Trang chủ » Hacker năm 2019: 11 vụ tấn công các sàn giao dịch tiền điện tử

Hacker năm 2019: 11 vụ tấn công các sàn giao dịch tiền điện tử

bởi Tun Tun
hacker giao dich tien dien tu

Mặc dù các sàn giao dịch tăng cường bảo mật hệ thống, hacker “đáp trả” bằng những thủ đoạn tinh vi.

Năm 2019 là năm chứng kiến nhiều vụ hack tiền điện tử bùng nổ. Theo thống kê, có đến 11 vụ tấn công xảy ra vào năm này, tuy nhiên hầu như tất cả những vụ tấn công lại không có quy mô khủng như vụ hack sàn giao dịch Mx.Gox năm 2014 hay vụ hack 534 triệu USD sàn giao dịch Coincheck năm 2018. Do đó, tổng trị giá tiền điện tử bị đánh cắp trên các sàn giao dịch đã giảm xuống còn 283 triệu đô dù cho tổng số vụ tấn công tăng lên.

Xem thêm:

Có không ít thông tin trên các phương tiện truyền thông và các nguồn tin khác báo cáo những số liệu khác nhau về tổng số vụ tấn công sàn giao dịch đã diễn ra năm 2019. Con số 11 mà các nhà nghiên cứu đã thống kê bao gồm:

– Các vụ khai thác lỗ hổng bảo mật, các vụ tấn công phi kỹ thuật – Social Engineering và cả những mánh khóe lừa đảo tương tự. *

– Chỉ bao gồm các vụ tấn công mà nó cho phép các tác nhân xấu truy cập vào nguồn tiền trên các sàn giao dịch,  mà không phải là tác động từ các bộ xử lý thanh toán, nhà cung cấp ví điện tử, các nền tảng đầu tư hay các loại hình dịch vụ khác.

*Giải thích:

Sự khác nhau giữa tấn công (attacks) và hacks: tất cả các vụ hack đều là các vụ tấn công, nhưng không phải vụ tấn công nào cũng được thực hiện dưới hình thức hack. Thông thường, hack là việc cho phép các tác nhân xấu khai thác lỗ hổng bảo mật để phá hoại phần mềm. Trong khi đó, các vụ tấn công có thể bao gồm nhiều hình thức lừa đảo ít kỹ thuật hơn, chẳng hạn, lừa nạn nhân tải xuống các phần mềm độc hại.

– Không bao gồm các vụ lừa đảo trực tuyến tiền điện tử hoặc các trường hợp người dùng lợi dụng các lỗi sàn giao dịch để kiếm lời, chẳng hạn việc không nhất quán về giá khiến cho nhiều người dùng trên sàn Synthetix kiếm được hơn 1 tỷ đô la.

– Chỉ bao gồm các cuộc tấn công mà số tiền bị đánh cắp đã được đo lường và xác nhận công khai bởi nhiều nguồn. Nghĩa là không bao gồm các sự cố mà dữ liệu của người dùng trên các sàn giao dịch bị xâm phạm nhưng chưa bị đánh cắp tiền điện tử và những vụ hack chưa được xác thực.

Tuy nhiên, các vụ tấn công không được thống kê thường diễn ra trên các sàn giao dịch nhỏ và lượng tiền điện tử bị đánh cắp cũng tương đối thấp, nên tổng số tiền ước tính bị thất thoát do 11 vụ tấn công này sẽ không chênh lệch quá lớn so với các nguồn dữ liệu khác.  

