Chuyên gia bảo mật Bit cho biết, điều này có vẻ giống với phương thức thường được các hacker Bắc Triều Tiên sử dụng, dẫn đến nhiều ví đa chữ ký bị hack. Ông cũng cung cấp trường hợp Radiant Capital bị hack trước đây để giải thích về cách thức có thể bị đánh cắp.

(Bybit bị hack số tiền khổng lồ! Ví lạnh bị tấn công, hơn 1,4 tỷ USD bị rò rỉ?)

Bybit 遭駭事件的可能攻擊途徑曝光

Gần đây, Bybit đã bị hack, dẫn đến Vốn trong ví lạnh ETH bị đánh cắp. Chuyên gia bảo mật cho biết, phương thức tấn công lần này có thể tương tự như vụ tấn công 50 triệu USD vào Radiant Capital vào tháng 10/2024, cả hai đều liên quan đến việc kẻ tấn công kiểm soát giao diện ký nhiều chữ ký (Multisig) của ví, từ đó giành được quyền chuyển tiền không được ủy quyền. Loại tấn công này rất tinh vi, khó phát hiện ngay cả khi đã trải qua nhiều lớp xác thực, gây ra thách thức nghiêm trọng cho các sàn giao dịch tiền mã hóa và các giao thức DeFi.

Phương thức tấn công: Kiểm soát quá trình ký giao dịch của ví phần cứng

Dựa trên phân tích vụ việc Radiant Capital, hacker chủ yếu thực hiện tấn công thông qua các bước sau:

1. Nhiễm phần mềm độc hại vào thiết bị của nhà phát triển: Hacker sử dụng phần mềm độc hại để nhiễm vào ba thiết bị của các nhà phát triển cốt lõi của Radiant Capital, từ đó ảnh hưởng đến quy trình giao dịch đa chữ ký.
2. Thay đổi giao diện hiển thị: Khi nhà phát triển sử dụng Gnosis Safe (nay được đổi tên thành Safe) để ký giao dịch, hacker khiến giao diện hiển thị nội dung giao dịch bình thường, nhưng thực tế lại gửi yêu cầu giao dịch độc hại.
3. Lừa ký đi ký lại: Hacker mô phỏng thông báo giao dịch thất bại trên giao diện, lừa nhà phát triển thử ký lại nhiều lần, từ đó thu thập đủ ủy quyền đa chữ ký.
4. Cuối cùng là đánh cắp tài sản: Khi hacker đã có đủ ủy quyền đa chữ ký, họ có thể thực hiện chuyển tài sản hoặc thay đổi chủ sở hữu hợp đồng thông minh, cuối cùng chuyển tiền vào địa chỉ do họ kiểm soát.

Loại tấn công này rất khó phát hiện, vì hacker đã thành công lừa các công cụ xác thực giao diện (như Tenderly) và cơ chế ký của ví phần cứng, khiến việc ký giao dịch trông hoàn toàn bình thường.

Bybit có thể bị tấn công bằng cùng một phương thức?

Vụ hack Bybit có nhiều điểm tương đồng với phương thức tấn công Radiant Capital, đặc biệt là giao diện hiển thị bình thường nhưng logic cơ bản bị thay đổi. Bybit tiết lộ rằng, trong quá trình chuyển tài sản từ ví lạnh sang ví nóng, nội dung giao dịch của họ đã bị hacker thay đổi, dẫn đến tài sản cuối cùng bị chuyển đến địa chỉ không xác định. Điều này hoàn toàn giống với cách hacker kiểm soát giao diện Safe, khiến nhà phát triển vô tình ký vào giao dịch độc hại trong vụ Radiant Capital.

Ngoài ra, dựa trên dữ liệu trên chuỗi, sau khi Bybit bị hack, khoảng 1,4 tỷ USD ETH và stETH đã chảy ra ngoài, một phần tài sản đã bắt đầu được biến thành tiền mặt, điều này càng chứng minh đây có thể là một cuộc tấn công được lên kế hoạch kỹ lưỡng và tinh vi.

Hacker đã thành công vượt qua xác thực bảo mật như thế nào?

