Quỹ hưu trí đã biến mất! Ví tiền XRP của nhà đầu tư bị hack, 3 triệu đô la đã chảy vào việc rửa tiền Huione.

Người nghỉ hưu 54 tuổi Brandon LaRoque phát hiện ra rằng 1,2 triệu XRP (trị giá khoảng 3 triệu USD) trong ví tiền Ellipal của ông đã bị đánh cắp, đây là toàn bộ tiết kiệm cả đời của ông kể từ năm 2017. Nhà điều tra blockchain ZachXBT đã theo dõi thiệt hại này thông qua hơn 120 lần trao đổi chuỗi cross, phát hiện tài sản đã biến mất tại quầy giao dịch OTC liên kết với Huione.

Quỹ hưu trí đã biến mất hoàn toàn: Lỗ hổng bảo mật tử thần của ví XRP

（Nguồn: Youtube）

Sự việc bắt nguồn từ đầu tháng này, Brandon LaRoque phát hiện ra rằng 1,2 triệu XRP trong Ví tiền Ellipal của anh ấy đã bị đánh cắp. Đáng chú ý, số tiền bị đánh cắp này theo tỷ giá hiện tại có giá trị 2,88 triệu USD, là toàn bộ số tiền tiết kiệm của người đàn ông 54 tuổi này tích lũy kể từ năm 2017.

Anh ấy ban đầu nghĩ rằng vốn của mình trong ví tiền lạnh là an toàn. Tuy nhiên, sau đó, LaRoque phát hiện ra rằng việc nhập cụm từ hạt giống của mình vào ứng dụng di động Ellipal thực sự đã chuyển cài đặt thành ví tiền nóng. Sự hiểu lầm chết người này đã dẫn đến những hậu quả thảm khốc.

“Trong tám năm qua, tôi đã tích lũy XRP,” Laroque nói trong video YouTube về vụ trộm này. “Điều này tương đương với toàn bộ cuộc sống hưu trí của chúng tôi, tôi không biết phải làm gì.” Giọng điệu tuyệt vọng như vậy không phải là hiếm trong các vụ trộm ví XRP.

Vụ việc Ellipal lại gây ra tranh cãi về tính bảo mật của việc tự quản lý. Các nạn nhân đã nhầm lẫn giữa ví lạnh của Ellipal và ví nóng dựa trên ứng dụng, điều này phản ánh vấn đề thiết kế ví XRP không rõ ràng và sự thiếu hụt trong giáo dục người dùng. Ví lạnh nên hoàn toàn ngoại tuyến, khóa riêng tư không bao giờ được tiếp xúc với mạng. Tuy nhiên, khi người dùng nhập cụm từ hạt giống vào ứng dụng di động, khóa riêng tư bị lộ ra trong môi trường mạng, về bản chất trở thành ví nóng.

Sự mơ hồ trong thiết kế này là một vấn đề phổ biến của nhiều Ví tiền XRP. Người dùng thường nhầm tưởng rằng chỉ cần sử dụng ví phần cứng hoặc ví “lạnh” được thương hiệu quảng cáo, thì tài sản sẽ hoàn toàn an toàn. Trên thực tế, bất kỳ sai sót nào trong quy trình vận hành đều có thể làm giảm tính bảo mật. Liệu Ellipal có cảnh báo đầy đủ về nguy cơ này trong giao diện người dùng và tài liệu hướng dẫn hay không, thì vẫn còn gây tranh cãi.

Mạng lưới rửa tiền Huione: 150 tỷ đô la kênh đen

Cuộc điều tra trên chuỗi của ZachXBT phát hiện rằng, kẻ tấn công đã đổi XRP bị đánh cắp thông qua 120 giao dịch cầu nối Ripple-to-Tron. Họ đã sử dụng Bridgers (trước đây gọi là SWFT), sau đó tích hợp các quỹ vào Tron. Chỉ trong ba ngày, những tài sản này đã biến mất tại quầy giao dịch OTC liên kết với Huione.

Bộ Tài chính Hoa Kỳ gần đây đã áp đặt lệnh trừng phạt đối với mạng lưới thanh toán Đông Nam Á này, vì công ty đã thực hiện rửa tiền thông qua lừa đảo, buôn người và tội phạm mạng, với số tiền lên tới hàng tỷ đô la. Vụ án này liên kết vụ trộm ví tiền XRP với mạng lưới của Huione, phơi bày một điểm yếu quan trọng trong công tác thực thi pháp luật toàn cầu. Các cơ quan chức năng Hoa Kỳ cho biết, việc rửa tiền của Huione đã tạo điều kiện cho các giao dịch bất hợp pháp vượt quá 15 tỷ đô la.

Mô hình hoạt động của mạng lưới rửa tiền Huione rất bí mật. Là nhà cung cấp dịch vụ thanh toán và ngoại hối hợp pháp bề ngoài, Huione hoạt động tại nhiều quốc gia Đông Nam Á, cung cấp cho tội phạm các kênh trao đổi tiền điện tử sang tiền tệ pháp định. Do quy định ở những quốc gia này khá lỏng lẻo và việc phối hợp thực thi pháp luật gặp khó khăn, Huione có thể trốn tránh các biện pháp trừng phạt trong thời gian dài.