11 vụ tấn công sàn giao dịch năm 2019

Sàn giao dịchLoại tiền đánh cắp   Số tiền đánh cắp Chi tiết
CoinBene 109 loại token ERC-20 khác nhau $105.000.000 Sàn giao dịch phủ nhận một vụ hack đã diễn ra ngay sau các vụ tấn công, tuy nhiên phân tích blockchain cho thấy hacker đã rút tiền từ chính ví nóng của CoinBene.
Upbit ETH $49,000,000 Hacker đã xóa sạch các nguồn tiền từ ví nóng của Upbit, nhưng theo như sàn giao dịch này, thì các khoản tiền đó không thuộc sở hữu của người dùng.
Binance BTC $40,000,000 Hacker vượt qua hệ thống kiểm tra bảo mật của Binance và truy cập vào ví nóng nhờ kết hợp các hình thức tấn công: phishing, viruses và các phương thức rút tiền tự động.
BITPoint BCH, BTC, ETH, LTC và XRP $32,000,000 Hacker truy cập vào ví nóng BITPoint.
Sàn giao dịchLoại tiền đánh cắpTổng thiệt hạiChi tiết
Bithumb EOS và XRP $19,000,000 Hacker đã rút một khoảng tiền từ ví nóng sàn giao dịch. Bithumb nghi ngờ rằng có nội gián ngay trong sàn giao dịch.
Cryptopia ETH và các loại token ERC-20 $16,000,000 Hacker đã truy cập vào hàng chục ngàn tài khoản của Crytopia. Sàn giao dịch buộc phải thanh lý ngay sau vụ hack.
GateHub XRP $10,000,000 Hacker đã truy cập vào gần 100 ví Ledger XRP.
DragonEx BTC, EOS, ETH, LTC, USDT, XRP và các loại khác. $7,090,000 Những kẻ tấn công liên kết với Lazarus Group để có được quyền truy cập với các hình thức lừa đảo tinh vi.
Bitrue ADA và XRP $4,000,000 Hackers khai thác các lỗ hổng trong quy trình kiểm soát rủi ro của Bitrue và truy cập được 90 tài khoản người dùng sau đó tấn công vào ví nóng sàn giao dịch.
VinDAX 23 loại tiền điền tử. $500,000 Quản trị viên của VinDAX xác nhận có một vụ hack đã xảy ra nhưng từ chối cung cấp thông tin.
LocalBitcoins BTC $27,000 Bằng mô hình lừa đảo phishing, những kể tấn công xây dựng trang web chính thức tương tự diễn đàn LocalBitcoins và nắm bắt thông tin đăng nhập và đánh cắp tiền của 6 người dùng.

Theo như thống kê, thì trong năm 2019, không có bất kỳ một vụ hack nào đánh cắp được trên 105 triệu đô la như vụ hack sàn giao dịch CoinBene. Trung bình toàn bộ số tiền bị đánh cắp và trung bình số tiền bị đánh cắp trong mỗi vụ hack đều giảm đi đáng kể so với 3 năm trước đó. So với năm 2018, chỉ 54% vụ hack thu về được hơn 10 triệu đô la. Mặc dù sự gia tăng số lượng các vụ tấn công cũng là một vấn đề đáng phải quan tâm, nhưng nhiều phân tích dữ liệu đã chỉ ra rằng các sàn giao dịch cũng đã thực hiện rất tốt việc ngăn chặn sự phá hoại của nhiều hacker.

Sau những cuộc tấn công, các khoảng tiền bị đánh cắp đã đi về đâu?

Sử dụng phân tích blockchain có thể theo dõi được dòng dịch chuyển của dòng tiền cũng như hiểu được phương thức những tên hacker thanh lý các khoản tiền mà chúng đánh cắp. Biểu đồ bên dưới thể hiện những điểm đến phổ biến mà các khoản tiền bị đánh cắp từ các sàn giao dịch bị tấn công đã được gửi đến qua từng năm.

Phần lớn các khoản tiền bị hacker tấn công đều được chuyển đến một sàn giao dịch khác, nơi mà họ có thể dễ dàng chuyển đổi thành tiền mặt. Tuy nhiên, vẫn còn một khoản tiền nhỏ đáng kể chưa được rút ra hết và đã được giữ lại tại các sàn giao dịch này trong nhiều năm. Đây có lẽ là cơ hội cho các cơ quan thực thi pháp luật thu giữ khoản tiền còn lại này. Theo như điều tra, vào năm 2019, đa phần các khoản tiền bị hack đều được chuyển đến các bộ trộn thuộc bên thứ 3 hoặc CoinJoin trước khi chuyển đến các sàn giao dịch để che dấu nguồn gốc bất hợp pháp của nó. Tuy nhiên, điểm đến của tất cả các khoản tiền bị hacker tấn công ở trên đều được ghi nhận là địa chỉ cuối cùng được gửi đến sau khi các quá trình trộn tiền diễn ra.

Phản ứng của hackers trước những phương pháp bảo mật của các sàn giao dịch.

