bối cảnh
Vào tối ngày 21 tháng 2 năm 2025 theo giờ Bắc Kinh, theo thám tử Chuỗi ZachXBT, đã có một đợt rút vốn quy mô lớn trên nền tảng Bybit . Lần việc đã gây ra vụ trộm hơn 1,46 tỷ đô la, trở thành vụ trộm crypto lớn nhất trong những năm gần đây.
Phân tích theo dõi trên Chuỗi
Sau sự cố, đội ngũ an ninh SlowMist đã ngay lập tức đưa ra cảnh báo an ninh và bắt đầu theo dõi và phân tích tài sản bị đánh cắp:
Theo phân tích của đội ngũ bảo mật SlowMist , tài sản bị đánh cắp chủ yếu bao gồm:
401.347 ETH (trị giá khoảng 1,068 tỷ đô la)
8.000 mETH (trị giá khoảng 26 triệu đô la)
90.375,5479 stETH (trị giá khoảng 260 triệu đô la)
15.000 cmETH (trị giá khoảng 43 triệu đô la)
Chúng tôi đã sử dụng công cụ theo dõi trên Chuỗi và chống rửa tiền MistTrack để phân tích địa chỉ hacker ban đầu là 0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2 và thu được thông tin sau:
ETH đang được phân tán và chuyển đi, trong đó địa chỉ hacker ban đầu phân tán 400.000 ETH đến 40 địa chỉ theo định dạng 1.000 ETH mỗi địa chỉ và quá trình chuyển tiền vẫn đang tiếp tục.
Trong đó, 205 ETH đã được đổi lấy BTC thông qua Chainflip và được chuyển qua Chuỗi đến địa chỉ bc1qlu4a33zjspefa3tnq566xszcr0fvwz05ewhqfq.
Lưu lượng cmETH: 15.000 cmETH đã được chuyển đến địa chỉ 0x1542368a03ad1f03d96D51B414f4738961Cf4443. Điều đáng chú ý là mETH Protocol đã đăng trên X rằng để ứng phó với sự cố bảo mật Bybit , đội ngũ đã nhanh chóng tạm dừng việc rút cmETH và ngăn chặn việc rút tiền trái phép. mETH Protocol đã khôi phục thành công 15.000 cmETH từ địa chỉ hacker.
Chuyển mETH và stETH: 8.000 mETH và 90.375,5479 stETH đã được chuyển đến địa chỉ 0xA4B2Fd68593B6F34E51cB9eDB66E71c1B4Ab449e, sau đó được chuyển đổi thành 98.048 ETH thông qua Uniswap và ParaSwap, rồi được chuyển đến 0xdd90071d52f20e85c89802e5dc1ec0a7b6475f92. Địa chỉ 0xdd9 đã phân tán ETH đến 9 địa chỉ theo định dạng 1.000 ETH mỗi địa chỉ và vẫn chưa được chuyển ra ngoài.
Ngoài ra, bằng cách theo dõi địa chỉ 0x0fa09C3A328792253f8dee7116848723b72a6d2e nơi hacker phát động cuộc tấn công đầu tiên, chúng tôi phát hiện ra rằng số tiền ban đầu của địa chỉ này đến từ Binance.
Số dư địa chỉ hacker ban đầu 0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2 là 1.346 ETH. Chúng tôi sẽ tiếp tục theo dõi các địa chỉ có liên quan.
Sau sự cố, SlowMist ngay lập tức suy đoán rằng kẻ tấn công là một hacker Triều Tiên dựa trên phương pháp lấy chữ ký đa năng an Safe và rửa tiền của kẻ tấn công:
Các phương pháp tấn công kỹ thuật xã hội có thể xảy ra:
Khi sử dụng phân tích MistTrack, chúng tôi cũng phát hiện ra rằng địa chỉ hacker của vụ việc này có liên quan đến địa chỉ BingX Hacker và Phemex Hacker:
ZachXBT cũng xác nhận rằng vụ lần có liên quan đến tổ chức hacker Triều Tiên Lazarus Group, tổ chức này đã tiến hành các cuộc tấn công mạng xuyên quốc gia và đánh cắp crypto như một trong những hoạt động chính. Người ta hiểu rằng các bằng chứng do ZachXBT cung cấp, bao gồm các giao dịch thử nghiệm, ví được liên kết, biểu đồ pháp y và phân tích thời gian, đều cho thấy kẻ tấn công đã sử dụng các biện pháp kỹ thuật chung của Nhóm Lazarus trong lần hoạt động. Đồng thời, Arkham tuyên bố rằng mọi dữ liệu có liên quan đã được chia sẻ với Bybit để giúp nền tảng này tiến hành các cuộc điều tra sâu hơn.
