Phân tích các phương pháp hacker và những câu hỏi đằng sau vụ trộm gần 1,5 tỷ đô la Bybit

avatar
深潮TechFlow
02-23
Bài viết này được dịch máy
Xem bản gốc
Dưới đây là bản dịch tiếng Việt của nội dung được cung cấp, với các từ và cụm từ được dịch theo yêu cầu:
Các tổ chức hacker, đặc biệt là Lazarus Group và các hacker cấp quốc gia, đang không ngừng nâng cấp các phương thức tấn công của họ.

Tác giả: Đội ngũ an ninh SlowMist

Bối cảnh

Vào tối ngày 21 tháng 2 năm 2025 theo giờ Bắc Kinh, theo tiết lộ của nhà thám tử chuỗi ZachXBT, sàn Bybit đã xảy ra tình trạng dòng chảy vốn lớn. Sự kiện này dẫn đến việc bị đánh cắp hơn 1,46 tỷ USD, trở thành vụ trộm tiền điện tử lớn nhất trong những năm gần đây.

Phân tích theo dõi chuỗi

Sau khi sự kiện xảy ra, đội ngũ an ninh SlowMist đã lập tức phát hành cảnh báo an ninh và tiến hành theo dõi và phân tích các tài sản bị đánh cắp:

Theo phân tích của đội ngũ an ninh SlowMist, các tài sản bị đánh cắp chủ yếu bao gồm:

· 401.347 ETH (trị giá khoảng 1,068 tỷ USD)
· 8.000 mETH (trị giá khoảng 26 triệu USD)
· 90.375,5479 stETH (trị giá khoảng 260 triệu USD)
· 15.000 cmETH (trị giá khoảng 43 triệu USD)

Chúng tôi sử dụng công cụ theo dõi chuỗi và chống rửa tiền MistTrack để phân tích địa chỉ hacker ban đầu

0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2

và nhận được thông tin sau:

ETH đã được chuyển đi phân tán, địa chỉ hacker ban đầu đã chuyển 400.000 ETH thành 40 địa chỉ với mỗi lần 1.000 ETH, và đang tiếp tục chuyển đi.

Trong đó, 205 ETH đã được chuyển đổi sang BTC thông qua Chainflip và chuyển sang địa chỉ:

bc1qlu4a33zjspefa3tnq566xszcr0fvwz05ewhqfq

Luồng chảy của cmETH: 15.000 cmETH đã được chuyển đến địa chỉ:

0x1542368a03ad1f03d96D51B414f4738961Cf4443.

Đáng chú ý là, giao thức mETH đã đăng bài trên X thông báo rằng, liên quan đến sự cố an ninh của Bybit, nhóm đã kịp thời tạm dừng rút tiền cmETH, ngăn chặn các giao dịch rút tiền trái phép, và mETH Protocol đã thành công thu hồi 15.000 cmETH từ địa chỉ hacker.

Chuyển động của mETH và stETH: 8.000 mETH và 90.375,5479 stETH đã được chuyển đến địa chỉ:

0xA4B2Fd68593B6F34E51cB9eDB66E71c1B4Ab449e

Sau đó, thông qua Uniswap và ParaSwap, chúng đã được quy đổi thành 98.048 ETH và chuyển đến:

0xdd90071d52f20e85c89802e5dc1ec0a7b6475f92

Địa chỉ 0xdd9 đã chuyển ETH thành 9 địa chỉ với mỗi lần 1.000 ETH, chưa có chuyển ra ngoài.

Ngoài ra, khi phân tích phương thức tấn công, chúng tôi tìm thấy địa chỉ khởi động cuộc tấn công ban đầu:

0x0fa09C3A328792253f8dee7116848723b72a6d2e

và phát hiện rằng địa chỉ này có nguồn vốn ban đầu từ Binance.

Hiện tại, địa chỉ hacker ban đầu:

0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2

còn 1.346 ETH, chúng tôi sẽ tiếp tục theo dõi các địa chỉ liên quan.

Ngay sau khi sự kiện xảy ra, SlowMist đã sớm dự đoán rằng kẻ tấn công là hacker Triều Tiên dựa trên phương thức thu thập Safe đa chữ ký và phương thức rửa tiền của họ:

Các phương thức tấn công kỹ thuật xã hội có thể đã được sử dụng:

Bằng cách sử dụng MistTrack để phân tích, chúng tôi còn phát hiện ra địa chỉ hacker của sự kiện này có liên quan đến địa chỉ hacker của BingX và Phemex:

ZachXBT cũng đã chứng minh rằng cuộc tấn công này liên quan đến tổ chức hacker Triều Tiên Lazarus Group, nhóm này luôn chuyên về các cuộc tấn công mạng xuyên quốc gia và trộm cắp tiền điện tử. Theo hiểu biết của chúng tôi, bằng chứng do ZachXBT cung cấp, bao gồm các giao dịch thử nghiệm, ví liên quan, biểu đồ điều tra và phân tích thời gian, đều cho thấy kẻ tấn công đã sử dụng các kỹ thuật thường thấy của Lazarus Group trong nhiều lần hoạt động. Đồng thời, Arkham cũng cho biết tất cả dữ liệu liên quan đã được chia sẻ với Bybit để giúp sàn tiếp tục điều tra.