Các sàn giao dịch đã có những bước tiến vượt bậc để bảo vệ tiền của khách hàng khỏi tấn công từ những vụ hack và việc số tiền bị đánh cắp đang ngày càng giảm mạng cho thấy các sàn giao dịch đã thực sự thành công. Đối với các ví nóng kém an toàn, nhiều sàn giao dịch đã hạ thấp tối đa nguồn tiền trữ trong các ví này; yêu cầu ủy quyền để rút tiền; giám sát chặt chẽ các giao dịch đáng ngờ để kịp thời phát hiện các vụ hack nhằm ngăn chặn triệt để. Nhiều sàn giao dịch cũng chấp nhận tiết lộ thông tin chi tiết về các vụ hack mà họ đã bị tấn công và lan tỏa rộng rãi thông tin này trong thị trường tiền điện tử để giúp cho việc theo dõi các vụ hack diễn ra thuận lợi hơn.  

Tuy nhiên, trước những biện pháp ngăn chặn của các sàn giao dịch, các tin tặc cũng ngày càng trở nên tinh vi, cả về cách chúng tiến hành các vụ hack và cách chúng rửa tiền sau khi đánh cắp được. Đây cũng là một vấn đề đáng quan ngại, vì vậy, yêu cầu các sàn giao dịch cần đưa ra được những biện pháp mạnh để ngăn chặn khả năng thích nghi của những tên hacker ngay từ đầu. Cả sàn giao dịch cùng với cơ quan thực thi pháp luật cần phải có những bước đi cụ thể để chống lại những thủ đoạn tinh vi của bọn hacker.

Hãy cùng nhau khám phá một vài chiến thuật mà bọn hacker đã áp dụng để tấn công các sàn giao dịch bằng cách phân tích hoạt động của một tổ chức tội phạm mạng cấp cao.

2019: Tội phạm mạng Lazarus Group tiến bộ vượt bậc

Lazarus Group hay còn được gọi là Beta Group – là một tập đoàn tội phạm mạng khét tiếng liên kết với chính phủ Bắc Triều Tiên. Được coi là mối đe dọa dai dẳng của các chuyên gia an ninh mạng, Lazarus được cho là chủ mưu đứng sau vụ hack Sony Picture năm 2014 và vụ tấn công ransomware – mã độc tống tiền WannaCry năm 2017, cùng một số cuộc tấn công các sàn giao dịch tiền điện tử khác.

Năm 2019, Lazarus Group đã tạo nên một chiến lược hack, rửa tiền kinh điển với 3 thay đổi chính:

Thủ đoạn lừa đảo tinh vi hơn

Trong quá khứ, Lazarus Group đã áp dụng hình thức tấn công phi kỹ thuật – social engineering vào các sàn giao dịch tiền điện tử. Một vụ điển hình là Lazarus Group đã tìm cách đánh lừa nhân viên tải xuống các phần mềm độc hại giúp chúng truy cập vào các quỹ tiền của người dùng. Tuy nhiên, năm 2019, Lazarus đã “hồ biến” chiến lược của mình và dựng nên một kế hoạch lừa đảo công phu nhằm thâm nhập vào quỹ tiền trên các sàn giao dịch tiền điện tử.

Tăng cường sử dụng máy trộn và ví CoinJoin

Năm 2019, hackers thường gửi tiền mà chúng đánh cắp được từ các sàn giao dịch thông qua bộ trộn và ví CoinJoin. Trong trường hợp của Lazarus Group, bọn tội phạm mạng cao cấp này đã lựa chọn ví CoinJoin như một công cụ để cắt đứt nguồn gốc thực sự của các quỹ tiền mà chúng đánh cắp. Các máy trộn có tác dụng làm xáo trộn dòng dịch chuyển của các quỹ tiền bằng cách gộp tiền điện tử của nhiều người dụng lại thành một và sau đó trả lại cho họ số tiền tương đương , trừ đi 1-3% phí dịch vụ. Điều  này có nghĩa là nhiều người nắm giữ một số tiền điện tử từ rất nhiều nguồn khác nhau khiến cho việc theo dõi tính liên kết đầu vào và đầu ra của các giao dịch trở nên khó khăn hơn bao giờ hết. Vì vậy, nhiều tội phạm đã lợi dụng điều này và sử dụng máy trộn để che giấu nguồn tiền điện tử bất hợp pháp trước khi chuyển tiền đến các dịch vụ khác. Một trong những loại ví CoinJoin (được đặt tên theo giao thức CoinJoin cơ bản) điển hình là ví Wasabi cũng hoạt động dưới hình thức tương tự như máy trộn, ví này cung cấp dịch vụ mà nhiều người dùng muốn che giấu nguồn tiền có thể trộn tiền của họ khi tham gia thanh toán các giao dịch riêng biệt với nhiều người nhận.

