Vụ trộm tài sản mã hóa lớn nhất trong lịch sử

Tác giả: Mộc Mộc

Xuất bản: Bạch Ngữ Blockchain (ID: hellobtc)

Bìa: Ảnh bởi Terry Vlisidis trên Unsplash

Vào rạng sáng ngày 22 tháng 2, cộng đồng mã hóa đột nhiên lan truyền tin đồn kinh hoàng về việc sàn giao dịch hàng đầu Bybit bị đánh cắp 1,5 tỷ USD từ "ví nóng". Sau khi kiểm tra, sự việc này được xác nhận là đúng, sau đó chi tiết của sự kiện này dần được hé lộ thông qua các nhóm kiểm toán an ninh và công bố chính thức của Bybit. Một ví đa chữ ký của Bybit đã bị hacker kiểm soát hoàn toàn và đánh cắp khoảng 1,5 tỷ USD tài sản mã hóa, chủ yếu là ETH và các Token thanh khoản gần giá trị ETH như stETH.

Tài sản bị đánh cắp là ví lạnh?

Ban đầu, tin đồn cho rằng đây là ví nóng bị đánh cắp, vì trong quá khứ, hầu hết các vụ tấn công của hacker đều nhắm vào ví nóng, việc kết nối liên tục khiến ví nóng dễ bị phơi bày trong môi trường không an toàn. Tuy nhiên, sau khi xác nhận, đối tượng bị tấn công lại là một ví lạnh của Bybit, xảy ra trong quá trình thực hiện một giao dịch chuyển tiền thường xuyên.

Điều này có nghĩa là trong một số trường hợp, ví lạnh cũng không phải là an toàn tuyệt đối?

Không mất private key, không có lỗ hổng trong mã hợp đồng đa chữ ký

Thực tế, theo báo cáo điều tra, Bybit đã tìm ra được vấn đề thực sự, họ sử dụng hợp đồng đa chữ ký Safe cho ví tiền lạnh của mình, được biết Safe trước đây có tên là Gnosis Safe, sau đổi tên thành Safe, cho đến nay đã bảo vệ hơn 100 tỷ USD tài sản trong hệ sinh thái Ethereum. Với tính bảo mật nổi bật và lịch sử an toàn, nhiều dự án, Các tổ chức tự trị phi tập trung (DAO), nền tảng giao dịch đều sử dụng phương án đa chữ ký của họ.

Trong sự cố an ninh này, vấn đề nằm ở phần giao diện người dùng (trang web hoặc ứng dụng di động) mà Bybit truy cập để khởi tạo giao dịch đa chữ ký.

Nói một cách đơn giản, hacker đã can thiệp vào trang web khởi tạo giao dịch đa chữ ký của đội ngũ Bybit, khi đội ngũ Bybit thực hiện giao dịch bình thường, hacker đã thay thế giao dịch được ký, khiến các chủ sở hữu chữ ký của Bybit ký vào một "hợp đồng bán mình", thành công nâng cấp hợp đồng đa chữ ký này thành hợp đồng độc hại do hacker chuẩn bị sẵn, tức là chính đội ngũ Bybit đã ký tên, giao ví tiền này cho hacker.

Vì vậy, private key của ví lạnh dùng để ký không bị mất và hợp đồng đa chữ ký Safe cũng không có lỗ hổng, chúng vẫn an toàn, đây không phải lỗ hổng của ngành công nghiệp crypto, bản chất là lỗ hổng của chuỗi liên kết truyền thống.

Kỹ thuật tinh vi, nhóm hacker hàng đầu

Như đề cập ở trên, hacker đã can thiệp vào trang web giao dịch ví của đội ngũ Bybit, nhưng Safe không tìm thấy vấn đề ở phía máy chủ, do đó rất có thể hacker đã lén lút cài đặt mã độc trên các thiết bị liên quan của thành viên đội ngũ Bybit từ trước, kỹ thuật can thiệp có thể là thông qua DNS, mã độc, hoặc chiếm quyền kiểm soát trình duyệt, độ phức tạp và khó khăn tương đối cao, các KOL trong lĩnh vực an ninh cho rằng kỹ thuật hack này rất tinh vi.

