Cách mà hacker triệu phú crypto này vẫn tiếp tục rút tiền tự do sau một năm

Vào ngày 31 tháng 10 năm 2025, kẻ khai thác Radiant đã chuyển khoảng 5.411,8 ETH sang Tornado Cash, một động thái trị giá khoảng 20,7 triệu đô la.

Chín ngày trước đó, cùng một cụm ví đã di chuyển khoảng 2.834,6 ETH, tương đương 10,8 triệu đô la, sau khi dàn dựng các khoản tiền qua nhiều chuỗi và thực hiện các giao dịch hoán đổi trước khi đưa vào mixer.

Cả hai đợt chuyển tiền đều không có dấu hiệu vội vã. Cả hai đều giống như một nhà vận hành cẩn trọng đang kiểm tra tính thanh khoản và thời gian tuân thủ, chia nhỏ các khoản gửi thành các mệnh giá phổ biến của Tornado để dễ trộn và khó truy vết.

Cách vụ hack Radiant đã xảy ra

Câu chuyện của Radiant bắt đầu vào ngày 16 tháng 10 năm 2024, khi các pool cho vay của dự án trên Arbitrum và BNB Chain bị rút cạn khoảng 50 triệu đến 58 triệu đô la. Các báo cáo kỹ thuật ban đầu đều tập trung vào một điểm đơn giản nhưng tàn khốc.

Lỗ hổng xuất phát từ việc thỏa hiệp vận hành liên quan đến người giữ khóa và các phê duyệt, cho phép kẻ tấn công đẩy các giao dịch độc hại thông qua quy trình đa chữ ký. Các công ty bảo mật mô tả rằng những người ký đã bị dụ dỗ để phê duyệt các lệnh gọi sai.

Dự án sử dụng cơ chế ba trên mười một cho các hành động nhạy cảm. Tập hợp người ký rộng giúp tăng khả năng sẵn sàng nhưng cũng mở rộng phạm vi bị tấn công qua thiết bị và kỹ nghệ xã hội. Phân tích từ Halborn và các đơn vị khác đã tái dựng cách các phê duyệt và vệ sinh thiết bị tạo ra các khoảng trống mà kẻ tấn công đã khai thác, trong khi các cập nhật sự cố của Radiant đã xác định lại dòng thời gian và quy mô vụ việc.

Các báo cáo sau đó cho rằng một nhóm được nhà nước hậu thuẫn đã sử dụng mạo danh để truy cập, một tuyên bố mà Radiant cũng nhắc lại khi mọi chuyện lắng xuống.

CryptoSlate đã đưa tin về hậu quả vào thời điểm đó dưới góc nhìn xu hướng tội phạm. Báo cáo lưu ý rằng tổng thiệt hại do khai thác trong tháng 10 đã giảm xuống còn khoảng 116 triệu đô la, và sự cố của Radiant chiếm gần một nửa con số hàng tháng đó, khiến phần lớn thiệt hại tập trung vào một nơi.

Cách nhìn nhận này quan trọng vì nó cho thấy một vụ vi phạm cross-chain duy nhất có thể ảnh hưởng đáng kể đến hồ sơ rủi ro của cả tháng, ngay cả khi môi trường chung có vẻ yên ả.

Những gì diễn ra trong năm tiếp theo đã thiết lập mô hình như hiện nay. Tiền được chuyển ra khỏi các L2 và quay lại Ethereum qua các cầu nối nơi có thanh khoản sâu nhất. Các giao dịch hoán đổi hợp nhất số dư thành ETH để chuẩn bị cho quá trình trộn.

Đợt chuyển ngày 22-23 tháng 10 năm 2025 là một ví dụ rõ ràng. CertiK đã phát hiện 2.834,6 ETH được gửi vào Tornado và lưu ý rằng 2.213,8 ETH đã đến qua cầu Arbitrum từ EOA 0x4afb, phần còn lại đến từ chuyển đổi DAI.

Đợt chuyển ngày 31 tháng 10 đã nâng tổng số lên thêm 5.411,8 ETH, với các khoản gửi theo mô-đun phù hợp với chuẩn của pool Tornado. Chuỗi khối là công khai, lộ trình có thể dự đoán, và các động lực khuyến khích sự kiên nhẫn thay vì phô trương.

