Tóm tắt vụ việc

Vào tối ngày 21 tháng 2 năm 2025 (giờ Bắc Kinh), Sàn giao dịch Bybit đã bị tấn công bởi một nhóm APT, giả mạo "ký kết mù" để vượt qua cơ chế ký nhiều chữ ký, dẫn đến mất gần 1,5 tỷ USD từ ví lạnh. Tính đến 8 giờ sáng ngày 22 (giờ Bắc Kinh), tài sản bị đánh cắp đã được phân bổ trên 51 địa chỉ.

Bit Jungle, một công ty chuyên về truy vết trong ngành, đã sử dụng dữ liệu công khai để tiết lộ toàn cảnh cuộc tấn công của hacker.

Tiết lộ 1: Phương thức tấn công của hacker

1. Hacker đã sử dụng cuộc tấn công APT để giành quyền truy cập vào máy tính của nhân viên Bybit

2. Hacker âm thầm quan sát quá trình chuyển tiền của Bybit trong thời gian dài

3. Hacker triển khai hợp đồng Safe độc hại: 0xbdd077f651ebe7f7b3ce16fe5f2b025be2969516

4. Giả mạo giao diện giao dịch Safe, lừa nhân viên Bybit ký nhiều chữ ký, thay thế hợp đồng thực thi bằng hợp đồng độc hại

5. Sử dụng hợp đồng độc hại để chuyển tài sản khỏi ví lạnh

Tiết lộ 2: Chuyển dịch và lắng đọng vốn, cũng như hình ảnh của kẻ tấn công

Tính đến 8 giờ sáng ngày 22 (giờ Bắc Kinh), tài sản bị đánh cắp đã được phân bổ trên 51 địa chỉ (các địa chỉ màu vàng trong hình)

Đồng thời, theo thông tin mới nhất, các khoản tiền bị đánh cắp từ Bybit đã được trộn lẫn với các khoản tiền rút từ địa chỉ hacker ban đầu của Phemex và chuyển đến cùng một địa chỉ, địa chỉ này đã được sử dụng từ tháng 11 năm 2024 và thực hiện nhiều giao dịch trao đổi và chuyển chuỗi, chứng minh rằng đây cũng là địa chỉ của hacker Triều Tiên;

Tiết lộ 3: Các rủi ro tài chính thứ cấp có thể xảy ra

1. Việc hacker bán tháo hoặc tâm lý hoảng loạn của người dùng có thể dẫn đến rút tiền ồ ạt, khiến Bybit phải đối mặt với áp lực về dòng tiền, cần có biện pháp khẩn cấp để ổn định niềm tin.

2. ETH là một tài sản có tính biến động cao, giá của nó chịu ảnh hưởng đáng kể từ tâm lý thị trường, cung cầu và các yếu tố vĩ mô. Vụ việc bị đánh cắp này có thể dẫn đến biến động giá ETH, gây ra thêm thiệt hại.

Tiết lộ 4: Các biện pháp phòng ngừa

1. Đào tạo nhân viên để nâng cao khả năng phòng vệ chống lại các cuộc tấn công lừa đảo mạng cao cấp và kỹ thuật khai thác xã hội, giảm thiểu rủi ro an ninh mạng từ bên trong.

2. Tách biệt mạng và thiết bị, sử dụng máy chuyên dụng, các máy móc quan trọng hoặc liên quan đến tài chính nên được tách biệt với máy tính văn phòng hoặc máy tính cá nhân, giảm bề mặt tấn công.

3. Phân tán tài sản vào nhiều ví lạnh, giảm thiểu ảnh hưởng khi một điểm bị đánh cắp, nâng cao an toàn toàn diện.

4. Thành lập đội ngũ an ninh chuyên nghiệp của riêng mình và hợp tác với các công ty an ninh Web3 như Bit Jungle để cùng nhau chống lại hacker.

5. Mua bảo hiểm để giảm thiểu thiệt hại do các sự cố an ninh gây ra.

Tiết lộ 5: Cơ chế an ninh đa chữ ký của ví Safe không bị phá vỡ

Safe (trước đây là Gnosis Safe) là giải pháp đa chữ ký được sử dụng rộng rãi trong ngành, an ninh của nó phụ thuộc vào tính không thể thay đổi của nhiều chữ ký và logic hợp đồng thông minh.

Cuộc tấn công này cho thấy, hacker không phá vỡ được cơ chế đa chữ ký của Safe hoặc khai thác lỗ hổng trong mã nguồn, mà chỉ sử dụng các biện pháp lừa đảo để có đủ quyền ký.

Tiết lộ 6: Bit Jungle có thể làm gì

1. Làm rõ sự thật, tái hiện đường đi xâm nhập của hacker, tìm ra các rủi ro an ninh ẩn giấu khác.

2. Bit Jungle hiện đã liên hệ với hơn 10 sàn giao dịch và tổ chức lớn, thông qua hệ thống Zhongkui có thể tự động đóng băng tài sản bị đánh cắp, giúp người dùng khôi phục nhanh chóng.

3. Sử dụng các kỹ thuật chuyên nghiệp và kinh nghiệm phong phú để nhanh chóng xác định và hỗ trợ cơ quan pháp luật bắt giữ nghi phạm.