Top 5 vụ tẩu tán tiền bẩn nhờ Tornado Cash

Tổng quan

Bộ tài chính Hoa Kỳ đã mạnh tay trừng phạt website của Tornado cash, các địa chỉ USDC & ETH được kết nối với Tornado Cash và các hợp đồng thông minh của nó. Với cáo buộc rằng các cá nhân và nhóm đã sử dụng máy trộn Tornado để rửa hơn 7 tỷ USD tiền mã hóa kể từ năm 2019. Đây không phải là con số nhỏ, thêm vào đó là tần suất sử dụng Tornado cash để rửa tiền ngày càng tăng dẫn đến Bộ tài chính Hoa Kỳ phải vào cuộc ngay. Chúng ta cùng tìm điểm lại một số vụ rửa tiền trót lọt thông qua Tornado Cash gần đây nhé.

Trước tiên bạn có thể xem bài “toàn cảnh vụ Tornado Cash – giao thức về giao dịch ẩn danh bị Bộ Tài Chính phong tỏa tài sản lên đến 437 triệu đô” để nắm bắt được tình hình nhé.

Top 5 vụ tẩu tán tiền bẩn nhờ Tornado Cash

Cầu nối Ronin

Ngày 29/03/2022 cầu nối xuyên chuỗi Ronin Bridge của Axie Infinity đã bị hacker tấn công với số tiền 173.600 ETH và 25.5 triệu USDC đã bị rút khỏi Ronin Bridge, với tổng số thiệt hại mà vụ tấn công gây ra là hơn 600 triệu đô la.

Tính đến ngày 19 tháng 5 năm 2022, ~ 98% (~ 171.600 $ETH) trong số tiền bị đánh cắp (~ 331 triệu USD, ~ $1.930 cho mỗi đồng ETH tại thời điểm đó) đã được rửa qua Tornado Cash từ những kẻ khai thác Ronin Network.

#PeckShieldAlert As of today (May 19, 2022), ~98% (~171,600 $ETH) of the stolen funds (~$331million, ~$1,930 per $ETH at current time ) have already been laundered via @TornadoCash from @Ronin_Network exploiters. pic.twitter.com/sQsVYzHLDX

— PeckShieldAlert (@PeckShieldAlert) May 19, 2022

Cầu nối Horizon của Harmony

Ngày 24/06/2022, Harmony đã thông báo về cuộc tấn công trên Horizon Bridge thiệt hại ước tính lên đến 99.340.030 USD, trên khoảng 65.000 ví với 14 loại tài sản khác nhau. Số tiền này chiếm 2/3 trên tổng số tiền trên Horizon Bridge.

Ngay sau khi chiếm đoạt thành công, các hacker đã nhanh chóng chuyển các token ERC20 (swap) thành ETH và gom vào trong một ví, ví này đang đang nắm giữ khoảng 85.867 ETH và 990 AAVE (với tổng trị giá hơn 99.5 triệu USD).

Team đã truy tìm được địa chỉ ví 0x0d043128146654c7683fbf30ac98d7b2285ded00 được cho là của hacker tại Ether

Đến này 3/7/2022 thì hầu như tất cả (~ 85.700 USD ETH, ~ 90 triệu USD) số tiền bị đánh cắp đã được rửa sạch thông qua giao thức Tornado Cash từ vụ hack cầu nối Horizon của Harmony.

#PeckShieldAlert Almost all (~85,700 $ETH, ~$90m) of the stolen funds have already been laundered via @TornadoCash from @harmonyprotocol Horizon Bridge exploiter. pic.twitter.com/UAZzFdIHU4

— PeckShieldAlert (@PeckShieldAlert) July 3, 2022

Fei Protocol và Saddle Finance

Ngày 30/4/2022 Saddle Finance bị hack 10 triệu USD thông qua flashloan, còn Fei Protocol bị hacker tấn công vào pool Fuse lấy đi ~80 triệu USD.