Phân tích phương pháp tấn công
Vào lúc 23:44 đêm hôm đó sau sự cố, CEO Bybit là Ben Zhou đã đưa ra tuyên bố về X, giải thích chi tiết các thông tin kỹ thuật của lần tấn công:
Thông qua phân tích chữ ký trên Chuỗi, chúng tôi đã tìm thấy một số dấu vết:
1. Kẻ tấn công triển khai hợp đồng độc hại: UTC 2025-02-19 07:15:23, triển khai hợp đồng thực hiện độc hại 0xbDd077f651EBe7f7b3cE16fe5F2b025BE2969516.
2. Can thiệp vào logic hợp đồng Safe : UTC 2025-02-21 14:13:35, ba Chủ sở hữu đã ký một giao dịch để thay thế hợp đồng Safe bằng phiên bản độc hại: 0x46deef0f52e3a983b67abf4714448a41dd7ffd6d32d32da69d62081c68ad7882. Điều này dẫn đến hacker chỉ tấn công ban đầu là 0x0fa09C3A328792253f8dee7116848723b72a6d2e.
3. Nhúng logic độc hại: Ghi hợp đồng logic độc hại vào STORAGE 0 thông qua DELEGATECALL: 0x96221423681A6d52E184D440a8eFCEbB105C7242.
4. Gọi các hàm cửa sau để chuyển tiền: Kẻ tấn công đã sử dụng các hàm sweepETH và sweepERC20 trong hợp đồng để chuyển toàn bộ 400.000 ETH và stETH (với tổng giá trị khoảng 1,5 tỷ đô la Mỹ) trong ví lạnh đến một địa chỉ không xác định.
Nhìn lên về phương pháp tấn công, WazirX và Radiant Capital có điểm tương đồng với vụ tấn công lần. Mục tiêu của cả ba vụ tấn công này đều là ví đa chữ ký an Safe . Trong sự cố hack WazirX , kẻ tấn công cũng đã triển khai một hợp đồng triển khai độc hại trước, ký một giao dịch thông qua ba Chủ sở hữu và ghi hợp đồng logic độc hại vào STORAGE 0 thông qua DELEGATECALL để thay thế hợp đồng Safe bằng hợp đồng triển khai độc hại.
(https://etherscan.io/tx/0x48164d3adbab78c2cb9876f6e17f88e321097fcd14cadd57556866e4ef3e185d) Liên quan đến vụ hack Radiant Capital , theo thông tin chính thức, kẻ tấn công đã sử dụng một phương pháp phức tạp để khiến trình xác minh chữ ký nhìn thấy các giao dịch có vẻ hợp pháp ở đầu cuối, tương tự như thông tin được tiết lộ trong dòng tweet của Ben Zhou.
(https://medium.com/@RadiantCapital/radiant-post-mortem-fecd6cd38081) Hơn nữa, phương pháp kiểm tra quyền của các hợp đồng độc hại liên quan đến ba sự cố này là giống nhau và địa chỉ chủ sở hữu được mã hóa cứng trong hợp đồng để kiểm tra người gọi hợp đồng. Các thông báo lỗi do kiểm tra quyền đưa ra trong đó sự cố hack Bybit và sự cố hack WazirX cũng tương tự nhau.
Trong vụ việc lần, hợp đồng Safe không có vấn đề gì, nhưng vấn đề nằm ở phần không liên quan đến hợp đồng, khi phần đầu bị can thiệp ngụy tạo để đạt được hiệu quả lừa dối. Đây không phải là trường hợp cá biệt. Năm ngoái, hacker Triều Tiên đã tấn công một số nền tảng theo cách này, chẳng hạn như: WazirX mất 230 triệu đô la vào mạng lưới đa chữ ký Safe ; Radiant Capital mất 50 triệu đô la vào mạng lưới đa chữ ký Safe ; DMM Bitcoin mất 305 triệu đô la vào mạng lưới đa chữ ký Gonco. Kỹ thuật tấn công này được thiết kế khéo léo và đòi hỏi nhiều sự chú ý hơn.
Theo thông báo chính thức được Bybit đưa ra:
Những câu hỏi sau đây nảy sinh:
1. Những kẻ tấn công chuyển ETH thông thường có thể đã lấy được thông tin hoạt động của đội ngũ tài chính nội bộ Bybit trước và nắm được thời điểm chuyển tiền ETH qua ví lạnh đa chữ ký?
