Gần 1,5 tỷ đô la Mỹ đã bị đánh cắp từ Bybit , vụ trộm lớn nhất trong lịch sử loài người. Hacker Triều Tiên đã làm điều đó như thế nào?

avatar
ChainCatcher
02-22
Bài viết này được dịch máy
Xem bản gốc
Dưới đây là bản dịch tiếng Việt của nội dung trên:

Biên tập | Wusuo Blockchain

Vào tối ngày 21 tháng 2 theo giờ Bắc Kinh, nhà thám tử chuỗi ZachXBT đầu tiên tiết lộ rằng đã phát hiện hơn 1,46 tỷ USD có dấu hiệu nghi ngờ đã rời khỏi Bybit, với mETH và stETH hiện đang được trao đổi trên DEX để chuyển đổi thành ETH. Có thể khẳng định đây là vụ trộm lớn nhất trong lịch sử tiền điện tử (tính theo giá trị tại thời điểm đó).

Giám đốc của Coinbase, Conor Grogan, cho biết cuộc tấn công của Triều Tiên vào Bybit là vụ trộm lớn nhất từ trước đến nay (vượt qua vụ trộm Ngân hàng Trung ương Iraq, khoảng 1 tỷ USD) với giá trị khoảng 10 lần vụ tấn công DAO năm 2016 (nhưng tỷ lệ phần trăm cung ứng lại cao hơn nhiều). Dự kiến sẽ có một số tiếng nói kêu gọi hard fork Ethereum.

Arkham đã đăng trên Twitter rằng nhà phân tích chuỗi ZachXBT đã cung cấp bằng chứng xác thực, chứng minh cuộc tấn công 1,5 tỷ USD vào Bybit được thực hiện bởi nhóm hacker Lazarus do Triều Tiên hậu thuẫn. Bài đăng của anh ta bao gồm phân tích chi tiết về các giao dịch thử nghiệm, ví liên quan, biểu đồ điều tra và phân tích thời gian. Thông tin liên quan đã được chia sẻ với Bybit để hỗ trợ điều tra.

CEO Bybit BEN đã đăng trên Twitter rằng khoảng 1 giờ trước, ví lạnh ETH đa chữ ký của Bybit vừa chuyển tiền vào ví nóng của chúng tôi. Có vẻ như giao dịch này là giả mạo, tất cả các chủ ký đều thấy giao diện người dùng giả mạo, hiển thị địa chỉ chính xác, URL từ SAFE. Tuy nhiên, thông tin ký là để thay đổi logic hợp đồng thông minh của ví lạnh ETH của chúng tôi. Điều này khiến hacker kiểm soát được ví lạnh ETH cụ thể mà chúng tôi đã ký, và chuyển toàn bộ ETH trong ví lạnh sang một địa chỉ chưa xác định. Xin lưu ý rằng tất cả các ví lạnh khác đều an toàn. Tất cả các lệnh rút tiền đều bình thường. Tôi sẽ cập nhật thêm thông tin khi có, và nếu có bất kỳ đội nào có thể giúp chúng tôi truy tìm số tiền bị đánh cắp, chúng tôi sẽ rất biết ơn.

Bybit cho biết trên Twitter chính thức rằng, Bybit đã phát hiện ra hoạt động trái phép liên quan đến một trong những ví lạnh ETH của chúng tôi. Khi sự việc xảy ra, ví lạnh ETH đa chữ ký của chúng tôi đã thực hiện một giao dịch chuyển tiền vào ví nóng của chúng tôi. Đáng tiếc, giao dịch này đã bị một cuộc tấn công phức tạp thao túng, che giấu giao diện ký, hiển thị địa chỉ chính xác, đồng thời thay đổi logic hợp đồng thông minh cơ bản. Do đó, kẻ tấn công có thể kiểm soát ví lạnh ETH bị ảnh hưởng và chuyển tài sản của nó sang một địa chỉ chưa xác định. Nhóm an ninh của chúng tôi đang tích cực điều tra sự việc này cùng với các chuyên gia giám định chuỗi khối hàng đầu và các đối tác. Chúng tôi hoan nghênh bất kỳ đội nào có chuyên môn về phân tích chuỗi khối và thu hồi tài sản để hỗ trợ truy tìm những tài sản này. Chúng tôi muốn đảm bảo với khách hàng và đối tác của mình rằng tất cả các ví lạnh Bybit khác đều hoàn toàn an toàn. Tất cả các khoản tiền của khách hàng đều an toàn và hoạt động của chúng tôi vẫn diễn ra bình thường, không bị gián đoạn. Tính minh bạch và an toàn vẫn là ưu tiên hàng đầu của chúng tôi và chúng tôi sẽ cung cấp cập nhật sớm nhất.