Tính đến ngày 23 tháng 5 năm 2022, những kẻ hack Fei protocol đã rửa ~ 95% (~ 26.500 $ETH, ~ 53 triệu USD) số tiền bị đánh cắp thông qua Tornado Cash và vẫn giữ ~ 1.570 $ETH (3,2 triệu USD) trong ví của họ : 0x6162759edad730152f0df8115c698a42e666157f

#PeckShieldAlert As of today (May 23, 2022), @feiprotocol exploiters have already laundered ~95% (~26,500 $ETH, ~$53m) of the stolen funds via @TornadoCash and still hold ~1,570 $ETH ($3.2m) in their wallet: https://t.co/UdbfM2sGXU pic.twitter.com/JX3XEJCy8i

— PeckShieldAlert (@PeckShieldAlert) May 23, 2022

Chỉ tính riêng tháng 4/2022 đã có 358 triệu USD từ các vụ hack Vee Finance, Inverse Finance, Saddle Finance, Ronin, Fei protocol đã được rửa thông qua Tornado Cash.

#PeckShieldAlert In April 2022, ~119k $ETH (~$358m) of stolen funds from exploiters (@VeeFinance @InverseFinance @saddlefinance @Ronin_Network @feiprotocol @saddlefinance) were laundered via @TornadoCash pic.twitter.com/j9dKvNmxgH

— PeckShieldAlert (@PeckShieldAlert) May 3, 2022

Dego finance và Cocos BCX

Ngày 10/2/2022 Dego finance bị tấn công thiệt hại hơn 10 triệu USD từ ví tạo thanh khoản và từ GameFi Incubator Cocos-BCX.

Hacker đã chuyển ~ 701,5 $ ETH & ~ 30.000 $ DAI vào Tornado Cash từ địa chỉ trung gian của hacker Dego Finance & CocosBCX 0x41109Ce1C3444101F99C7Af27523564C27bB66CC

#PeckShieldAlert ~701.5 $ETH & ~30,000 $DAI into @TornadoCash from @dego_finance & @CocosBCX exploiters' intermediary address 0x41109Ce1C3444101F99C7Af27523564C27bB66CC pic.twitter.com/EvtYMWXQHW

— PeckShieldAlert (@PeckShieldAlert) July 21, 2022

Cầu nối Nomad

Ngày 2/8/2022, hacker đã lợi dụng lỗ hổng về contract chuyển đi của cầu nối Nomad, thông thường các vụ hack sẽ chỉ được lợi cho riêng hacker nhưng lần hack này thì cả cộng đồng đều được lợi ích vì không cần phải hiểu về lập trình solidity hay Merkle Trees. Tất cả những gì cần làm là tìm 1 địa chỉ ví và thay thế nó bằng địa chỉ cá nhân.

Kết quả là 190 triệu USD bị hack, ~ 50% số tiền bị đánh cắp vẫn nằm ở 3 địa chỉ 0x56D8 … Aac4e3 0xB5C5 … 93590E 0xBF29 … 827179

#PeckShieldAlert @nomadxyz_ cross-chain bridge has suffered a $190 million exploit yesterday, ~50% of stolen funds still sit in these 3 main addresses.
0x56D8…Aac4e3
0xB5C5…93590E
0xBF29…827179https://t.co/KRJRkkO8wM

— PeckShieldAlert (@PeckShieldAlert) August 3, 2022

Tính đến ngày 4 tháng 8 năm 2022 ~ 11 triệu USD đã được chuyển vào Tornado Cash từ những người khai thác cầu Nomad, bao gồm 0xC994 … 0cf599, những người khai thác RariCapital, 0x72ccbb và 0x76f455

As of today (August 4, 2022) ~$11m already into @TornadoCash from @nomadxyz_ bridge exploiters, including 0xC994…0cf599, @RariCapital exploiters, 0x72ccbb and 0x76f455https://t.co/JVNMImh1MT

— PeckShieldAlert (@PeckShieldAlert) August 4, 2022

Tổng hợp lại các dự án trên thì hacker đã rửa thành công ~532.4 triệu USD (trong đó~11 triệu USD từ Nomad, ~90 triệu USD từ Horizon, ~331 triệu USD từ Ronin, ~53 triệu USD từ Fei Protocol và Saddle Finance, ~37.4 triệu USD từ Vee Finance, Inverse Finance, ~10 triệu USD từ Dego Finance & CocosBCX). Các vụ rửa tiền kể trên chỉ là một trong số rất nhiều vụ lớn nhỏ khác mà hacker đã thực hiện trót lọt thông qua Tornado Cash.