Thông qua hệ thống Safe , dụ dỗ người ký ký các giao dịch độc hại trên giao diện ngụy tạo? Hệ thống giao diện của Safe có bị hack và chiếm quyền không?
2. Giao diện người dùng của hợp đồng an Safe đã bị can thiệp. Người ký nhìn lên địa chỉ và URL đúng trên giao diện an Safe , nhưng dữ liệu giao dịch đã ký thực tế đã bị can thiệp?
Câu hỏi chính là: ai là người khởi xướng yêu cầu chữ ký ngay từ đầu? Thiết bị của nó an toàn đến mức nào?
Với những câu hỏi này, chúng tôi mong muốn chính thức công bố thêm kết quả điều tra sớm nhất có thể.
Tác động thị trường
Bybit đã nhanh chóng đưa ra thông báo sau sự cố, cam kết rằng tất cả tài sản của khách hàng đều có mức dự trữ 1:1 và nền tảng có thể chịu được lần thất. Việc rút tiền của người dùng sẽ không bị ảnh hưởng.
Vào lúc 10:51 ngày 22 tháng 2 năm 2025, CEO Bybit là Ben Zhou đã gửi tin nhắn cho biết việc gửi và rút tiền hiện đã diễn ra bình thường:
Kết luận <br> Vụ trộm lần một lần nữa nêu bật những thách thức nghiêm trọng về an ninh mà ngành công nghiệp crypto đang phải đối mặt. Khi ngành công nghiệp crypto phát triển nhanh chóng, các nhóm hacker, đặc biệt là hacker quốc gia như Lazarus Group, đang tiếp tục nâng cấp phương pháp tấn công của mình. Sự cố lần đã gióng lên hồi chuông cảnh báo cho sàn giao dịch crypto . Các nền tảng cần tăng cường hơn nữa khả năng bảo vệ an ninh và áp dụng các cơ chế phòng thủ tiên tiến hơn, chẳng hạn như xác thực đa yếu tố, quản lý ví crypto, giám sát tài sản và đánh giá rủi ro , để đảm bảo an toàn cho tài sản của người dùng. Đối với người dùng cá nhân, việc nâng cao nhận thức về bảo mật cũng rất quan trọng. Nên ưu tiên các phương pháp lưu trữ an toàn hơn như ví phần cứng và tránh lưu trữ lượng lớn trong sàn giao dịch trong thời gian dài. Trong lĩnh vực không ngừng phát triển này, chỉ bằng cách liên tục nâng cấp khả năng phòng thủ công nghệ, chúng ta mới có thể đảm bảo an ninh cho tài sản kỹ thuật số và thúc đẩy sự phát triển lành mạnh của ngành.
Vào tối ngày 21 tháng 2 năm 2025 theo giờ Bắc Kinh, theo thám tử Chuỗi ZachXBT, đã có một đợt rút vốn quy mô lớn trên nền tảng Bybit . Lần việc đã gây ra vụ trộm hơn 1,46 tỷ đô la, trở thành vụ trộm crypto lớn nhất trong những năm gần đây.
Phân tích theo dõi trên Chuỗi
Sau sự cố, đội ngũ an ninh SlowMist đã ngay lập tức đưa ra cảnh báo an ninh và bắt đầu theo dõi và phân tích tài sản bị đánh cắp:
Theo phân tích của đội ngũ bảo mật SlowMist , tài sản bị đánh cắp chủ yếu bao gồm:
401.347 ETH (trị giá khoảng 1,068 tỷ đô la)
8.000 mETH (trị giá khoảng 26 triệu đô la)
90.375,5479 stETH (trị giá khoảng 260 triệu đô la)
15.000 cmETH (trị giá khoảng 43 triệu đô la)
Chúng tôi đã sử dụng công cụ theo dõi trên Chuỗi và chống rửa tiền MistTrack để phân tích địa chỉ hacker ban đầu là 0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2 và thu được thông tin sau:
ETH đang được phân tán và chuyển đi, trong đó địa chỉ hacker ban đầu phân tán 400.000 ETH đến 40 địa chỉ theo định dạng 1.000 ETH mỗi địa chỉ và quá trình chuyển tiền vẫn đang tiếp tục.
Trong đó, 205 ETH đã được đổi lấy BTC thông qua Chainflip và được chuyển qua Chuỗi đến địa chỉ bc1qlu4a33zjspefa3tnq566xszcr0fvwz05ewhqfq.
