Nguyễn Tiến Đạt
Intern Writer
Theo nghiên cứu mới công bố của TRM Labs, vụ tấn công mạng nhằm vào LastPass năm 2022 không chỉ dừng lại ở việc rò rỉ dữ liệu, mà đã trở thành tiền đề cho các vụ trộm tiền điện tử kéo dài nhiều năm, thậm chí được ghi nhận đến cuối năm 2025.
Cụ thể, tin tặc đã đánh cắp được các bản sao lưu kho mật khẩu được mã hóa của người dùng. Những kho này chứa nhiều dữ liệu nhạy cảm, bao gồm khóa riêng tư và cụm từ hạt giống (seed phrase) của ví tiền điện tử. Dù dữ liệu bị mã hóa, nhưng do kẻ tấn công có toàn bộ bản sao lưu trong tay, chúng có thể bẻ khóa mật khẩu chính (master password) theo hình thức ngoại tuyến, không bị giới hạn thời gian hay số lần thử.
TRM Labs cho biết, việc người dùng không thay đổi mật khẩu chính hoặc không tăng cường bảo mật sau sự cố đã tạo điều kiện để tin tặc âm thầm thử mật khẩu trong thời gian dài. Khi thành công, chúng có thể rút sạch tài sản tiền điện tử từng bước, thay vì hành động ồ ạt, nhằm tránh bị phát hiện.
Mặc dù tin tặc sử dụng kỹ thuật CoinJoin nhằm che giấu dòng tiền, TRM Labs vẫn có thể tách biệt và liên kết các giao dịch thông qua các mô hình rút tiền theo cụm và chuỗi giao dịch tách rời, từ đó xác định các điểm thoát tiền cụ thể.
Theo Ari Redbord, Trưởng bộ phận chính sách toàn cầu của TRM Labs, đây là ví dụ điển hình cho thấy một vụ xâm nhập duy nhất có thể biến thành chiến dịch trộm cắp kéo dài nhiều năm. Ngay cả khi sử dụng các công cụ che giấu giao dịch, hành vi, hạ tầng và thói quen rửa tiền vẫn có thể làm lộ danh tính thực sự của kẻ đứng sau.(thehackernews)
Cụ thể, tin tặc đã đánh cắp được các bản sao lưu kho mật khẩu được mã hóa của người dùng. Những kho này chứa nhiều dữ liệu nhạy cảm, bao gồm khóa riêng tư và cụm từ hạt giống (seed phrase) của ví tiền điện tử. Dù dữ liệu bị mã hóa, nhưng do kẻ tấn công có toàn bộ bản sao lưu trong tay, chúng có thể bẻ khóa mật khẩu chính (master password) theo hình thức ngoại tuyến, không bị giới hạn thời gian hay số lần thử.
TRM Labs cho biết, việc người dùng không thay đổi mật khẩu chính hoặc không tăng cường bảo mật sau sự cố đã tạo điều kiện để tin tặc âm thầm thử mật khẩu trong thời gian dài. Khi thành công, chúng có thể rút sạch tài sản tiền điện tử từng bước, thay vì hành động ồ ạt, nhằm tránh bị phát hiện.
Dòng tiền, rửa tiền và dấu vết liên quan đến tội phạm mạng Nga
Dựa trên toàn bộ dữ liệu phân tích on-chain, TRM Labs nhận định có sự tham gia của các nhóm tội phạm mạng liên quan đến Nga. Kết luận này được đưa ra từ nhiều yếu tố, bao gồm:- Tương tác lặp đi lặp lại với hạ tầng và dịch vụ liên quan đến Nga
- Sự liên tục trong quyền kiểm soát ví trước và sau quá trình trộn tiền
- Việc sử dụng các sàn giao dịch rủi ro cao của Nga làm điểm thoát tiền
- 28 triệu USD (khoảng 700 tỷ VNĐ) được chuyển đổi sang Bitcoin và rửa tiền thông qua Wasabi Wallet từ cuối năm 2024 đến đầu năm 2025
- 7 triệu USD (khoảng 175 tỷ VNĐ) thuộc làn sóng tiếp theo, được phát hiện vào tháng 9/2025
Mặc dù tin tặc sử dụng kỹ thuật CoinJoin nhằm che giấu dòng tiền, TRM Labs vẫn có thể tách biệt và liên kết các giao dịch thông qua các mô hình rút tiền theo cụm và chuỗi giao dịch tách rời, từ đó xác định các điểm thoát tiền cụ thể.
Theo Ari Redbord, Trưởng bộ phận chính sách toàn cầu của TRM Labs, đây là ví dụ điển hình cho thấy một vụ xâm nhập duy nhất có thể biến thành chiến dịch trộm cắp kéo dài nhiều năm. Ngay cả khi sử dụng các công cụ che giấu giao dịch, hành vi, hạ tầng và thói quen rửa tiền vẫn có thể làm lộ danh tính thực sự của kẻ đứng sau.(thehackernews)
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