Nhà điều tra crypto ZachXBT và công ty phân tích blockchain Arkham hiện tin rằng có bằng chứng cho thấy cuộc tấn công này có thể do nhóm hacker Lazarus Group thực hiện, nhóm này được cho là được một số quốc gia hậu thuẫn, nổi tiếng với các cuộc tấn công vào các nền tảng tài sản crypto.

Trên các nền tảng mạng xã hội, có người đăng tải thành tích đáng kinh ngạc của nhóm hacker này: Từ năm 2017 đến 2025, họ đã lần lượt đánh cắp số lượng lớn tài sản từ nhiều nền tảng giao dịch và dự án crypto, chẳng hạn như đánh cắp 4.000 BTC từ Youbit khiến nó phải xin phá sản, đánh cắp 300 triệu USD tài sản crypto từ nền tảng Kucoin, đánh cắp 620 triệu USD tài sản crypto từ cầu nối xuyên chuỗi Ronin, và lần này số tiền bị đánh cắp lên tới 1,5 tỷ USD, lập kỷ lục mới.

Không có sự sụt giảm, thị trường crypto tương đối ổn định

Dựa trên kinh nghiệm trước đây, bất cứ khi nào xảy ra sự cố ở một số nền tảng lớn trong ngành crypto, thị trường đều bị ảnh hưởng mạnh, đôi khi chỉ là tin đồn liên quan đến các nền tảng hàng đầu cũng có thể khiến thị trường trở nên mong manh, tuy nhiên lần này với số tiền 1,5 tỷ USD, được coi là sự cố an ninh lớn nhất lịch sử, nhưng chỉ xuất hiện điều chỉnh nhỏ, hiện tại thị trường crypto đã tương đối ổn định.

Lý do thị trường crypto ổn định là vì nhiều người dự đoán thậm chí đồn đại về việc hacker sẽ gây ra sự sụt giảm lớn trên thị trường đã không xảy ra. Hiện tại, hacker chủ yếu hoạt động là chuyển đổi các Token thanh khoản như stETH sang ETH gốc. Rõ ràng, hacker chuyên nghiệp hơn nhiều so với người thường, bởi vìối với họ, ETH trên chuỗi Ethereum là an toàn nhất, chuyển đổi sang USDT hoặc USDC có thể sẽ bị đóng băng rất nhanh.

Ngoài ra, qua phân tích, tổ chức hacker này xử lý tài sản crypto rất kiên nhẫn, thậm chí còn có nhiều tài sản crypto đã đánh cắp từ nhiều năm trước vẫn chưa xử lý xong, chủ yếu là do các nền tảng giao dịch crypto ngày càng tuân thủ nhiều, quản lý càng nghiêm ngặt, cùng với tính minh bạch trên chuỗi, đã ngày càng khó rửa tiền theo cách thông thường. Do đó, dự kiến tổ chức này sẽ không bán ra thị trường trong thời gian ngắn (số lượng quá lớn, rủi ro quá cao, không ai có thể tiếp nhận), chỉ có thể xử lý từng phần một cách từ từ.

Nền tảng này đã xử lý ổn thỏa trong một đêm, không rơi vào khủng hoảng thanh khoản

Lý do thị trường crypto ổn định là vì Bybit đã xử lý ổn thỏa sau một đêm, tài khoản chính thức tiếng Trung trên X mới nhất cho biết: "Kể từ khi sự cố hacker xảy ra (10 giờ trước), Bybit đã trải qua số lượng yêu cầu rút tiền chưa từng có. Cho đến nay, chúng tôi đã nhận được hơn 350.000 yêu cầu rút tiền, còn khoảng 2.100 yêu cầu rút tiền đang được xử lý. Nhìn chung, 99,994% yêu cầu rút tiền đã được hoàn thành."

