Cofounder của THORChain được xác định là nạn nhân trong vụ hack trị giá 1,2 triệu đô la liên quan đến Triều Tiên

SourceCryptopolitan

12 tháng 9, 2025 12:00

Một ví cá nhân được cho là thuộc về một trong những người sáng lập của THORChain đã bị xâm phạm, dẫn đến việc mất hơn 1,2 triệu đô la, theo bộ theo dõi an ninh Peckshield. Giao thức này đã phủ nhận những báo cáo trước đó trên các nền tảng xã hội cho rằng vi phạm ảnh hưởng đến toàn bộ mạng lưới của nó.

Nền tảng bảo mật Web3 ExVul Defender đã công bố trên X vào thứ Sáu rằng kẻ tấn công đã bắt đầu di chuyển quỹ cách đây hai ngày. Rõ ràng họ đã có được thanh khoản ban đầu từ một trình trộn trước khi tương tác với mạng THORChain, thực hiện giao dịch đầu tiên vào lúc 06:41:47 AM UTC thứ Tư.

Sửa đổi: Sự cố này liên quan đến việc khai thác ví cá nhân của một người dùng, và không liên quan đến @THORChain. 🙏

— THORChain (@THORChain) 12 tháng 9, 2025

Trên Etherscan, địa chỉ ví, cùng với THORChain, đã phát hành ba đề nghị thưởng trong vòng hai ngày sau khi bị hack, nhưng cho đến nay, kẻ tấn công vẫn chưa phản hồi.

ZachXBT: Nạn nhân là JP, đồng sáng lập THORChain

Đáp lại bài đăng cảnh báo của PeckShield trên X, nhà nghiên cứu an ninh blockchain ZachXBT đã xác định nạn nhân là John-Paul Thorbjornsen, còn được biết đến với tên JP, đồng sáng lập cả THORChain và ứng dụng ví Vultisig.

Ví dụ như, ví có thể thuộc về @jpthor, người đã có một ví riêng bị xâm phạm do một vụ lừa đảo cuộc họp giả cách đây vài ngày.

JP là một trong những người đã thu lợi kinh tế từ việc rửa tiền từ các vụ hack/exploit của DPRK.

Vì vậy, thật dễ hiểu khi nó bị phá hủy ở đây bởi DPRK. pic.twitter.com/T57RRJ0bbf

— ZachXBT (@zachxbt) 12 tháng 9, 2025

Theo ZachXBT, ví cá nhân của JP đã bị rút sạch khoảng 1,35 triệu đô la trong một vụ lừa đảo cuộc gọi họp trên Telegram được tổ chức bởi các hacker Bắc Triều Tiên vào thứ Ba.

JP và các nền tảng liên quan đến nó đã từng được liên kết với lợi ích tài chính đến từ các hoạt động rửa tiền liên quan đến các vụ hack của Triều Tiên, bao gồm việc khai thác 1,5 tỷ đô la Mỹ trong các token Ethereum được thực hiện vào cuối tháng Hai.

“JP là một trong những người đã thu lợi kinh tế từ việc rửa tiền của các vụ hack và khai thác từ DPRK”, ZachXBT đã viết. “Vì vậy, thật là một chút thơ mộng khi anh ta bị DPRK tàn phá ở đây.”

Các bản ghi blockchain của ngày 9 tháng 9 tiết lộ một loạt các chuyển động quỹ từ địa chỉ bị đánh cắp, có thể là một nỗ lực để che giấu dấu vết của tiền. Lần chuyển tiền đầu tiên liên quan đến 6,233,015 token THORChain, đã được chuyển ra ngoài ví bị xâm phạm cách đây ba ngày.

Gần như ngay lập tức sau đó, một giao dịch khác đã đặt 6,233,180 token vào một địa chỉ được đánh dấu là “Fake_Phishing1347722”, một nhãn liên quan đến rửa tiền và việc che giấu liên quan đến phishing.

Vẫn trong ngày, kẻ tấn công đã chuyển 6,333,180 token qua THORChain, sau đó là 6,333,333 token khác, có thể đang luân chuyển những khoản lớn đến các địa chỉ khác nhau, cùng với một khoản thanh toán nhỏ hơn là 1,250,000 token.

Nhóm quỹ bị đánh cắp lớn nhất, lên tới 2,778,345 token, cuối cùng đã đến giao thức Kyber, có thể đã được trao đổi để tạo ra các lớp tách biệt từ nguồn gốc ban đầu.

Hiện tại, hầu hết số tiền bị đánh cắp trị giá $1.218 triệu đang ở 0x7abc09ab94d6015053f8f41b01614bb6d1cc7647, ZachXBT cho biết trên kênh Telegram điều tra của mình.

THORChain có được lợi từ việc rửa tiền của vụ hack không?

Dữ liệu từ Arkham Intelligence cho thấy những kẻ hacker đứng sau cuộc tấn công đã chuyển ít nhất 209,384 ETH, trị giá khoảng $480 triệu, sang Bitcoin. Điều này đại diện cho hơn 50% trong số khoảng 400,000 ETH bị đánh cắp.

Các nhà nghiên cứu blockchain đã theo dõi gần 1.2 tỷ đô la Mỹ trong tiền điện tử bất hợp pháp, khoảng 85% số tiền bị mất, đang được chuyển qua THORChain. Trong những ngày đầu của sự cố, ít nhất $240 triệu đô la trong số tiền thu được đã được rửa qua THORChain và chuyển đổi thành BTC, theo báo cáo của Arkham.

Một số đối thủ đã hợp tác với chính quyền để hạn chế các giao dịch nghi ngờ, nhưng các nhà điều hành của THORChain hầu như không làm gì để chặn các địa chỉ, bất chấp các yêu cầu chính thức từ FBI và các cơ quan khác. Các ứng dụng ví được xây dựng trên mạng, bao gồm Asgardex và Vultisig, tiếp tục xử lý các hoạt động mà không bị gián đoạn.

Các chữ ký an ninh blockchain đã gợi ý rằng các trình xác thực của mạng và các nhà phát triển ví, nhiều người trong số họ có thể xác định công khai và hoạt động tại các khu vực pháp lý có yêu cầu nghiêm ngặt về chống rửa tiền, đã yêu cầu phí hơn $12 triệu để rửa tiền.

“Giao thức vẫn hoạt động và trao đổi bất chấp sự hỗn loạn. Thực tế, nó đang hoạt động rất tốt,” được cho là Thorbjornsen đã nói, bảo vệ các hoạt động của mình. Vào thời điểm đó, THORChain đã ghi nhận ngày giao dịch lớn nhất của mình, với hơn $737 triệu trong các token được trao đổi qua mạng.