Lưu lượng cmETH: 15.000 cmETH đã được chuyển đến địa chỉ 0x1542368a03ad1f03d96D51B414f4738961Cf4443. Điều đáng chú ý là mETH Protocol đã đăng trên X rằng để ứng phó với sự cố bảo mật Bybit , đội ngũ đã nhanh chóng tạm dừng việc rút cmETH và ngăn chặn việc rút tiền trái phép. mETH Protocol đã khôi phục thành công 15.000 cmETH từ địa chỉ hacker.
Chuyển mETH và stETH: 8.000 mETH và 90.375,5479 stETH đã được chuyển đến địa chỉ 0xA4B2Fd68593B6F34E51cB9eDB66E71c1B4Ab449e, sau đó được chuyển đổi thành 98.048 ETH thông qua Uniswap và ParaSwap, rồi được chuyển đến 0xdd90071d52f20e85c89802e5dc1ec0a7b6475f92. Địa chỉ 0xdd9 đã phân tán ETH đến 9 địa chỉ theo định dạng 1.000 ETH mỗi địa chỉ và vẫn chưa được chuyển ra ngoài.
Ngoài ra, bằng cách theo dõi địa chỉ 0x0fa09C3A328792253f8dee7116848723b72a6d2e nơi hacker phát động cuộc tấn công đầu tiên, chúng tôi phát hiện ra rằng số tiền ban đầu của địa chỉ này đến từ Binance.
Số dư địa chỉ hacker ban đầu 0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2 là 1.346 ETH. Chúng tôi sẽ tiếp tục theo dõi các địa chỉ có liên quan.
Sau sự cố, SlowMist ngay lập tức suy đoán rằng kẻ tấn công là một hacker Triều Tiên dựa trên phương pháp lấy chữ ký đa năng an Safe và rửa tiền của kẻ tấn công:
Các phương pháp tấn công kỹ thuật xã hội có thể xảy ra:
Khi sử dụng phân tích MistTrack, chúng tôi cũng phát hiện ra rằng địa chỉ hacker của vụ việc này có liên quan đến địa chỉ BingX Hacker và Phemex Hacker:
ZachXBT cũng xác nhận rằng vụ lần có liên quan đến tổ chức hacker Triều Tiên Lazarus Group, tổ chức này đã tiến hành các cuộc tấn công mạng xuyên quốc gia và đánh cắp crypto như một trong những hoạt động chính. Người ta hiểu rằng các bằng chứng do ZachXBT cung cấp, bao gồm các giao dịch thử nghiệm, ví được liên kết, biểu đồ pháp y và phân tích thời gian, đều cho thấy kẻ tấn công đã sử dụng các biện pháp kỹ thuật chung của Nhóm Lazarus trong lần hoạt động. Đồng thời, Arkham tuyên bố rằng mọi dữ liệu có liên quan đã được chia sẻ với Bybit để giúp nền tảng này tiến hành các cuộc điều tra sâu hơn.
Phân tích phương pháp tấn công
Vào lúc 23:44 đêm hôm đó sau sự cố, CEO Bybit là Ben Zhou đã đưa ra tuyên bố về X, giải thích chi tiết các thông tin kỹ thuật của lần tấn công:
Thông qua phân tích chữ ký trên Chuỗi, chúng tôi đã tìm thấy một số dấu vết:1. Kẻ tấn công triển khai hợp đồng độc hại: UTC 2025-02-19 07:15:23, triển khai hợp đồng thực hiện độc hại 0xbDd077f651EBe7f7b3cE16fe5F2b025BE2969516.
2. Can thiệp vào logic hợp đồng Safe : UTC 2025-02-21 14:13:35, ba Chủ sở hữu đã ký một giao dịch để thay thế hợp đồng Safe bằng phiên bản độc hại: 0x46deef0f52e3a983b67abf4714448a41dd7ffd6d32d32da69d62081c68ad7882. Điều này dẫn đến hacker chỉ tấn công ban đầu là 0x0fa09C3A328792253f8dee7116848723b72a6d2e.
3. Nhúng logic độc hại: Ghi hợp đồng logic độc hại vào STORAGE 0 thông qua DELEGATECALL: 0x96221423681A6d52E184D440a8eFCEbB105C7242.
4. Gọi các hàm cửa sau để chuyển tiền: Kẻ tấn công đã sử dụng các hàm sweepETH và sweepERC20 trong hợp đồng để chuyển toàn bộ 400.000 ETH và stETH (với tổng giá trị khoảng 1,5 tỷ đô la Mỹ) trong ví lạnh đến một địa chỉ không xác định.
