, địa chỉ này là một phần trong mô hình rửa tiền đa bước: gom trên TRON, bridge sang Ethereum, rồi đưa vào Tornado Cash. Với mô hình này, việc xác định chủ sở hữu cuối cùng trở nên khó hơn vì dấu vết bị phân mảnh qua nhiều lớp hạ tầng.
PeckShield mô tả đối tượng nạp vào Tornado Cash theo các lô 100 ETH. Việc chia nhỏ theo lô tiêu chuẩn làm giảm khả năng phân biệt giao dịch theo hành vi, đồng thời tận dụng bộ ẩn danh của các “pool” trộn để tách liên hệ giữa giao dịch nạp và giao dịch rút.
Thêm vụ UXLink: đổi 248 WBTC sang 23 triệu DAI
PeckShield cũng nêu một địa chỉ bị gắn nhãn “UXLink exploiter” đã hoán đổi 248 WBTC lấy 23 triệu DAI trong thời gian ngắn, cho thấy áp lực chuyển đổi tài sản sau khai thác.
Theo cập nhật của PeckShield, diễn biến này nối tiếp vụ hack ngày 22/09, khi kẻ tấn công mint hàng tỷ token trái phép và rút “hàng chục triệu” tài sản crypto. Thông tin trong bài viết không cung cấp tổng thiệt hại chính xác cho riêng sự kiện hoán đổi WBTC–DAI ngoài các con số nêu trên.
Thiệt hại do khai thác lỗ hổng crypto tiếp tục tăng theo dữ liệu ngành
Dữ liệu tổng hợp cho thấy mức thiệt hại do khai thác lỗ hổng vẫn cao, với nhiều sự cố lớn trong tháng 12 và các thống kê về năm 2025 từ các đơn vị phân tích.
Báo cáo dữ liệu ngành cho biết tổng thiệt hại do exploit vượt 117,8 triệu USD. Riêng tháng 11/2025, khoảng 127 triệu USD bị mất, trong đó khoảng 45 triệu USD đã bị đóng băng hoặc thu hồi theo dữ liệu từ CertiK.
Tháng 12 ghi nhận nhiều vụ việc đáng chú ý, gồm một vụ address poisoning gây thiệt hại 50 triệu USD và vụ khai thác tiện ích mở rộng trình duyệt của Trust Wallet khiến thiệt hại vượt 8,5 triệu USD.
Một báo cáo Chainalysis nêu 10 vụ hack lớn nhất năm 2025 gây thiệt hại cộng dồn vượt 2,2 tỷ USD trong tổng số 3,4 tỷ USD bị đánh cắp của toàn ngành crypto (báo cáo được công bố trước vụ Trust Wallet xảy ra muộn hơn trong tháng 12).
Vụ xâm nhập tháng 12 được xếp vào nhóm “lộ khóa riêng” (private key compromise), dạng tấn công thường bị đánh giá nghiêm trọng vì kẻ tấn công có quyền kiểm soát trực tiếp ví/multisig. Trong tháng 12, phishing và ví bị xâm nhập là hai hạng mục dẫn đầu về số tiền thất thoát, và chưa có thông báo thu hồi nào.
Những câu hỏi thường gặp
Tornado Cash được dùng để rửa tiền crypto như thế nào?
Tornado Cash là công cụ trộn giúp tách liên kết on-chain giữa giao dịch nạp và giao dịch rút. Khi tiền đi qua pool trộn, việc chứng minh “đồng tiền rút ra” có liên quan trực tiếp đến “đồng tiền nạp vào” trở nên khó hơn, đặc biệt khi đối tượng chia nhỏ theo lô như 100 ETH.
Aave liên quan gì trong vụ rửa tiền lần này?
Theo thông tin nêu trong bài, kẻ tấn công đã rút 1.000 ETH từ nền tảng DeFi Aave rồi chuyển qua Tornado Cash. PeckShield cũng cho biết đối tượng còn giữ một vị thế long đòn bẩy liên quan đến ETH và DAI, làm tăng độ phức tạp nếu xảy ra thanh lý.
Pig-butchering là gì và vì sao hay gắn với các dòng tiền bridge?
Pig-butchering là mô hình lừa đảo đầu tư, thường gom tiền nạn nhân qua nhiều ví, rồi chuyển qua nhiều blockchain để cắt ngữ cảnh truy vết. Trường hợp được nêu cho thấy dòng tiền từ nhiều ví trên TRON bridge sang Ethereum, sau đó đi qua Tornado Cash để tiếp tục che dấu vết.
Vì sao “private key compromise” được xem là đặc biệt nghiêm trọng?
Khi khóa riêng hoặc quyền kiểm soát multisig bị lộ, kẻ tấn công có thể ký giao dịch hợp lệ như chủ sở hữu thật. Điều này thường khiến việc ngăn chặn khó hơn các lỗi hợp đồng thông minh vì không có “lỗ hổng” để vá ngay, và tài sản có thể bị rút nhanh sang các kênh rửa tiền.