Vì sao Tornado Cash được các hacker lựa chọn?

Tornado Cash sở hữu nhiều tính năng mang lại quyền riêng tư và bảo đảm tài sản cho người dùng, là điểm đến lý tưởng của các hacker và người dùng muốn xoá dấu vết tiền mã hoá.

Tornado Cash phá vỡ liên kết giữa ví nạp và ví rút, tức người dùng gửi từ 1 địa chỉ ví, và có thể rút bằng các địa chỉ ví hoàn toàn riêng biệt không có liên kết gì với ví nạp. Độ trễ rút tiền do người dùng quyết định, nên việc theo dõi dòng tiền gần như không thể.

Giao thức không kiểm soát tài sản và không giữ bất kỳ vai trò gì trong quá trình chuyển đổi tài sản của người dùng, quá trình “trộn” hoàn toàn dựa vào smart contract.

Tornado Cash là giao thức phi tập trung được xây dựng trên Ethereum, nó hỗ trợ tiền mã hóa ERC20 như ETH, USDT, USDC, DAI, cDAI. Nên Tornado Cash luôn là điểm đến yêu thích của các loại tài sản ERC20 bị hack.

Chính phủ Hoa Kỳ vào cuộc

Văn phòng Kiểm soát Tài sản nước ngoài OFAC (Office of Foreign Assets Control) đã rất nhiều lần ra cảnh báo và trừng phạt các cá nhân, tổ chức liên quan tới tiền bẩn, đặc biệt là liên quan tới nhóm thuộc Triều Tiên, Iran, Nga, Sudan và Syria.

OFAC thường xuyên cập nhật những danh sách đen SDN từ các vụ hack, OFAC cũng đặc biệt theo dõi các nhóm tội phạm mạng của Triều Tiên Lazarus. Ngày 23/4/2022, OFAC đã trừng phạt 3 địa chỉ ví Ethereum trong vụ hack cầu nối Ronin được xem là liên quan tới nhóm hacker Triều Tiên.

OFAC added 3 virtual currency wallet addresses to the SDN Listing for Lazarus Group. The DPRK has relied on illicit activities like cybercrime to generate revenue while trying to evade US & UN sanctions. Transacting w/ these risks exposure to US sanctions. https://t.co/GMNZkwe1IA

— Treasury Department (@USTreasury) April 22, 2022

Ngày 6/5/2022, OFAC của Bộ Tài chính Hoa Kỳ đã thông báo xử phạt máy trộn tiền mã hóa Blender.io vì vai trò rửa 20,5 triệu USD trong số 620 triệu USD trong vụ hack Cầu Ronin của Axie Infinity.

Ngày 8/8/2022, Bộ tài chính Hoa kỳ chính thức trừng phạt website của Tornado cash, các địa chỉ USDC & ETH được kết nối với Tornado Cash và các hợp đồng thông minh của nó đã được thêm vào Danh sách SDN của OFAC.

Kết luận

Các vụ rửa tiền kể trên chỉ là một trong số rất nhiều vụ lớn nhỏ khác mà hacker đã thực hiện thông qua các máy trộn như Tornado Cash, Blender.io. Bộ tài chính Hoa Kỳ cũng đã rất quyết liệt với các lệnh trừng phạt tới các cá nhân và tổ chức liên quan. Hy vọng đây chính là hồi chuông cảnh báo cho các kẻ xấu lợi dụng các dự án như Tornado để phạm pháp, cũng như giúp cho thị trường tiền mã hóa trở nên an toàn hơn.