Thanh lý nhanh hơn

Năm 2019, rất nhiều hacker bao gồm Lazarus đã chuyển tiền chúng đánh cắp được đến các sàn giao dịch cũng như các dịch vụ khác để bán tháo tiền điện tử trong khoảng thời gian ngắn hơn rất nhiều so với năm 2018. Điều này cho thấy, các hacker đang cố gắng truy cập vào quỹ tiền của người dùng nhanh chóng hơn và rút ngắn khoảng thời gian đánh cắp tiền hoặc thậm chí, chúng đã và đang nâng cấp, cải thiện khả năng rửa tiền nhằm mau chóng thu tiền.

Hãy cùng xem xét các ví dụ về cách Lazarus Group áp dụng chiến thuật này.

Lazarus Group xây dựng các công ty “trá hình” như một miếng mồi lừa đảo

Vào tháng 3 năm 2019, hackers đã xâm phạm sàn giao dịch DragonEx có trụ sở tại Singapore, và lấy khoảng 7 triệu đô la tiền điện tử khác nhau, bao gồm: Bitcoin, Ripple và Litecoin. DragonEx đã nhanh chóng phản hồi và thông báo trên các nền tảng phương tiện truyền thông xã hội khác nhau về vụ việc sàn giao dịch của họ bị hack và công khai danh sách 20 ví tiền bị đánh cắp. Nhiều sàn giao dịch đã gắn cờ cảnh báo và đóng băng các tài khoản được liên kết với các địa chỉ hacker, nhằm cản trở việc di chuyển tiền của bọn chúng. DragonEx cũng nhanh chóng liên hệ với Chainalysis và các cơ quan luật pháp để được hỗ trợ giúp đỡ.

Dù vụ hack DragonEx tương đối nhỏ, nhưng điều đáng nói ở đây là trong suốt khoảng thời gian tấn công đó, Lazarus Group đã làm gì để xâm nhập vào hệ thống các sàn giao dịch dưới những những thủ đoạn tinh vi nào? Lazarus đã tạo ra một công ty giả mạo và đề nghị cung cấp bot giao dịch tiền điện tử tự động có tên Worldbit-bot. Để hoàn thiện “vở kịch”, Lazarus cũng đã dựng lên một trang web bóng bẩy và tăng cường hiện diện của chúng trên các phương tiện truyền thông.

Lazarus thậm chí đã xây dựng một sản phẩm phần mềm giống như bot giao dịch mà họ đã hứa hẹn trước đó. Tất nhiên, điểm khác biệt chính là chương trình đó có chứa phần mềm độc hại cho phép các hacker truy cập vào máy tính của bất kỳ ai đã tải phần mềm đó xuống. Các hacker của Lazarus Group đã cung cấp bản dùng thử miễn phí cho các nhân viên của DragonEx và hack được private keys của ví sàn giao dịch. Nhờ đó mà bọn chúng đã kiếm được không ít từ hàng triệu người.

Không giống các phi vụ lừa đảo chỉ thông qua email hoặc các website với quy mô nhỏ, việc dựng nên một công ty Worldbit-bot càng chứng minh được mức độ tinh vi, mưu mẹo của Lazarus Group. Điều này cũng tiết lộ rằng Lazarus đã đầu tư thời gian cũng như sở hữu một nguồn lực hùng hậu cùng với những hiểu biết sâu rộng về hệ sinh thái tiền điện tử để có thể tạo nên một công ty “hợp pháp” như vậy.

Việc tăng cường sử dụng các bộ trộn và rút tiền nhanh chóng hơn càng làm nổi bật những thay đổi trong chiến dịch rửa tiền của Lazarus.

Thực tế, các vụ hack của Lazarus trong năm 2018 không hề áp dụng các phương thức rửa tiền như sử dụng bộ trộn để xóa sạch chứng cứ hay rút được toàn bộ tiền điện tử đã đánh cắp một cách nhanh chóng như các nhóm hack nổi tiếng khác.

