Hacker đã đánh cắp $282 triệu đô la vào tuần trước, rửa tiền qua Tornado Cash: CertiK

• CertiK vừa xác định có $63 triệu đô la quỹ bị đánh cắp đang chảy qua bộ trộn Tornado Cash sau vụ xâm phạm ví trị giá $282 triệu đô la vào tuần trước.
• Kẻ tấn công đã sử dụng các chiến thuật rửa tiền “theo sách giáo khoa”, chuyển Bitcoin sang Ethereum và chia nhỏ số tiền để tránh bị phát hiện.
• Vụ trộm lớn này bắt đầu bằng một cuộc tấn công xã hội, trong đó nạn nhân đã vô tình chia sẻ cụm seed của mình với nhân viên hỗ trợ giả mạo.

Tuần trước, ngày 10 tháng 1, một vụ hack lớn đã rút mất $282 triệu đô la từ một ví tiền điện tử duy nhất.

Mặc dù ban đầu số tiền này dường như đã mất vĩnh viễn, dữ liệu pháp y mới nhất của CertiK cho thấy một phần số tiền đang nằm ở đâu.

Hệ thống của họ đã phát hiện sự gia tăng hoạt động rửa tiền trên Tornado Cash trong tuần này và liên kết trực tiếp với các tài sản bị đánh cắp.

Theo dõi hành trình rửa tiền qua Tornado Cash

Theo các nhà phân tích của CertiK, khoảng $63 triệu đô la đã chuyển qua bộ trộn quyền riêng tư này. Số tiền này chỉ là một phần nhỏ trong tổng thiệt hại, nhưng cho thấy rằng vụ trộm là một nỗ lực có tổ chức, và hacker( đã cố gắng xóa bỏ dấu vết kỹ thuật số.

Các nhà nghiên cứu của CertiK đã xác định vị trí có thể số tiền đang nằm hiện tại, và các phát hiện của họ cho thấy kẻ tấn công bắt đầu bằng Bitcoin nhưng nhanh chóng chuyển sang mạng Ethereum.

Vào ngày 10 tháng 1 năm 2026 khoảng 11 giờ tối UTC, một nạn nhân đã mất hơn 282 triệu đô la LTC & BTC do một vụ lừa đảo qua phần cứng ví.

Kẻ tấn công bắt đầu chuyển đổi số LTC & BTC bị đánh cắp sang Monero qua nhiều sàn giao dịch tức thì, khiến giá XMR tăng mạnh.

BTC cũng đã…

— ZachXBT )@zachxbt( ngày 16 tháng 1 năm 2026

Dữ liệu cho thấy có 686 BTC đã chuyển qua một cầu nối chuỗi chéo, dẫn đến khoảng 19.600 ETH đến một địa chỉ duy nhất.

Khi số tiền đến Ethereum, hacker bắt đầu rửa tiền qua Tornado Cash. CertiK cũng ghi nhận rằng tên trộm không rửa tiền cùng lúc.

Thay vào đó, họ chia nhỏ Ether thành nhiều ví nhỏ hơn, mỗi ví chứa khoảng 400 ETH.

Chiến thuật theo sách giáo khoa

Các chuyên gia gọi những hành động này là “theo sách giáo khoa” về trộm cắp tiền điện tử vì tính chất chung chung của chúng.

#CertiKInsight 🚨

Chúng tôi đã phát hiện các khoản gửi vào Tornado Cash có dấu vết liên quan đến vụ xâm phạm ví ngày 10 tháng 1, gây thiệt hại hơn 282 triệu đô la.

Một phần quỹ ) khoảng 63 triệu đô la ( đã được chuyển qua 0xF73a4EbC3d0984F166AC215471Cc895cB4F5cc21 trước khi tiếp tục rửa tiền.

Cảnh giác! pic.twitter.com/byzRmjoeZR

— CertiK Alert )@CertiKAlert( ngày 19 tháng 1 năm 2026

Kẻ tấn công đã sử dụng các nền tảng như THORswap để chuyển đổi giữa các chuỗi. Lịch sử cho thấy, hacker thường làm vậy để che giấu dấu vết, và quyết định chuyển ETH thành các phần nhỏ 400 coin cho thấy họ cố ý rửa tiền.

Khi tài sản đã vào bộ trộn như Tornado Cash, mối liên hệ rõ ràng giữa người gửi và người nhận bị phá vỡ và các đội an ninh cảnh báo rằng khả năng phục hồi sẽ giảm xuống gần như bằng không sau bước này.

) Sai lầm của con người đằng sau vụ hack

Trong khi việc rửa tiền có vẻ đã được lên kế hoạch cẩn thận, vụ trộm ban đầu còn đơn giản hơn nhiều.

Vụ việc ngày 10 tháng 1 xảy ra qua một cuộc tấn công xã hội, trong đó kẻ tấn công giả danh nhân viên hỗ trợ ví và dùng thủ đoạn này để lấy lòng tin của nạn nhân.

Kẻ tấn công đã thuyết phục người dùng tiết lộ cụm seed của họ, và sau khi nạn nhân làm theo, hacker đã kiểm soát hoàn toàn 1.459 BTC và hơn 2 triệu Litecoin.

Thông thường, các nhà giao dịch từng là nạn nhân thường hy vọng rằng các ghi chép blockchain sẽ giúp họ lấy lại tiền.

Tuy nhiên, trong trường hợp này, số tiền đang chậm rãi di chuyển qua Tornado Cash, khiến khả năng phục hồi ngày càng trở nên khó khăn theo từng giây trôi qua.

Khi số tiền rời khỏi bộ trộn, chúng xuất hiện như những đồng coin “sạch” không có lịch sử.

Các cơ quan thực thi pháp luật đôi khi có thể đánh dấu các địa chỉ tương tác với các bộ trộn. Tuy nhiên, các giao thức này phi tập trung, và quá trình này có thể rất khó khăn.