Bybit cho biết tất cả các ví lạnh Bybit khác đều an toàn và tiền của khách hàng không bị ảnh hưởng và vẫn an toàn. Chúng tôi hiểu rằng tình hình hiện tại đã dẫn đến việc yêu cầu rút tiền tăng vọt. Mặc dù số lượng lớn như vậy có thể dẫn đến chậm trễ, nhưng tất cả các lệnh rút tiền đều đang được xử lý bình thường. Bybit có đủ tài sản để bù đắp khoản tổn thất, với quy mô tài sản quản lý vượt quá 20 tỷ USD, và sẽ sử dụng khoản vay cầu nối nếu cần để đảm bảo khả năng tiếp cận của tiền của người dùng.

Giám đốc Coinbase, Conor Grogan, đã đăng trên Twitter rằng Binance và Bitget vừa trực tiếp gửi hơn 50.000 ETH vào ví lạnh của Bybit, trong đó khoản gửi của Bitget đặc biệt đáng chú ý, chiếm một phần tư tổng số ETH của sàn giao dịch này. Do bỏ qua địa chỉ gửi tiền, rõ ràng những khoản tiền này được Bybit tự phối hợp. CEO Bybit Ben Zhou cho biết: Cảm ơn Bitget đã伸出援手trong thời điểm này, chúng tôi đang liên lạc với Binance và một số đối tác khác, khoản tiền này không liên quan đến chính thức của Binance.

CEO Bitget Gracy cho biết, Bybit là đối thủ và đối tác đáng kính trọng, mặc dù thiệt hại lần này rất lớn, nhưng cũng chỉ bằng lợi nhuận một năm của họ, tôi tin rằng tiền của khách hàng 100% an toàn, không cần phải hoảng sợ và rút tiền. Ngoài ra, Gracy cho biết số tiền cho vay Bybit là tài sản của chính Bitget, không phải tài sản của người dùng.

Nhóm SlowMist bổ sung một số chi tiết, kẻ tấn công đã triển khai một hợp đồng thực hiện độc hại, sau đó thông qua việc ký giao dịch của ba chủ sở hữu, đã thay thế hợp đồng thực hiện của Safe bằng hợp đồng độc hại, lợi dụng tính năng hậu môn sweepETH và sweepERC20 trong hợp đồng độc hại để làm sạch tài sản trong ví nóng.

Dilation Effect phân tích chỉ ra rằng, so với một số sự kiện tương tự trước đây, vụ việc Bybit chỉ cần chiếm được chữ ký của một người ký là có thể hoàn thành cuộc tấn công này, vì kẻ tấn công đã sử dụng một kỹ thuật "kỹ thuật xã hội". Phân tích các giao dịch trên chuỗi cho thấy, kẻ tấn công đã thực hiện delegatecall để thực thi hàm transfer của một hợp đồng độc hại, mã transfer sử dụng chỉ thị SSTORE để thay đổi giá trị của slot 0, từ đó thay đổi địa chỉ thực hiện của hợp đồng đa chữ ký Bybit thành địa chỉ của kẻ tấn công. Chỉ cần xử lý được người/thiết bị khởi tạo giao dịch đa chữ ký này, các người duyệt khác nhìn thấy giao dịch transfer sẽ giảm đáng kể cảnh giác, vì người bình thường nghĩ đó chỉ là chuyển tiền, không biết rằng đó lại là thay đổi hợp đồng.

Dữ liệu Chainlink cho thấy, sau khi vụ an ninh Bybit được tiết lộ, USDe đã giảm sốc xuống 0,965 USD trước khi hồi về 0,99 USD. Bybit đã tích hợp USDe làm tài sản thế chấp để giao dịch các hợp đồng tương lai vĩnh viễn trên sàn giao dịch UTA. ethena_labs đã đăng rằng họ đã theo dõi tình hình hiện tại của Bybit và sẽ tiếp tục theo dõi diễn biến. Tất cả các tài sản giao dịch spot hỗ trợ USDe đều được lưu trữ trong các giải pháp lưu ký ngoài sàn, bao gồm hợp tác với Bybit thông qua Copper Clearloop. Hiện tại, không có tài sản giao dịch spot nào được lưu trữ trên bất kỳ sàn giao dịch nào. Tổng số PNL chưa thực hiện liên quan đến vị thế phòng ngừa với Bybit dưới 30 triệu USD, thấp hơn một nửa quỹ dự trữ. USDe hiện vẫn duy trì mức đảm bảo đầy đủ và sẽ cung cấp cập nhật dựa trên thông tin mới nhất.