Thay vào đó, họ có xu hướng gửi tiền vào ví, đợi 12 đến 18 tháng, sau đó đột nhiên chuyển tất cả tiền sang một sàn giao dịch có KYC thấp vào thời điểm “chín mùi” mà không ai theo dõi, cản trở.

Thông qua hành động đó có thể kết luận rằng mục tiêu hàng đầu của Lazarus là tiền. Trong khi các nhóm hack khét tiếng khác tìm mọi cách để gây nên các sự xáo trộn nhằm ẩn giấu chứng cứ và tránh bị phát hiện, sau đó mới tính đến chuyện rửa tiền. Thì Lazarus chỉ tập trung biến tiền điện tử mà chúng đánh cắp được thành tiền mặt, ngay cả khi phải mất thời gian chờ đợi và chuyển chúng sang một sàn giao dịch khác, cách thức này tương đối dễ theo dõi nếu sử dụng các công cụ phân tích blockchain. Chính phủ Hoa Kỳ đã báo cáo rằng Triều Tiên đã sử dụng tiền từ các vụ hack sàn giao dịch và từ các tội phạm tài chính khác để tài trợ cho các vũ khí hủy diệt hàng loạt (WMD) và các chương trình tên lửa đạn đạo. Điều này một lần nữa chứng minh rằng tiền là mục tiêu chính của Lazarus Group.

Và quả thật, trong năm 2019, sau khi có một vài thay đổi trong việc di chuyển dòng tiền và phương thức rút tiền mặt trong chiến dịch lừa đảo của Lazarus Group. Các nhà nghiên cứu cho thấy, tỷ lệ các khoản tiền mà Zararus đánh cắp được chuyển đến bộ trộn đang dần tăng lên.

Theo như biểu đồ, năm 2018, 98% tất cả số tiền Lazarus đánh cắp từ các sàn giao dịch đều được chuyển đến các sàn giao dịch khác có yêu cầu KYC thấp, và không có khoản nào chuyển đến máy trộn hoặc ví CoinJoin. Tuy nhiên, vào năm 2019, 48% số tiền bị đánh cắp bởi Lazarus đã chuyển sang ví CoinJoin, trong khi 50% vẫn còn nằm nguyên trong ví của những tên hacker.

Chúng ta có thể nhìn thấy rõ hơn khi so sánh hoạt động giao dịch của 2 vụ hack Lazarus trong năm 2018 và 2019 bằng cách sử dụng Chainalysis Reactor.

Ở trên, chúng ta thấy cách Lazarus chuyển tiền mà chúng đánh cắp trong một vụ hack sàn giao dịch năm 2018 của nó. Mặc dù có vẻ phức tạp do số lượng giao dịch lớn, nhưng thực sự rất đơn giản. Các khoản tiền rời khỏi ví sàn giao dịch của các nạn nhân, di chuyển qua hai ví trung gian và sau đó được phân tán đến bốn sàn giao dịch khác nhau. Nhiều bước nhảy ở giữa đại diện cho những khoản tiền đang được trao đổi và tạm thời chưa được chuyển từ ví nạn nhân đến các sàn giao dịch. Mặc dù đường dịch chuyển của các khoản tiền tương đối dài, nhưng rất dễ theo dõi.

Biểu đồ phân tích của Reactor cho thấy cách Lazarus chuyển tiền sau vụ hack DragonEx 2019 phức tạp hơn nhiều. Trong trường hợp này, các altcoin bị đánh cắp như Ethereum và Litecoin đã được chuyển đến các sàn giao dịch và hoán đổi thành Bitcoin. Tiếp theo, họ xáo trộn Bitcoin rút từ các sàn giao dịch giữa nhiều loại ví cục bộ, trước khi chuyển nó sang Ví Wasabi để trộn tiền thông qua giao thức CoinJoin.

