Ví liên quan vụ khai thác Coinbase Commerce năm 2024 đã hoạt động trở lại sau gần hai năm “ngủ đông”, bắt đầu chuyển tiền từ tháng 1/2026 và đã nạp tổng cộng 5,4 triệu USD giá trị Ethereum vào Tornado Cash.
Diễn biến này xuất hiện khi thị trường crypto chịu áp lực bán mạnh, trong bối cảnh điều tra on-chain theo dõi dòng tiền rửa qua các ví mới, hoán đổi DAI sang ETH và chia nhỏ theo lô trước khi đưa vào dịch vụ trộn.
- Ví gắn với vụ exploit Coinbase Commerce 2024 đã chuyển động lại từ tháng 1/2026 và nạp 5,4 triệu USD ETH vào Tornado Cash.
- Trước khi trộn, địa chỉ liên quan đã chuyển khoảng 5,8 triệu USD DAI sang ví mới, đổi sang ETH rồi chia nhỏ thành nhiều lần nạp theo mô hình “batch”.
- Vụ việc nối dài chuỗi sự cố an ninh quanh Coinbase, bên cạnh vụ tấn công mạng riêng năm 2025 mà công ty ước tính có thể gây thiệt hại tới 400 triệu USD.
Dòng tiền từ vụ hack Coinbase Commerce 2024 đã quay lại và đi vào Tornado Cash
On-chain cho thấy kẻ tấn công bắt đầu dịch chuyển tài sản từ tháng 1/2026 và đã nạp 5,4 triệu USD giá trị ETH vào Tornado Cash, sau khi đổi DAI sang ETH và chia nhỏ thành nhiều giao dịch theo lô.
Trước các lần nạp vào Tornado Cash, địa chỉ liên quan tới vụ trộm đã chuyển khoảng 5,8 triệu USD DAI sang một ví mới. Số DAI này sau đó được hoán đổi sang Ether, rồi được tách nhỏ thành nhiều khoản gửi.
Mô hình gửi vào Tornado Cash thể hiện cách “batching” khá rõ: 20 lần nạp 100 ETH, rồi mới đến các khoản nhỏ hơn như 10 ETH, 1 ETH và các giao dịch lẻ. Cách chia nhỏ này thường nhằm giảm khả năng liên kết trực tiếp giữa nguồn tiền và điểm đến.
Dù đã có 5,4 triệu USD đi vào Tornado Cash, vẫn còn một ví khác được cho là liên quan kẻ tấn công đang giữ khoảng 4,6 triệu USD DAI. Điều này cho thấy quá trình dịch chuyển/rửa tiền có thể chưa kết thúc.
Áp lực thị trường làm nổi bật rủi ro khi tài sản bị rửa trong giai đoạn biến động
Vụ dịch chuyển tiền diễn ra khi Ethereum giảm gần 10% trong 7 ngày gần nhất, còn giá ETH hiện quanh mức trung bình 2.890 USD.
Tại thời điểm exploit xảy ra vào tháng 4/2024, ETH được mô tả giao dịch trong vùng 3.100–3.700 USD. Trong bối cảnh thị trường bán mạnh, các đợt di chuyển tài sản bị đánh cắp có thể gia tăng rủi ro biến động thanh khoản ngắn hạn và làm khó công tác theo dõi theo giá trị tuyệt đối.
Vụ exploit Coinbase Commerce bắt nguồn từ các dòng USDC bất thường trên Polygon
Các nhà điều tra on-chain ghi nhận hợp đồng Coinbase Commerce xuất hiện dòng tiền ra đáng ngờ vào ngày 21/4/2024 trên Polygon, với hơn 1.700 lượt USDC outflow trong 16 giờ, tổng trị giá 15,97 triệu USD.
Theo mô tả điều tra, mô hình rút lặp lại gợi ý một merchant sử dụng Coinbase Commerce đã bị khai thác. Tài sản bị rút là USDC, sau đó được bridge từ Polygon sang Ethereum.
Sau khi chuyển sang Ethereum, USDC bị hoán đổi sang Ether và được phân tán qua ba ví. Cấu trúc này tạo nhiều “điểm ngắt” trong luồng giao dịch, thường được dùng để làm suy yếu khả năng quy kết dòng tiền theo trực giác.
Kẻ tấn công đã hoạt động trở lại sau gần hai năm “ngủ đông” và hiện đang nạp tiền bị đánh cắp vào Tornado Cash. Tổng cộng 5,4 triệu USD đã được nạp cho tới nay. Trước đó, địa chỉ liên quan vụ trộm đã chuyển 5,8 triệu USD DAI sang một ví mới và sau đó được hoán đổi sang…
– Specter (@SpecterAnalyst), bài đăng X ngày 26/01/2026
Dấu vết “Excite” và bằng chứng kiểm soát ví qua giao dịch 1 DAI
Ngay sau vụ trộm, một tác nhân đe doạ dùng biệt danh “Excite” được cho là đã thảo luận về số tiền trong các cuộc trò chuyện riêng, và các tuyên bố này được liên hệ với những địa chỉ gắn với dòng tiền rút.
