Hàn Quốc xác nhận hacker Triều Tiên là thủ phạm tấn công sàn Upbit năm 2019, thu hồi 4,8 BTC sau 4 năm

Cảnh sát Hàn Quốc chính thức xác nhận thủ phạm đứng sau vụ tấn công sàn Upbit năm 2019 chính là nhóm hacker Triều Tiên khét tiếng Lazarus Group.

Như Coin68 đưa tin, vào tháng 11/2019, sàn giao dịch tiền mã hóa lớn nhất Hàn Quốc Upbit đã bị tin tặc tấn công, đánh cắp 342.000 ETH, trị giá 49 triệu USD tại thời điểm đó. Tại thời điểm viết bài, số ETH bị đánh cắp có giá trị ước tính lên đến 1,068 tỷ USD, đánh dấu một trong những vụ hack lớn nhất từng được xác nhận tại Hàn Quốc.

Sau 5 năm điều tra, vào ngày 21/11/2024, cảnh sát Hàn Quốc chính thức xác nhận rằng các nhóm tin tặc Triều Tiên Lazarus Group và Andariel, thuộc Cục Trinh sát Tổng cục của Triều Tiên, là chủ mưu đứng sau vụ tấn công này. Đây là lần đầu tiên chính quyền Hàn Quốc công khai xác nhận sự liên quan của Bắc Hàn trong một vụ tấn công tiền mã hóa với quy mô lớn.

Cảnh sát Hàn Quốc tiết lộ, 57% số ETH bị đánh cắp đã được nhóm tin tặc đổi sang Bitcoin với mức giá chiết khấu 2,5% thông qua ba sàn giao dịch tiền mã hóa do chính Triều Tiên vận hành. Phần tài sản còn lại được rải ra 51 sàn giao dịch quốc tế để thực hiện hành vi rửa tiền, khiến quá trình điều tra kéo dài đến 4 năm.

Đáng chú ý, trong quá trình phân tích dữ liệu, các điều tra viên phát hiện cụm từ "헐한 일" (nghĩa là "việc không quan trọng") xuất hiện trong mã độc mà tin tặc sử dụng. Đây là một dấu hiệu ngôn ngữ đặc trưng của Triều Tiên, kết hợp với phân tích IP và dòng chảy tài sản giúp củng cố bằng chứng buộc tội nhóm hacker này.

Tuy nhiên, cảnh sát không tiết lộ cách thức tấn công cụ thể để tránh nguy cơ người khác bắt chước và thực hiện lại hành vi phạm tội.

Quá trình điều tra kéo dài không chỉ tại Hàn Quốc mà còn mở rộng hợp tác với các tổ chức quốc tế. Vào tháng 10/2023, cảnh sát Hàn Quốc phối hợp với cơ quan tư pháp Thụy Sĩ đã phát hiện 4,8 BTC (tương đương 466 nghìn USD) tại một sàn giao dịch tiền mã hóa ở Thụy Sĩ.

Sau khi chứng minh tài sản này là một phần của số tài sản bị đánh cắp từ Upbit, phía Thụy Sĩ đã hoàn tất thủ tục pháp lý và hoàn trả toàn bộ số Bitcoin này cho Upbit. Mặc dù vậy, phần lớn số ETH còn lại vẫn đang bị rửa hoặc cất giấu trong các sàn giao dịch không minh bạch, khiến quá trình truy vết và thu hồi trở nên khó khăn hơn.

Nhóm hacker Lazarus, được biết đến là "cánh tay nối dài" của chính quyền Triều Tiên, đã gây ra hàng loạt vụ hack lớn trên toàn cầu, với thiệt hại ước tính hơn 3 tỷ USD trong 3 năm qua, theo báo cáo của công ty an ninh mạng Recorded Future.

Các hoạt động của Lazarus Group thường tập trung vào lĩnh vực tiền mã hóa và được cho là nguồn tài chính quan trọng giúp Triều Tiên vượt qua các lệnh trừng phạt quốc tế để xây dựng vũ khí huỷ diệt hàng loạt.