Nhìn lên về phương pháp tấn công, WazirX và Radiant Capital có điểm tương đồng với vụ tấn công lần. Mục tiêu của cả ba vụ tấn công này đều là ví đa chữ ký an Safe . Trong sự cố hack WazirX , kẻ tấn công cũng đã triển khai một hợp đồng triển khai độc hại trước, ký một giao dịch thông qua ba Chủ sở hữu và ghi hợp đồng logic độc hại vào STORAGE 0 thông qua DELEGATECALL để thay thế hợp đồng Safe bằng hợp đồng triển khai độc hại.
(https://etherscan.io/tx/0x48164d3adbab78c2cb9876f6e17f88e321097fcd14cadd57556866e4ef3e185d) (https://medium.com/@RadiantCapital/radiant-post-mortem-fecd6cd38081)Trong vụ việc lần, hợp đồng Safe không có vấn đề gì, nhưng vấn đề nằm ở phần không liên quan đến hợp đồng, khi phần đầu bị can thiệp ngụy tạo để đạt được hiệu quả lừa dối. Đây không phải là trường hợp cá biệt. Năm ngoái, hacker Triều Tiên đã tấn công một số nền tảng theo cách này, chẳng hạn như: WazirX mất 230 triệu đô la vào mạng lưới đa chữ ký Safe ; Radiant Capital mất 50 triệu đô la vào mạng lưới đa chữ ký Safe ; DMM Bitcoin mất 305 triệu đô la vào mạng lưới đa chữ ký Gonco. Kỹ thuật tấn công này được thiết kế khéo léo và đòi hỏi nhiều sự chú ý hơn.
Theo thông báo chính thức được Bybit đưa ra:
( Bybit )
Kết hợp với dòng tweet của Ben Zhou:Những câu hỏi sau đây nảy sinh:
1. Những kẻ tấn công chuyển ETH thông thường có thể đã lấy được thông tin hoạt động của đội ngũ tài chính nội bộ Bybit trước và nắm được thời điểm chuyển tiền ETH qua ví lạnh đa chữ ký?
Thông qua hệ thống Safe , dụ dỗ người ký ký các giao dịch độc hại trên giao diện ngụy tạo? Hệ thống giao diện của Safe có bị hack và chiếm quyền không?
2. Giao diện người dùng của hợp đồng an Safe đã bị can thiệp. Người ký nhìn lên địa chỉ và URL đúng trên giao diện an Safe , nhưng dữ liệu giao dịch đã ký thực tế đã bị can thiệp?
Câu hỏi chính là: ai là người khởi xướng yêu cầu chữ ký ngay từ đầu? Thiết bị của nó an toàn đến mức nào?
Với những câu hỏi này, chúng tôi mong muốn chính thức công bố thêm kết quả điều tra sớm nhất có thể.
Tác động thị trường
Bybit đã nhanh chóng đưa ra thông báo sau sự cố, cam kết rằng tất cả tài sản của khách hàng đều có mức dự trữ 1:1 và nền tảng có thể chịu được lần thất. Việc rút tiền của người dùng sẽ không bị ảnh hưởng.
Vào lúc 10:51 ngày 22 tháng 2 năm 2025, CEO Bybit là Ben Zhou đã gửi tin nhắn cho biết việc gửi và rút tiền hiện đã diễn ra bình thường:
Kết luận <br> Vụ trộm lần một lần nữa nêu bật những thách thức nghiêm trọng về an ninh mà ngành công nghiệp crypto đang phải đối mặt. Khi ngành công nghiệp crypto phát triển nhanh chóng, các nhóm hacker, đặc biệt là hacker quốc gia như Lazarus Group, đang tiếp tục nâng cấp phương pháp tấn công của mình. Sự cố lần đã gióng lên hồi chuông cảnh báo cho sàn giao dịch crypto . Các nền tảng cần tăng cường hơn nữa khả năng bảo vệ an ninh và áp dụng các cơ chế phòng thủ tiên tiến hơn, chẳng hạn như xác thực đa yếu tố, quản lý ví crypto, giám sát tài sản và đánh giá rủi ro , để đảm bảo an toàn cho tài sản của người dùng. Đối với người dùng cá nhân, việc nâng cao nhận thức về bảo mật cũng rất quan trọng. Nên ưu tiên các phương pháp lưu trữ an toàn hơn như ví phần cứng và tránh lưu trữ lượng lớn trong sàn giao dịch trong thời gian dài. Trong lĩnh vực không ngừng phát triển này, chỉ bằng cách liên tục nâng cấp khả năng phòng thủ công nghệ, chúng ta mới có thể đảm bảo an ninh cho tài sản kỹ thuật số và thúc đẩy sự phát triển lành mạnh của ngành.
