Bybit bị đánh cắp gần 1,5 tỷ đô la Mỹ. Hacker Triều Tiên đã thực hiện vụ trộm lớn nhất trong lịch sử loài người như thế nào?

avatar
Wu Blockchain
02-21
Bài viết này được dịch máy
Xem bản gốc
Dưới đây là bản dịch tiếng Việt của nội dung:

Biên tập | Wusuo Blockchain

Vào tối ngày 21 tháng 2 theo giờ Bắc Kinh, nhà thám tử chuỗi ZachXBT đầu tiên tiết lộ rằng đã phát hiện hơn 1,46 tỷ USD tiền đáng ngờ chảy ra khỏi Bybit, với mETH và stETH hiện đang được trao đổi trên DEX để đổi lấy ETH. Có thể khẳng định đây là vụ trộm lớn nhất trong lịch sử tiền điện tử (tính theo giá trị thời điểm đó).

Giám đốc của Coinbase, Conor Grogan, cho biết cuộc tấn công của Triều Tiên vào Bybit là vụ trộm lớn nhất từ trước đến nay (vượt qua vụ trộm Ngân hàng Trung ương Iraq, khoảng 1 tỷ USD) với số tiền khoảng 10 lần vụ tấn công DAO năm 2016 (nhưng tỷ lệ phần trăm cung ứng lại cao hơn nhiều). Dự kiến sẽ có một số tiếng nói kêu gọi hard fork Ethereum.

Arkham đăng tweet cho biết nhà phân tích chuỗi ZachXBT đã cung cấp bằng chứng xác thực, chứng minh cuộc tấn công 1,5 tỷ USD vào Bybit do nhóm hacker Lazarus do Triều Tiên hậu thuẫn thực hiện. Báo cáo của anh ta bao gồm phân tích chi tiết về các giao dịch thử nghiệm, ví liên quan, biểu đồ forensic và phân tích thời gian. Thông tin liên quan đã được chia sẻ với Bybit để hỗ trợ điều tra.

CEO Bybit BEN đăng tweet cho biết khoảng 1 giờ trước, ví lạnh ETH đa chữ ký của Bybit vừa chuyển tiền vào ví nóng của chúng tôi. Có vẻ như giao dịch này là giả mạo, tất cả các chữ ký đều thấy giao diện người dùng giả mạo, hiển thị địa chỉ chính xác, URL từ SAFE. Tuy nhiên, thông tin chữ ký là để thay đổi logic hợp đồng thông minh của ví lạnh ETH của chúng tôi. Điều này khiến hacker kiểm soát được ví lạnh ETH cụ thể mà chúng tôi đã ký, và chuyển toàn bộ ETH trong ví lạnh đến một địa chỉ chưa xác định. Xin lưu ý rằng tất cả các ví lạnh khác đều an toàn. Tất cả các lệnh rút tiền đều diễn ra bình thường. Tôi sẽ cập nhật thêm thông tin cho các bạn khi có, nếu có bất kỳ nhóm nào có thể giúp chúng tôi truy tìm số tiền bị đánh cắp, chúng tôi sẽ rất biết ơn. Ví nóng, ví ấm và tất cả các ví lạnh khác của Bybit đều an toàn. Chỉ có ví lạnh ETH bị hacker tấn công.

Bybit chính thức đăng tweet cho biết, Bybit đã phát hiện một hoạt động chưa được ủy quyền liên quan đến một trong những ví lạnh ETH của chúng tôi. Khi sự kiện xảy ra, ví lạnh ETH đa chữ ký của chúng tôi đã thực hiện một giao dịch chuyển tiền vào ví nóng của chúng tôi. Đáng tiếc, giao dịch này đã bị thao túng thông qua một cuộc tấn công phức tạp, che giấu giao diện chữ ký và hiển thị địa chỉ chính xác, đồng thời thay đổi logic hợp đồng thông minh cơ bản. Do đó, kẻ tấn công có thể kiểm soát ví lạnh ETH bị ảnh hưởng và chuyển tài sản của nó đến một địa chỉ chưa xác định. Nhóm an ninh của chúng tôi đang tích cực điều tra sự cố này cùng với các chuyên gia forensic blockchain hàng đầu và các đối tác. Chúng tôi hoan nghênh bất kỳ nhóm nào có chuyên môn về phân tích chuỗi khối và thu hồi tài sản để hỗ trợ chúng tôi trong việc truy tìm những tài sản này. Chúng tôi muốn đảm bảo với khách hàng và đối tác của mình rằng tất cả các ví lạnh Bybit khác đều hoàn toàn an toàn. Tất cả các khoản tiền của khách hàng đều an toàn và hoạt động của chúng tôi vẫn diễn ra bình thường, không bị gián đoạn. Tính minh bạch và an toàn vẫn là ưu tiên hàng đầu của chúng tôi và chúng tôi sẽ cung cấp cập nhật sớm nhất.