Theo lý thuyết, sự cố này tương đương với cuộc khủng hoảng thanh khoản trước đó của FTX, một tin xấu có thể khiến nền tảng không thể tiếp tục hoạt động thậm chí bị kéo xuống, nhưng với sức mạnh của nền tảng Bybit và cách xử lý ổn thỏa của đội ngũ, dường như đã lật ngược tình thế, Bybit không chỉ không rơi vào "vũng lầy" thanh khoản, mà còn nhận được "khoản vay cầu nối" từ các đối tác hợp tác, bù đắp 80% ETH bị đánh cắp, hoặc có thể nói đã giải quyết được vấn đề rút tiền, chúng tôi cũng thấy một số nền tảng chuyển nhiều stETH vào ví Bybit.

Sau sự kiện, nhiều sáng lập viên nền tảng crypto đều tuyên bố sẽ伸出援手, ngoài ra địa chỉ của hacker cũng sẽ được các nền tảng đối thủ của Bybit ghi nhãn và chặn, toàn bộ hệ sinh thái crypto và các đối tác sẽ tham gia "truy quét" các địa chỉ liên quan.

Tin đồn về việc lùi chuỗi Ethereum, xóa tài khoản hacker được coi là thật

Sau khi sự kiện xảy ra, có người trên X đùa hoặc tung tin đồn: "Vitalik tuyên bố, Quỹ Ethereum sẽ tiến hành bỏ phiếu vào tối nay để quyết định có lùi chuỗi hay xóa số ETH do hacker nắm giữ hay không."

Đáng ngạc nhiên là, nhiều người trong cộng đồng crypto đã coi những lời đùa hoặc tin đồn này là thật, nghiêm túc thảo luận về vấn đề này. Trên thực tế, mạng lưới Ethereum hiện nay liên quan rất rộng, không thể lùi chuỗi, cũng không có điều kiện lùi chuỗi, bởi vì lùi chuỗi có nghĩa là toàn bộ lịch sử giao dịch sau cuộc tấn công của hacker sẽ bị reset, như vậy từ việc thanh toán ETH spot của BlackRock tối qua đến tất cả các giao dịch rút tiền trên các CEX đều bị thu hồi, hàng nghìn người sẽ bị thiệt hại, ai sẽ chịu trách nhiệm?

Việc xóa tài khoản hacker càng là chuyện hoang đường.

Một nền tảng lớn như vậy lại không kiểm tra giao dịch nghiêm túc

Có lẽ do quá tự tin vào sự an toàn của ví lạnh và đa chữ ký, đội ngũ Bybit đã sơ suất ký vào "hợp đồng bán mình" của ví lạnh, đây là việc có thể hoàn toàn tránh được chỉ bằng cách kiểm tra nội dung giao dịch một lần.

Sự kiện này đã mang lại cho chúng ta nhiều bài học:

1) Luôn luôn phải kiểm tra kỹ lưỡng bất kỳ thao tác nào với tài sản crypto, bao gồm nhưng không giới hạn ở địa chỉ chuyển tiền, thông tin ký;

2) Không nên tin tưởng bất kỳ bên thứ ba nào, bao gồm hệ điều hành, ví lạnh, ví phần mềm, ví đa chữ ký, bất kể họ tuyên bố an toàn đến mức nào;

3) Tốt nhất không nên ký bất kỳ thông điệp nào chỉ chứa một chuỗi ký tự thập lục phân (hex);

4) Thực sự hiểu rõ về nguyên lý hoạt động của ví, crypto, như vậy mới có thể kết hợp với thao tác hàng ngày để thực hiện an toàn, giữ gìn tốt ví của mình.

Tóm lại

Dù sao đi nữa, sự việc này đã khép lại một giai đoạn, hiện tại tình hình vẫn ổn, các bên cũng tương đối bình tĩnh. Nhưng chắc chắn ảnh hưởng vẫn chưa kết thúc, thị trường crypto sẽ chú ý sát sao đến các diễn biến tiếp theo của Bybit và nhóm hacker.

Thường xuyên ở gần sông, làm sao không ướt chân? An ninh không phải chuyện nhỏ, không phải bất kỳ chủ thể bị tấn