Đồng sáng lập Binance CZ đã phản hồi rằng đây không phải là tình huống dễ xử lý, có thể sẽ đề xuất tạm dừng tất cả các lệnh rút tiền như một biện pháp phòng ngừa an toàn tiêu chuẩn, và sẽ cung cấp bất kỳ sự hỗ trợ nào nếu cần. He Yi cho biết sẵn sàng hỗ trợ.

Nhóm an ninh của Safe cho biết đang hợp tác chặt chẽ với Bybit để tiến hành điều tra liên tục. Hiện chưa phát hiện bằng chứng về việc giao diện chính thức của Safe bị tấn công, nhưng vì lý do thận trọng, Ví Safe tạm thời ngừng một số chức năng. Luo Xun của SlowMist cho rằng, tương tự như vụ việc trước đây của Radiant Capital, có thể cũng là do nhóm hacker Triều Tiên đánh cắp. Radiant Capital cho biết, vụ tấn công trị giá 50 triệu USD vào tháng 10 của họ có liên quan đến nhóm hacker Triều Tiên, bao gồm giả mạo danh tính phức tạp và nhiều lớp tấn công lừa đảo. Kẻ tấn công giả danh là nhà thầu trước đây, sử dụng kỹ thuật kỹ thuật xã hội để lấy được thông tin đăng nhập nhạy cảm, từ đó xâm nhập vào hệ thống giao thức để thực hiện tấn công.

Các nhà phân tích an ninh cho rằng, điều này tương tự như trường hợp WazirX và Radiant, máy tính hoặc giao diện trung gian của người ký bị hacker tấn công, nguyên nhân có thể như sau: Hacker cài malware vào máy tính/trình duyệt của người ký, thay thế giao dịch

Bybit cho biết sẽ không mua ETH ngay lập tức mà sẽ dựa vào các đối tác cung cấp khoản vay cầu nối. Điều này sẽ đảm bảo tất cả người dùng đều có thể rút tiền, nhưng do lưu lượng gấp 100 lần bình thường nên sẽ cần một chút thời gian để xử lý và cần thực hiện một số xác minh rủi ro đối với các khoản rút tiền lớn.

Dilation Effect chỉ ra rằng ví phần cứng thông thường kết hợp với cơ chế ký nhiều chữ ký của Safe đã không thể đáp ứng nhu cầu quản lý an toàn cho các khoản tiền lớn. Nếu kẻ tấn công có đủ kiên nhẫn để xử lý nhiều chữ ký, thì toàn bộ quá trình sẽ không có biện pháp bảo vệ an toàn bổ sung nào. Quản lý an toàn cho các khoản tiền lớn nhất định phải sử dụng các giải pháp lưu ký cấp tổ chức.

Theo dữ liệu của DefiLlama, tổng lượng rút khỏi Bybit trong 24 giờ qua, bao gồm cả số tiền bị hacker đánh cắp, là 2,399 tỷ USD. Hiện tại, tài sản có thể kiểm chứng trên nền tảng của Bybit vượt quá 14 tỷ USD, trong đó Bitcoin và USDT chiếm gần 70%. Bybit thông báo đã báo cáo vụ việc cho các cơ quan có thẩm quyền và sẽ cung cấp thông tin cập nhật khi có thêm thông tin. Ngoài ra, hợp tác với các nhà cung cấp phân tích chuỗi khối đã giúp xác định và tách biệt các địa chỉ liên quan, nhằm giảm khả năng những kẻ gây hại có thể xử lý ETH trên thị trường hợp pháp.

Sự kiện này có thể dẫn đến thảo luận về việc hard fork Ethereum. Conor Grogan cho biết, mặc dù ông cho rằng tiếng gọi hard fork quá khích, nhưng ông dự đoán sẽ có một cuộc tranh luận thực sự về vấn đề này. Arthur Hayes, với tư cách là nhà đầu tư持有lượng lớn Ethereum, cho rằng Ethereum không còn là "tiền tệ" kể từ sau vụ hack DAO vào năm 2016. Ông nói rằng nếu cộng đồng quyết định lại tiến hành roll back, ông sẽ ủng hộ quyết định này, vì vào năm 2016 cộng đồng đã bỏ phiếu chống lại tính bất biến, vậy tại sao không làm điều đó một lần nữa?

Nguồn
Tuyên bố từ chối trách nhiệm: Nội dung trên chỉ là ý kiến của tác giả, không đại diện cho bất kỳ lập trường nào của Followin, không nhằm mục đích và sẽ không được hiểu hay hiểu là lời khuyên đầu tư từ Followin.
Thích
Thêm vào Yêu thích
Bình luận
Nội dung liên quan
Followin logo
loading indicator
Loading..