Bybit cho biết, tất cả các ví lạnh Bybit khác đều an toàn và tiền của khách hàng không bị ảnh hưởng và vẫn an toàn. Chúng tôi hiểu rằng tình hình hiện tại dẫn đến việc yêu cầu rút tiền tăng vọt. Mặc dù số lượng lớn như vậy có thể dẫn đến chậm trễ, nhưng tất cả các lệnh rút tiền đều đang được xử lý bình thường. Bybit có đủ tài sản để bù đắp khoản tổn thất, với quy mô tài sản quản lý trên 20 tỷ USD, và sẽ sử dụng khoản vay cầu nối nếu cần để đảm bảo khả dụng của tiền của người dùng.

Giám đốc Coinbase Conor Grogan đăng tweet cho biết, Binance và Bitget vừa trực tiếp gửi hơn 50.000 ETH vào ví lạnh của Bybit, trong đó khoản gửi của Bitget đặc biệt đáng chú ý, chiếm một phần tư tổng số ETH của sàn này. Vì đã bỏ qua địa chỉ gửi tiền, rõ ràng những khoản tiền này được Bybit tự sắp xếp. CEO Bybit Ben Zhou cho biết: Cảm ơn Bitget đã伸出援手trong thời điểm này, chúng tôi đang liên lạc với Binance và một số đối tác khác, khoản tiền này không liên quan đến chính thức của Binance.

CEO Bitget Gracy cho biết, Bybit là đối thủ và đối tác đáng kính trọng, mặc dù thiệt hại lần này rất lớn, nhưng cũng chỉ bằng một năm lợi nhuận của họ, tôi tin rằng tiền của khách hàng 100% an toàn, không cần phải hoảng sợ và rút tiền. Ngoài ra, Gracy cho biết số tiền cho vay Bybit là tài sản của chính Bitget, không phải tài sản của người dùng.

Nhóm SlowMist bổ sung một số chi tiết, kẻ tấn công đã triển khai một hợp đồng thực hiện độc hại, sau đó thông qua việc ký giao dịch của ba chủ sở hữu, đã thay thế hợp đồng thực hiện của Safe bằng hợp đồng độc hại, sử dụng các tính năng hậu môn sweepETH và sweepERC20 trong hợp đồng độc hại để làm sạch tiền trong ví nóng.

Phân tích Dilation Effect chỉ ra rằng, so với một số sự kiện tương tự trước đây, vụ việc Bybit chỉ cần chiếm được một chữ ký là có thể hoàn thành cuộc tấn công này, vì kẻ tấn công đã sử dụng một kỹ thuật "kỹ thuật xã hội". Phân tích các giao dịch trên chuỗi cho thấy, kẻ tấn công đã thực hiện một hàm transfer thông qua delegatecall để thực thi một hợp đồng độc hại, mã transfer sử dụng chỉ thị SSTORE để thay đổi giá trị của slot 0, từ đó thay đổi địa chỉ thực hiện của hợp đồng đa chữ ký Bybit thành địa chỉ của kẻ tấn công. Chỉ cần xử lý được người/thiết bị khởi tạo giao dịch đa chữ ký này, các người duyệt khác khi thấy giao dịch transfer sẽ giảm cảnh giác rất nhiều, vì bình thường người ta chỉ nghĩ đó là giao dịch chuyển tiền, ai ngờ đó lại là thay đổi hợp đồng.

Dữ liệu Chainlink cho thấy, sau khi vụ an ninh Bybit được tiết lộ, USDe một度闪崩至 $0.965 trước khi hồi về $0.99. Bybit đã tích hợp USDe làm tài sản thế chấp để giao dịch các hợp đồng tương lai vĩnh viễn trên sàn UTA. ethena_labs đăng bài cho biết, họ đã theo dõi tình hình hiện tại của Bybit và sẽ tiếp tục theo dõi diễn biến. Tất cả các tài sản giao dịch spot hỗ trợ USDe đều được lưu trữ trong các giải pháp lưu trữ ngoài sàn, bao gồm hợp tác với Bybit thông qua Copper Clearloop. Hiện tại, không có tài sản giao dịch spot nào được lưu trữ trên bất kỳ sàn giao dịch nào. Tổng số PNL chưa thực hiện liên quan đến vị thế phòng ngừa với Bybit dưới 30 triệu USD, thấp hơn một nửa quỹ dự trữ. USDe hiện vẫn duy trì mức đảm bảo đầy đủ và sẽ cung cấp cập nhật dựa trên thông tin mới nhất.