Thông tin điều tra cho biết vào tháng 5/2024, một tài khoản Telegram với handle “tezedasads12” đã gửi giao dịch 1 DAI. Giao dịch nhỏ này được dùng như một cách chứng minh quyền kiểm soát một ví đang giữ khoảng 6 triệu USD từ vụ trộm.
Tác nhân này cũng tuyên bố sở hữu username Instagram “Excite” và từng cố mua một username Telegram trùng khớp nhưng không thành. Tài khoản Instagram ban đầu để riêng tư rồi chuyển sang công khai, hiển thị đồng hồ xa xỉ và các món đồ giá trị cao.
Tín hiệu rủi ro từ hạ tầng drainer và lý do tháng 1/2026 là mốc quan trọng
Một địa chỉ nạp tiền thể hiện mức độ liên quan cao với hạ tầng drainer đã biết, và được đánh dấu như một tín hiệu rủi ro; các khoản nạp Tornado Cash tháng 1/2026 là hoạt động lớn đầu tiên liên quan vụ exploit sau gần hai năm.
Một số chi tiết OSINT được nhắc tới cho rằng cá nhân có thể dựa ở Đan Mạch, nhưng chưa được xác nhận độc lập. Sau giai đoạn rửa tiền ban đầu, phần lớn tài sản đã ngừng di chuyển khi các ví liên quan trở nên “dormant”.
Một phần nhỏ tài sản sau đó được luân chuyển qua DEX và nền tảng staking để đưa tài sản vào các ví mới. Việc quay lại hoạt động mạnh vào tháng 1/2026 vì vậy được xem như bước “khởi động” lại của tuyến rửa tiền chính.
Sự cố năm 2025 là một vụ tấn công khác, không phải vụ Coinbase Commerce 2024
Coinbase từng công bố một vụ tấn công mạng riêng vào tháng 5/2025, với ước tính chi phí có thể lên tới 400 triệu USD; vụ này liên quan việc kẻ tấn công mua chuộc nhà thầu/nhân viên để lấy dữ liệu khách hàng hạn chế và mạo danh lừa người dùng.
Theo mô tả, dưới 1% khách hàng bị ảnh hưởng. Kẻ tấn công đòi 20 triệu USD và Coinbase từ chối chi trả. Private key không bị lộ, nhưng công ty cho biết sẽ hoàn tiền cho những người dùng bị ảnh hưởng.
Những câu hỏi thường gặp
Vì sao việc nạp ETH vào Tornado Cash lại được chú ý trong vụ Coinbase Commerce 2024?
Vì Tornado Cash là công cụ trộn giúp làm mờ liên kết on-chain giữa nguồn tiền và điểm đến. Trong vụ này, dữ liệu cho thấy kẻ tấn công đã chia nhỏ ETH theo lô và nạp vào Tornado Cash, làm tăng độ khó truy vết.
Kẻ tấn công đã chuyển bao nhiêu tiền và theo trình tự nào?
Tới thời điểm được nêu, kẻ tấn công đã nạp 5,4 triệu USD giá trị ETH vào Tornado Cash. Trước đó, địa chỉ liên quan chuyển khoảng 5,8 triệu USD DAI sang ví mới, đổi sang ETH rồi tách nhỏ thành nhiều khoản gửi (bao gồm 20 lần 100 ETH).
Vụ Coinbase Commerce 2024 bắt đầu như thế nào?
Vụ việc được gắn với các dòng USDC bất thường ngày 21/4/2024 trên Polygon, với hơn 1.700 lượt outflow trong 16 giờ và tổng giá trị 15,97 triệu USD. Sau đó USDC bị bridge sang Ethereum, đổi sang ETH và phân tán qua ba ví.
Còn bao nhiêu tài sản bị nghi liên quan kẻ tấn công đang được giữ lại?
Một ví khác được cho là liên quan vẫn đang giữ khoảng 4,6 triệu USD DAI, theo mô tả dữ liệu on-chain trong bài.
Vụ “Coinbase hack 2025” có liên quan trực tiếp tới vụ Coinbase Commerce 2024 không?
Đây là sự cố khác được Coinbase công bố vào tháng 5/2025, liên quan việc kẻ tấn công lấy dữ liệu khách hàng hạn chế bằng cách trả tiền cho nhà thầu/nhân viên và mạo danh để lừa đảo. Bài không khẳng định hai vụ có cùng thủ phạm.
Liên kết trong bài đăng | Hình ảnh kèm theo | Bài đăng gốc trên X (26/01/2026) | Bài đăng của ZachXBT
