Vụ tấn công trị giá 90 triệu USD vào sàn giao dịch tiền điện tử lớn nhất Iran, Nobitex, đã gây chấn động toàn cầu. Tuy nhiên, dữ liệu blockchain mới phát hiện cho thấy cuộc xâm nhập này còn phức tạp hơn nhiều.
Báo cáo pháp y từ công ty phân tích blockchain Global Ledger cho thấy, trước vụ tấn công ngày 18 tháng 6 hàng tháng, Nobitex đã liên tục chuyển tiền người dùng bằng các kỹ thuật liên quan đến rửa tiền.
Nobitex Iran Rửa Tiền Người Dùng Trước Khi Bị Tấn Công?
Dữ liệu on-chain cho thấy Nobitex đã dùng phương pháp gọi là peelchaining. Đây là kỹ thuật phân nhỏ các đồng Bitcoin lớn thành các phần nhỏ hơn, rồi chuyển qua các ví tạm thời, nhằm che giấu nguồn gốc dòng tiền.
Kỹ thuật này làm cho việc truy tìm dòng tiền trở nên khó khăn hơn, thường được dùng để che dấu nguồn gốc thực sự của quỹ. Trong trường hợp của Nobitex, các nhà phân tích nhận định rằng BTC được luân chuyển theo chu trình liên tục trong các phần 30 đồng.
Global Ledger còn nhận thấy Nobitex dùng các địa chỉ gửi/rút tạm thời — hay còn gọi là chip-off transactions. Các địa chỉ này chỉ sử dụng một lần, đưa BTC vào các ví mới, làm rối loạn dòng tiền, gây khó cho việc theo dõi lịch trình giao dịch.
Ví cứu hộ Không Phải Là Ví Mới
Sau cuộc tấn công, Nobitex khai báo đã chuyển một lượng còn lại như biện pháp an toàn. Thực tế, dữ liệu blockchain cho thấy, một ví chứa 1.801 BTC (khoảng 187,5 triệu USD) đã chuyển đổi chủ sở hữu.
Tuy nhiên, ví này không phải mới, vì dữ liệu blockchain cho thấy từ tháng 10 năm 2024, ví đã bắt đầu tích tụ quỹ rút từ các ví nhỏ hơn. Đây chính là ví trung tâm của hoạt động rửa tiền trước đó.
Những dòng hoạt động này cho thấy, việc chuyển tiền sau vụ tấn công chỉ là cuộc di chuyển ngắn hạn trong kế hoạch rửa tiền đã hình thành từ lâu của Nobitex. Không có dấu hiệu họ thay đổi chiến lược, trái lại còn tiếp tục phạm luật trước và sau vụ tấn công — như thể đó là quy trình chuẩn.
Đặc biệt, ví đặc biệt nào đó — ví có mã bc1q…rrzq — liên tục xuất hiện, nhận các khoản gửi từ người dùng. Đây dường như là điểm bắt đầu của chuỗi di chuyển tiền khó truy lùng trong hệ sinh thái blockchain của Nobitex.
Thứ quan trọng là, đây không phải hoạt động bắt đầu sau vụ hack. Nobitex đã rửa tiền theo cách này từ trước đó và tiếp tục đều đặn — presque như là quy trình thường lệ.
Một ví đặc biệt, ví bc1q…rrzq, liên tục nhận các khoản tiền gửi lớn của người dùng, giống như là điểm trung chuyển trong chuỗi hoạt động bẩn này.
Hành vi của Nobitex sau vụ tấn công thật ra chỉ là tiếp tục thực hiện một quy trình đã quen thuộc trong hoạt động rửa tiền trên blockchain, rõ ràng như một phần kế hoạch dài hạn.
Các nhóm hacker ủng hộ Israel, Gonjeshke Darande, thậm chí còn phát tán các tệp tiết lộ cấu trúc ví nội bộ của Nobitex — cho thấy mức độ kiểm soát của sàn đối với dòng tiền.
Khủng hoảng sau vụ tấn công không làm đổi thay hoạt động của Nobitex, thay vào đó, blockchain data chứng minh rằng họ đã liên tục chuyển quỹ trong nhiều tháng, như thể hoạt động này đã thành quy trình thường lệ.
Các ví cũ của sàn, đặc biệt là ví bc1q…rrzq, đều gửi Bitcoin đến các ví mới, rồi chia nhỏ, chuyển tiếp nhiều lần — thường theo từng đoạn 20 – 30 BTC — khiến việc truy vết trở nên gần như không thể.
Phương pháp này làm rối loạn hoàn toàn dòng tiền, làm cho các nhà phân tích, các cơ quan kiểm soát khó có thể xác định đích đến chính xác của dòng quỹ. Cách này tương tự như những hacker dùng để che giấu dấu vết khi di chuyển dòng tiền qua blockchain.
Điều đáng chú ý là đây không phải hành động mới mẻ của Nobitex, họ đã làm điều này từ rất lâu và vẫn tiếp tục sau vụ tấn công — gần như trở thành một quy luật bất thành văn trong hoạt động rửa tiền của họ.
Trong số các ví, ví bc1q…rrzq thường xuyên nhận tiền từ người dùng và là điểm bắt đầu của nhiều chuỗi di chuyển quỹ hiểm trở, mang lại khó khăn cho việc xác định đích thực của dòng tiền.
Tổng kết, cuộc tấn công không khiến Nobitex thay đổi cách xử lý quỹ. Thay vào đó, nó đã phơi bày các hoạt động bí mật, tồn tại dai dẳng từ trước.
Những dòng hoạt động này chứng tỏ, không chỉ là một cuộc rò rỉ thông tin mà còn là bằng chứng cho thấy rằng hoạt động rửa tiền liên tục diễn ra – một phần trong kế hoạch dài hạn của sàn.