Đồng sáng lập Binance CZ phản hồi rằng đây không phải là tình huống dễ xử lý, có thể sẽ đề xuất tạm dừng tất cả các lệnh rút tiền như một biện pháp phòng ngừa an toàn tiêu chuẩn, và sẽ cung cấp bất kỳ sự hỗ trợ nào nếu cần. He Yi cho biết sẵn sàng hỗ trợ.

Nhóm an ninh của Safe cho biết đang hợp tác chặt chẽ với Bybit để tiến hành điều tra liên tục. Hiện chưa phát hiện bằng chứng về việc giao diện chính thức của Safe bị tấn công, nhưng vì lý do thận trọng, một số chức năng của Ví Safe tạm thời bị tạm dừng. Luo Xun của SlowMist cho rằng, tương tự như vụ việc trước đây của Radiant Capital, có thể cũng là do nhóm hacker Triều Tiên gây ra. Radiant Capital cho biết, vụ tấn công trị giá 50 triệu USD vào tháng 10 của họ có liên quan đến nhóm hacker Triều Tiên, bao gồm giả mạo danh tính phức tạp và nhiều lớp tấn công lừa đảo.

Các chuyên gia an ninh cho rằng, điều này tương tự như trường hợp của WazirX và Radiant, máy tính hoặc giao diện trung gian của người ký đã bị hacker tấn công. Nguyên nhân khả dĩ của cuộc tấn công này như sau: Hacker cài malware vào máy tính/trình duyệt của người ký, thay thế giao dịch bằ

Bybit cho biết sẽ không mua ETH ngay lập tức mà sẽ dựa vào các đối tác cung cấp khoản vay cầu nối. Điều này sẽ đảm bảo tất cả người dùng đều có thể rút tiền, nhưng do lưu lượng gấp 100 lần bình thường nên sẽ cần một chút thời gian để xử lý và cần xác nhận rủi ro đối với các khoản rút tiền lớn.

Dilation Effect chỉ ra rằng ví phần cứng thông thường kết hợp với cơ chế ký nhiều chữ ký của Safe đã không thể đáp ứng nhu cầu quản lý an toàn cho các khoản tiền lớn. Nếu kẻ tấn công có đủ kiên nhẫn để xử lý nhiều chữ ký, thì toàn bộ quá trình sẽ không có biện pháp bảo vệ an toàn nào khác. Quản lý an toàn cho các khoản tiền lớn nhất định phải sử dụng các giải pháp lưu ký cấp tổ chức.

Theo dữ liệu của DefiLlama, tổng lượng rút khỏi Bybit trong 24 giờ qua, bao gồm cả số tiền bị hack, là 2,399 tỷ USD. Hiện tại, tài sản có thể kiểm chứng trên nền tảng của Bybit vượt quá 14 tỷ USD, trong đó Bitcoin và USDT chiếm gần 70%. Bybit thông báo đã báo cáo vụ việc cho các cơ quan có thẩm quyền và sẽ cung cấp thêm thông tin sau khi có được nhiều thông tin hơn. Ngoài ra, hợp tác với các nhà cung cấp phân tích chuỗi khối đã giúp xác định và tách biệt các địa chỉ liên quan, nhằm giảm khả năng những kẻ gây hại có thể xử lý ETH trên thị trường hợp pháp.

Sự kiện này có thể dẫn đến thảo luận về việc hard fork Ethereum. Conor Grogan cho rằng mặc dù ông cho rằng tiếng gọi hard fork quá khích, nhưng ông dự đoán sẽ có một cuộc tranh luận thực sự về vấn đề này. Arthur Hayes, với tư cách là một nhà đầu tư持有lượng lớn Ethereum, cho rằng Ethereum đã không còn là "tiền tệ" kể từ sau vụ hack DAO vào năm 2016. Ông nói rằng nếu cộng đồng quyết định lại tiến hành rollback, ông sẽ ủng hộ quyết định đó, vì vào năm 2016 cộng đồng đã bỏ phiếu chống lại tính bất biến, vậy tại sao không làm điều đó một lần nữa.

Nguồn
Tuyên bố từ chối trách nhiệm: Nội dung trên chỉ là ý kiến của tác giả, không đại diện cho bất kỳ lập trường nào của Followin, không nhằm mục đích và sẽ không được hiểu hay hiểu là lời khuyên đầu tư từ Followin.
Thích
5
Thêm vào Yêu thích
4
Bình luận
Nội dung liên quan
Followin logo
loading indicator
Loading..