Yếu tố then chốt giúp các cuộc tấn công này thành công là "kỹ thuật khai thác xã hội + lừa ký giao dịch", hacker đã vượt qua các biện pháp bảo mật hiện có bằng các cách sau:

• Lợi dụng sai sót trong môi trường đa chữ ký: Trong vụ Radiant Capital, hacker đã lợi dụng thông báo lỗi của giao diện Safe để khiến nhà phát triển liên tục ký giao dịch, cuối cùng thu thập đủ chữ ký độc hại. Bybit có thể cũng gặp tình huống tương tự, dẫn đến hacker giành được quyền ký chủ chốt.
• Ký giao dịch mù (Blind Signing) của ví phần cứng: Trong vụ Radiant Capital, hacker đã thành công khiến nhà phát triển ký vào giao dịch độc hại bằng ví Ledger/Trezor, nhưng trên giao diện họ lại thấy nội dung giao dịch bình thường. Điều này cho thấy, ngay cả ví phần cứng cũng không thể hoàn toàn tránh khỏi loại tấn công này.
• Chuyển quyền sở hữu hợp đồng thông minh: Trong vụ Radiant Capital, hacker cuối cùng đã giành được quyền sở hữu LendingPoolAddressesProvider (nhà cung cấp địa chỉ pool cho vay), từ đó tiến hành các hoạt động độc hại trên giao thức. Nếu Bybit gặp tấn công tương tự, hacker có thể đã thay đổi quyền sở hữu hợp đồng thông minh, khiến sàn giao dịch khó có thể thu hồi tài sản.

Làm thế nào để phòng tránh các cuộc tấn công tương tự?

Các chuyên gia khuyến cáo rằng, để tránh các cuộc tấn công đa chữ ký tinh vi và khó phát hiện này, các sàn giao dịch và dự án DeFi nên áp dụng các biện pháp phòng ngừa sau:

1. Tăng cường xác thực chữ ký nhiều lớp: Nếu bất kỳ người ký nào gặp lỗi hoặc bất thường trong quá trình giao dịch, phải ngay lập tức kích hoạt cơ chế kiểm tra khẩn cấp, thay vì chỉ ký lại.
2. Xác thực thiết bị độc lập: Sử dụng thiết bị an toàn độc lập để xác nhận dữ liệu giao dịch, ví dụ như kiểm tra nội dung giao dịch có bị thay đổi thông qua Etherscan's Input Data Decoder.
3. Tránh ký mù: Tất cả các giao dịch quan trọng phải được xác nhận thông qua hiển thị dữ liệu có thể đọc được trên ví phần cứng Ledger/Trezor, tránh ký mù (Blind Signing).
4. Kích hoạt cơ chế kiểm toán khi có lỗi: Nếu một giao dịch bị lỗi nhiều lần, phải tiến hành kiểm toán toàn diện ngay lập tức, thay vì để người dùng tiếp tục thử ký.
5. Trì hoãn giao dịch và khóa thời gian (Timelock): Đối với các giao dịch quan trọng, phải áp dụng trì hoãn 72 giờ để cộng đồng và đội ngũ phát triển có đủ thời gian để kiểm tra.

An ninh DeFi vẫn đối mặt với thách thức lớn

Vụ tấn công vào Bybit đã làm nổi bật rủi ro lỗ hổng ký nhiều chữ ký và ký bằng ví phần cứng, loại tấn công này không phải là trường hợp đơn lẻ, vụ việc Radiant Capital là một ví dụ điển hình. Ngay cả khi sử dụng ký nhiều chữ ký, ví phần cứng và công cụ mô phỏng giao dịch (như Tenderly), tin tặc vẫn có thể lừa gạt thành công hệ thống và đánh cắp số tiền lớn.

Điều này một lần nữa nhắc nhở tất cả các dự án DeFi và sàn giao dịch rằng, chỉ dựa vào các công cụ kỹ thuật đã không đủ, cần phải kết hợp với cơ chế kiểm tra và xác minh nghiêm ngặt hơn. Trong tương lai, các sàn giao dịch và giao thức DeFi phải càng thận trọng hơn, tránh trở thành mục tiêu tấn công tiếp theo.