Những gì các đợt rửa tiền mới tiết lộ

Hoạt động mixer gần đây giống như một chiến lược rút tiền nhỏ giọt thay vì một lần thoát duy nhất. Các bước nhảy cầu từ Arbitrum hoặc BNB Chain đưa số dư vào các pool sâu nhất trên mainnet. Các vòng quay DEX thiết lập tồn kho bằng ETH để vào Tornado hiệu quả nhất.

Gom thành các mệnh giá tiêu chuẩn làm vỡ biểu đồ công khai thành các mảnh nhỏ mà việc ghép lại rất tốn kém. Tuy vậy, các nhóm tuân thủ vẫn nhìn thấy nhiều điều. Họ gom các địa chỉ quanh các mẫu gas và thời gian chung, đối chiếu các khoản gửi với cửa sổ rút tiền, và theo dõi các chuỗi peel đặc trưng bắt đầu nhỏ, lan rộng, rồi gom lại gần một địa điểm mục tiêu.

Cách tiếp cận này là thực dụng vì môi trường pháp lý khuyến khích sự thực dụng. Các tòa án đã thu hẹp các lý thuyết rộng nhất của chính phủ về việc trừng phạt phần mềm phi tập trung. Các công tố viên đã thắng và thua nhiều vụ liên quan đến mixer.

Kết quả là một vùng xám nơi các công cụ bảo mật quyền riêng tư vẫn hoạt động, và các sàn giao dịch dựa vào kiểm soát dựa trên hành vi thay vì dán nhãn toàn diện. Các cuộc điều tra vẫn bắt được các đợt thoát tiền. Sự ma sát chỉ chuyển từ phần mềm sang quy trình.

Đối với người dùng và nhà phát triển, bài học là rõ ràng. Lựa chọn thiết kế mang lại hệ quả tài chính. Cầu nối và router tập trung giá trị và các kiểu lỗi, đó chính là lý do kẻ khai thác sử dụng chúng khi rút tiền. Ứng dụng đa chuỗi đòi hỏi phải có phản xạ dừng, lật allowlist, và chụp nhanh thanh khoản, thay vì ứng biến ngẫu hứng sau khi bị tấn công.

Tài liệu của Radiant cho thấy cách phản ứng đã được siết chặt dần theo thời gian. Cái giá của đường cong học hỏi đó là thực tế vì kẻ tấn công nắm thế chủ động. Các dòng tiền hiện tại qua Tornado Cash là phần đuôi của cùng một phân phối.

Kẻ vận hành vẫn tiếp tục di chuyển vì các đường ray vẫn hoạt động. Phản ứng đúng là quy trình giữ khóa chặt chẽ hơn, phê duyệt hẹp hơn, giám sát cầu nối theo thời gian thực, và một văn hóa coi thiết bị ký như bảo vật quốc gia.

Kẻ khai thác Radiant có thể sẽ tiếp tục sử dụng cùng một chiến lược cho đến khi điều kiện thay đổi. Sẽ có thêm các khoản gửi Tornado với kích thước quen thuộc. Sẽ có thêm hoạt động cầu nối từ các địa chỉ liên quan đến các đường đi tháng 10 năm 2024. Một lần thoát sạch cuối cùng sẽ xuất hiện tại một sàn giao dịch được quản lý, và các bàn giao dịch sẽ cân nhắc thời điểm và các quy tắc so với câu chuyện của khách hàng.

Hệ quả đối với thị trường là dễ đoán. Mỗi lần thoát kiên nhẫn như vậy lại làm giảm niềm tin vào các lớp trừu tượng cross-chain và thúc đẩy các nhóm kiểm toán không chỉ mã nguồn mà cả vận hành. Người dùng truy tìm lợi suất trên nhiều mạng vì trải nghiệm liền mạch. Những tên trộm lão luyện nhất biết chính xác đường nối đó nằm ở đâu.

Bài viết How this millionaire crypto hacker continues to freely cash out a year later xuất hiện đầu tiên trên CryptoSlate.