Tối ngày 08/09/2022 (theo giờ Việt Nam), công ty phân tích dữ liệu blockchain Chainalysis thông báo, các cơ quan thực thi pháp luật và các tổ chức đầu ngành trong lĩnh vực crypto đã thu hồi được 30 triệu USD mà nhóm hacker Triều Tiên đã đánh cắp từ cầu nối Ronin của Sky Mavis. Tuy vậy, số tiền thu hồi chỉ chiếm 10% số tiền (tính theo chênh lệch giá giữa thời điểm bị đánh cắp và thu giữ) mà nhóm hacker Lazarus Group đã đánh cắp từ vụ tấn công vào Ronin Network hồi tháng 03/2022.
Theo phân tích của Chainalysis, nhóm hacker Triều Tiên đã chiếm quyền kiểm soát 5/9 khóa cá nhân (private key) từ các trình xác thực giao dịch của cầu nối xuyên chuỗi Ronin Network. Sau đó, chúng đã đánh cắp 173.600 Ether (ETH) và 25,5 triệu USD Coin (USDC) thông qua hai giao dịch. Chainalysis cho biết, số tiền mã hóa này đã được rửa thông qua 12.000 ví crypto khác nhau, chứng tỏ khả năng rửa tiền rất tinh vi của hacker.
Quy trình rửa tiền mã hóa đánh cắp của Lazarus Group được thực hiện theo 5 bước như sau:
- Bước 1: ETH bị đánh cắp được chuyển đến các ví trung gian.
- Bước 2: Trộn lẫn số ETH bằng Tornado Cash.
- Bước 3: Đổi ETH lấy Bitcoin (BTC).
- Bước 4: Trộn BTC.
- Bước 5: Gửi Bitcoin đến các dịch vụ tiền mã hóa để bán và nhận về tiền mặt.
Sau khi bị tấn công, Sky Mavis đã huy động 150 triệu USD để bồi thường thiệt hại cho người chơi và tiến hành nâng cấp bảo mật cho Ronin Network. Cầu nối này được mở lại vào cuối tháng 06/2022 và được bổ sung thêm 3 trình xác thực mới, nâng tổng số trình xác thực của cầu nối này lên con số 17 vào trung tuần tháng 08/2022 vừa qua. Ronin Network mới đã được “kiểm toán bảo mật” bởi hai công ty bảo mật blockchain hàng đầu hiện nay là Certik và Verichains. Thêm vào đó, Sky Mavis còn cập nhật lại hệ thống xác thực giao dịch và giới hạn ngưỡng rút tiền để tránh sự cố như hồi tháng 03/2022.