Nhược điểm là, mặc dù đường đi của blockchain được công khai, nhưng các kênh rửa tiền xuyên biên giới vẫn khó bị ngắt quãng. ZachXBT có thể theo dõi dòng tiền chảy vào Huione, nhưng không thể ngăn chặn việc tiền bị quy đổi và biến mất ở đó. Khoảng trống thực thi này là nguyên nhân cơ bản dẫn đến tội phạm tiền điện tử gia tăng.

Quy trình ba bước rửa tiền của Huione:

Bước đầu tiên: chuỗi cross làm mờ: thông qua 120 giao dịch cầu nối chuyển đổi XRP thành Tron, làm mờ nguồn vốn

Bước thứ hai: Tích hợp chuyển nhượng: Tích hợp các khoản tiền nhỏ thành khoản lớn, chuyển đến địa chỉ mới trên chuỗi Tron.

Bước ba: Giao dịch OTC: Đổi thành tiền pháp định thông qua quầy giao dịch OTC được kết nối bởi Huione, hoàn toàn biến mất.

95% Khôi phục công ty là kẻ cướp: chuỗi ngành lừa đảo thứ hai

Mặc dù các cơ quan thực thi pháp luật thường khó có thể phản ứng nhanh chóng, nhưng ZachXBT cho biết, nền kinh tế phục hồi đã xuất hiện, tận dụng sự tuyệt vọng của các nạn nhân. Ông viết: “Một bài học khác là hơn 95% các công ty đòi bồi thường là có tính chất cướp bóc, họ chỉ cung cấp báo cáo cơ bản và thu phí cao, nhưng rất ít cung cấp những hiểu biết có thể hành động.”

Ông bổ sung rằng, nhiều công ty như vậy dựa vào tối ưu hóa công cụ tìm kiếm và định vị truyền thông xã hội để thu hút các nạn nhân của việc mất XRP vào ví tiền. Họ thường chỉ cung cấp các báo cáo blockchain nông cạn, hoặc bảo khách hàng “liên hệ với sàn giao dịch”. Giá trị thực sự của loại dịch vụ này rất thấp, nhưng chi phí lại rất cao, thường yêu cầu nạn nhân trả hàng chục nghìn đô la phí trước hoặc tỷ lệ chia sẻ cao sau khi đã thành công trong việc lấy lại.

Cơ chế lớp hai này đã biến nhiều cuộc tấn công của hacker có giá trị cao thành tội phạm đa tầng. Đầu tiên là chính hacker thực hiện cuộc tấn công, sau đó là các nhà điều hành hồi phục giả mạo, họ hứa hẹn sẽ lấy lại số tiền thực sự đã biến mất từ lâu. Đối với những nạn nhân như LaRoque, người đã mất 3 triệu đô la, những lời hứa giả mạo của các công ty hồi phục này giống như thêm dầu vào lửa.

ZachXBT gợi ý rằng, bi kịch thực sự là, đợt tổn thất tiếp theo có thể không đến từ hacker, mà đến từ những người tuyên bố giúp đỡ trong việc lấy lại tài sản. Khi các nạn nhân trong tuyệt vọng tìm kiếm sự giúp đỡ, những công ty săn mồi này sẽ lợi dụng hy vọng và sự bất lực của họ để vắt kiệt giá trị cuối cùng.

Bài học an toàn Ví tiền XRP: Sự nhầm lẫn chết người giữa Ví lạnh và Ví nóng

Ngoài việc điều tra các manh mối rửa tiền và khôi phục các vụ lừa đảo công ty, vụ việc Ellipal lại làm dấy lên cuộc tranh luận về tính an toàn của việc tự lưu trữ ví tiền XRP. Các nạn nhân đã nhầm lẫn giữa ví lạnh Ellipal và ví nóng dựa trên ứng dụng, điều này phản ánh vấn đề thiết kế ví không rõ ràng và sự thiếu hụt trong giáo dục người dùng.

Sự khác biệt cơ bản giữa ví lạnh và ví nóng là việc khóa riêng có tiếp xúc với mạng hay không. Khóa riêng của ví lạnh thực sự không bao giờ tiếp xúc với bất kỳ thiết bị nào có kết nối mạng, tất cả các chữ ký giao dịch đều được thực hiện trong môi trường ngoại tuyến. Ngược lại, khóa riêng của ví nóng được lưu trữ trong thiết bị có kết nối mạng, thuận tiện cho việc sử dụng nhưng có mức độ an toàn thấp hơn.

Lỗi của LaRoque là nhập cụm từ hạt giống vào ứng dụng di động. Ngay cả khi thiết bị phần cứng Ellipal là ví lạnh, một khi cụm từ hạt giống được nhập vào ứng dụng trực tuyến, tính bảo mật của toàn bộ ví XRP giảm xuống giống như ví nóng. Sự nhầm lẫn này có thể xuất phát từ sự hiểu lầm về cách hoạt động của ví, hoặc có thể là do giao diện người dùng của Ellipal không cảnh báo đầy đủ về rủi ro của thao tác này.

Do bởi các cơ quan thực thi pháp luật thiếu khả năng xử lý tội phạm liên quan đến tiền điện tử, hy vọng thu hồi 3 triệu đô la của LaRoque là rất mong manh. Khi mà các mạng lưới rửa tiền xuyên quốc gia như Huione ngày càng hoành hành, độ khó trong việc thu hồi cũng tăng lên. Ngay cả khi ZachXBT có thể theo dõi dòng tiền, nhưng khi tiền vào mạng lưới Huione và được đổi thành tiền pháp định, tính minh bạch của blockchain sẽ mất tác dụng.