Báo cáo của AMLBot phát hiện rằng sự chậm trễ trong việc đóng băng Tether đã bị khai thác kể từ năm 2017, cho phép tội phạm chuyển 78 triệu đô la USDT sang Ethereum và Tron.
Một báo cáo mới từ AMLBot đã tiết lộ rằng sự chậm trễ trong cơ chế đóng băng quỹ của Tether đã cho phép tội phạm khai thác hệ thống và chuyển hơn 78 triệu USDT sang Ethereum và Tron kể từ năm 2017.
Cơ chế Đóng băng của Tether và Các điểm yếu của nó
AMLBot, một công ty điều tra blockchain, đã báo cáo rằng quy trình đóng băng USDT liên quan đến hoạt động tội phạm của Tether có sự chậm trễ mà tội phạm đã khai thác.
Công ty phát hiện rằng quy trình đưa vào danh sách đen các địa chỉ liên quan đến một thiết lập chữ ký đa, điều này tạo ra sự chậm trễ giữa yêu cầu đóng băng trên blockchain và việc thực hiện nó.
Quá trình này yêu cầu nhiều bên ký vào một giao dịch đã đóng băng, điều này có thể mất thời gian để hoàn tất.
Trong khoảng thời gian này, một số ví có thể đã chuyển tiền trước khi yêu cầu đóng băng được kích hoạt. AMLBot gọi khoảng thời gian này là "cửa sổ quan trọng" cho các hành vi bất hợp pháp.
PackShield, một công ty an ninh blockchain, đã xem xét báo cáo và xác nhận sự chậm trễ.
"Điều này không nhất thiết chỉ ra một vấn đề với chính hợp đồng," một phát ngôn viên cho biết. "Thay vào đó, đó là một vấn đề hoạt động tạo ra một khoảng thời gian giữa khi giao dịch danh sách đen được gửi và khi nó được thực hiện."
78 triệu đô la đã được chuyển qua Ethereum và Tron.
Các phát hiện của AMLBot cho thấy những kẻ xấu đã rút 49.6 triệu đô la trên Tron và 28.5 triệu đô la trên Ethereum thông qua lỗ hổng này.
Trong một trường hợp, đã có sự chậm trễ 44 phút giữa yêu cầu đóng băng và sự xác nhận của nó trên mạng Tron. Điều này đã đủ thời gian cho ví thực hiện ba giao dịch trước khi nó bị đóng băng.
Theo AMLBot, 4.88% trong số tất cả các ví bị đưa vào danh sách đen trên Tron đã có thể khai thác lỗ hổng này.
Mặc dù có khối lượng nhỏ hơn, các ví dựa trên Ethereum cũng đã được lợi từ khoảng trống hoạt động này. Kể từ năm 2017, tổng số USDT được chuyển qua các ví như vậy đã đạt 78.1 triệu đô la.
AMLBot tin rằng một số tác nhân đang sử dụng công cụ để theo dõi các yêu cầu đóng băng. Các công cụ này quét các cuộc gọi hợp đồng thông minh cụ thể là một phần của quy trình đóng băng. Nếu một cuộc gọi như vậy được phát hiện, các công cụ sẽ thông báo cho chủ sở hữu ví, cho họ thời gian để chuyển tiền.
Những lo ngại về an ninh và phản ứng của ngành
Tether là nhà phát hành USDT, đồng stablecoin lớn nhất thế giới, và thường xuyên đóng băng các token liên quan đến hoạt động bất hợp pháp.
Quy trình đưa vào danh sách đen của nó đã được sử dụng gần đây sau vụ hack Bybit trị giá 1.4 tỷ đô la, liên quan đến Nhóm Lazarus của Bắc Triều Tiên. Tether đóng băng các địa chỉ để ngăn chặn việc chuyển nhượng hoặc trao đổi tài sản bị đánh cắp, mặc dù Đức gần đây đã tịch thu 38 triệu đô la từ vụ khai thác này.
PeckShield giải thích rằng điểm yếu này là một vấn đề đã được biết đến với các ví chữ ký đa. Những ví này được sử dụng để cải thiện an ninh, nhưng chúng làm chậm các giao dịch nhanh.
PeckShield đã đề xuất rằng Tether có thể cải thiện điều này bằng cách kết hợp yêu cầu đóng băng và các chữ ký cần thiết thành một giao dịch trên chuỗi duy nhất để loại bỏ độ trễ.
"Các công cụ có thể được lập trình để theo dõi blockchain cho các tương tác hợp đồng cụ thể, chẳng hạn như các cuộc gọi submitTransaction() liên quan đến yêu cầu đóng băng," ông Slava Demchak, Giám đốc điều hành của AMLBot cho biết.
Ông thêm rằng trong khi công ty chưa quan sát trực tiếp các bot, hành vi trên chuỗi mạnh mẽ gợi ý rằng các hệ thống tự động đang tham gia.
Giữa sự giám sát, Tether đã có những bước đi để cải thiện sự tuân thủ bằng cách hợp tác với Chainalysis.
Hai công ty sẽ tích hợp các công cụ giám sát của Chainalysis vào nền tảng Hadron của Tether, tập trung vào việc mã hóa tài sản thực.
AMLBot đã bị chỉ trích vì cáo buộc lạm dụng công cụ của mình.
Trong quá trình điều tra, ZachXBT, một chuyên gia về blockchain, đã chỉ ra một số vấn đề với AMLBot. Theo ông, các công cụ của AMLBot không theo dõi được những kẻ phạm tội.
Như ZachXBT đã báo cáo, ngay sau vụ cướp Genesis Creditor trị giá 243 triệu đô la vào tháng 8 năm 2024, AMLBot đã được sử dụng để chuyển tiền bị đánh cắp thông qua các sàn giao dịch tức thì.
Vào tháng 2 năm 2025, nhật ký vi phạm của nhóm ransomware BlackBasta cũng đã đề cập đến AMLBot như một nền tảng được khuyến nghị để kiểm tra các địa chỉ bị đánh dấu.
Nhà nghiên cứu tội phạm mạng Krebs trước đây đã báo cáo rằng các khách hàng của AMLBot bao gồm Antinalysis, một công cụ được tạo ra bởi nhóm darknet "Incognito" để kiểm tra các địa chỉ cho các mối đe dọa bị đánh dấu.
Mặc dù có những cáo buộc này, AMLBot khẳng định rằng các công cụ của nó được thiết kế để tuân thủ và giám sát.
Nó tiếp tục cảnh báo rằng tội phạm đang trở nên tinh vi hơn và tích cực khai thác các sự chậm trễ trong hoạt động.