Năm 2019, Lazarus Group đã chuyển tiền mà chúng đánh cắp sang các dịch vụ thanh lý – chủ yếu thông qua các sàn giao dịch, và các hoạt động rửa tiền đều được diễn ra nhanh chóng. Năm 2018, Lazarus mất tới 300 ngày để chuyển tiền từ ví riêng ban đầu của họ sang các dịch vụ thanh lý, dù có nhanh đến cỡ nào thì với chiến lược lừa đảo cũ, Lazarus cũng mất ít nhất 250 ngày để hoàn thiện. Và điều đó đã thay đổi mạnh mẽ vào năm 2019. Gần như tất cả số tiền mà Lazarus hack đã được chuyển sang dịch vụ thanh lý chỉ trong vòng dưới 60 ngày, mặc dù một số nguồn tiền vẫn chưa được dùng đến và được lưu trữ trong ví hacker. Một điều đáng lưu ý là hầu như các nhóm hack đều đang triển khai rửa tiền theo xu hướng này.  

Lazarus ngày càng tinh vi và tốc độ rửa tiền điện tử mà chúng đánh cắp cũng ngày càng nhanh hơn, điều này gây áp lực lớn cho các cơ quan tình báo và các sàn giao dịch cần có những hành động nhanh chóng trước khi tội phạm mạng tấn công các sàn giao dịch.

Các sàn giao dịch cần nâng cao mức độ bảo mật

Thực tế, các sàn giao dịch đã nâng cao mức độ bảo mật nhằm chống lại các vụ tấn công trong vài năm qua, nhưng những thủ đoạn lừa đảo tinh vi của các nhóm hacker như Lazarus càng thể hiện rằng họ không thể nào tiếp tục hài lòng với hệ thống bảo mật sẵn có của mình. Hơn bao giờ hết, họ cần phải cảnh giác và tiếp tục cải tiến để có thể đi trước các nhóm hacker một bước nếu không muốn sàn giao dịch của mình bị tấn công. Việc nên làm lúc này các sàn giao dịch phải tiếp tục đặt các hàng rào bảo vệ để đảm bảo các giao dịch đáng ngờ được gắn cờ tình báo trước và ngăn chặn kịp thời nhân viên của mình tải xuống các phần mềm độc hại và cung cấp thông tin, private key cho hacker trước khi quá muộn. Đối với các sàn giao dịch bị hack, cần báo cáo cho cơ quan thực thi pháp luật ngay lập tức và cung cấp thông tin chủ chốt như địa chỉ mà các các khoản tiền bị đánh cắp đã di chuyển đến.

Bên cạnh việc bảo vệ bản thân khỏi bị hack, các sàn giao dịch còn có trách nhiệm đảm bảo rằng bọn tội phạm không thể rút tiền tại sàn giao dịch nếu nguồn tiền của họ được chuyển đến từ một sàn giao dịch đã bị hack trước đó. Các sàn giao dịch cũng cần phải xem xét và nâng cao mức độ cảnh giác đối với các khoản tiền gửi lớn – hoặc khối lượng lớn các khoản tiền gửi nhỏ được chuyển đến trong một khoảng thời gian ngắn – từ máy trộn hoặc ví. Máy trộn có thể được sử dụng cho các mục đích hợp pháp, nhưng dường như chúng ngày càng bị hacker sử dụng như một công cụ phi pháp để xáo trộn dòng dịch chuyển của các khoản tiền bị đánh cắp trước khi rút tiền. Các sàn giao dịch có thể ngăn chặn một số khoản tiền này và giúp cơ quan thực thi pháp luật lấy lại tiền bị đánh cắp bằng cách tạm dừng các giao dịch đáng ngờ có nguồn xuất phát từ các bộ trộn. Binance đã bắt đầu thực hiện điều này và có lẽ đây sẽ là tấm gương để nhiều sàn giao dịch khác noi theo nhằm ngăn chặn các vụ tấn công của hacker.

Cuối cùng, việc gia tăng sự hợp tác xuyên biên giới giữa các cơ quan thực thi pháp luật sẽ là một biện pháp hữu ích để giảm nhẹ các vụ hack sàn giao dịch. Nếu các đơn vị tình báo tài chính (FIU) trên toàn thế giới có thể nhanh chóng chia sẻ thông tin họ nhận được từ các sàn giao dịch khi bị hack, họ có thể đóng băng tiền trước khi hacker có cơ hội chuyển chúng sang một máy trộn hoặc một sàn giao dịch KYC thấp hơn.

Nguồn: Chanalysis

Biên tập: VIC News

0 Bình luận

Related Posts

Để lại bình luận