Phân tích phương thức tấn công

Vào tối 23:44 ngày xảy ra sự kiện, CEO Bybit Ben Zhou đã đăng một tuyên bố trên X, giải thích chi tiết về các kỹ thuật tấn công trong vụ việc này:

Thông qua phân tích chữ ký trên chuỗi, chúng tôi đã tìm thấy một số dấu vết:

1. Kẻ tấn công triển khai hợp đồng độc hại: UTC 2025-02-19 07:15:23, triển khai hợp đồng thực hiện độc hại:

0xbDd077f651EBe7f7b3cE16fe5F2b025BE2969516

2. Thay đổi logic hợp đồng Safe: UTC 2025-02-21 14:13:35, thông qua ba chữ ký của Owner, thay thế hợp đồng Safe bằng phiên bản độc hại:

0x46deef0f52e3a983b67abf4714448a41dd7ffd6d32d32da69d62081c68ad7882

Từ đây, chúng tôi xác định địa chỉ khởi động cuộc tấn công ban đầu là:

0x0fa09C3A328792253f8dee7116848723b72a6d2e.

3. Nhúng logic độc hại: Thông qua DELEGATECALL, ghi logic hợp đồng độc hại vào STORAGE 0:

0x96221423681A6d52E184D440a8eFCEbB105C7242

4. Gọi hàm hậu môn để chuyển tiền: Kẻ tấn công sử dụng các hàm sweepETH và sweepERC20 trong hợp đồng để chuyển toàn bộ 400.000 ETH và stETH (tổng trị giá khoảng 1,5 tỷ USD) từ ví lạnh đến địa chỉ không xác định.

Xét về phương thức tấn công, vụ việc WazirX bị hack và vụ Radiant Capital bị hack đều có những điểm tương đồng với vụ việc này, cả ba sự kiện đều nhắm vào ví Safe đa chữ ký. Đối với vụ WazirX bị hack, kẻ tấn công cũng đã triển khai trước hợp đồng độc hại, và thông qua ba chữ ký của Owner, thay thế hợp đồng Safe bằng hợp đồng độc hại thông qua DELEGATECALL.

(https://etherscan.io/tx/0x48164d3adbab78c2cb9876f6e17f88e321097fcd14cadd57556866e4ef3e185d)

Đối với vụ Radiant Capital bị hack, theo công bố chính thức, kẻ tấn công đã sử dụng một phương pháp phức tạp khiến người xác minh chữ ký ở phía trước nhìn thấy giao dịch hợp pháp, điều này tương tự với thông tin Ben Zhou đã tiết lộ.

(https://medium.com/@RadiantCapital/radiant-post-mortem-fecd6cd38081)

Và cả ba sự kiện này đều liên quan đến các hợp đồng độc hại có cách kiểm tra quyền truy cập giống nhau, đó là cứng hóa địa chỉ chủ sở hữu trong hợp đồng để kiểm tra người gọi hàm. Trong đó, sự kiện Bybit bị hack và sự kiện WazirX bị hack cũng có thông báo lỗi quyền truy cập tương tự.

Trong sự kiện này, hợp đồng Safe không có vấn đề, vấn đề nằm ở phần không phải hợ

Kẻ tấn công có thể đã thu thập trước thông tin về hoạt động của nhóm tài chính nội bộ của Bybit, nắm được thời điểm chuyển ETH từ ví lạnh đa chữ ký?

Thông qua hệ thống Safe, lừa người ký vào giao dịch độc hại trên giao diện giả mạo? Liệu hệ thống giao diện của Safe có bị tấn công và bị chiếm quyền kiểm soát?

2. Giao diện hợp đồng Safe bị thay đổi

Người ký thấy địa chỉ và URL chính xác trên giao diện Safe, nhưng dữ liệu giao dịch thực sự đã bị thay đổi?

Vấn đề then chốt là: ai là người khởi tạo yêu cầu ký trước? Thiết bị của họ có an toàn không?

Với những câu hỏi này, chúng tôi mong chờ công ty sẽ sớm công bố thêm kết quả điều tra.

Tác động thị trường

Sau sự cố, Bybit đã nhanh chóng phát hành thông báo, cam kết tất cả tài sản của khách hàng đều được bảo đảm 1:1, nền tảng có thể gánh chịu khoản tổn thất này. Rút tiền của người dùng không bị ảnh hưởng.

Vào lúc 10:51 ngày 22 tháng 2 năm 2025, CEO Bybit Ben Zhou đã đăng trên X rằng hiện tại gửi rút tiền đã hoạt động bình thường:

Lời kết

Vụ trộm cắp này một lần nữa nêu bật những thách thức an ninh nghiêm trọng mà ngành công nghiệp Bit đang phải đối mặt. Cùng với sự phát triển nhachóng mặt của ngành Bit, các tổ chức hacker, đặc biệt là Lazarus Group cấp quốc gia, liên tục nâng cấp các phương thức tấn công. Sự kiện này đã báo động cho các sàn giao dịch Bit, các nền tảng cần tăng cường bảo mật an ninh hơn nữa, áp dụng các cơ chế phòng thủ tiên tiến hơn như xác thực đa yếu tố, quản lý ví mã hóa, giám sát tài sản và đánh giá rủi ro, để bảo vệ an toàn tài sản của người dùng. Đối với người dùng cá nhân, nâng cao ý thức bảo mật cũng vô cùng quan trọng, khuyến nghị ưu tiên sử dụng ví phần cứng an toàn hơn, tránh để số dư lớn tại các sàn giao dịch trong thời gian dài. Trong lĩnh vực đang không ngừng phát triển này, chỉ có liên tục nâng cấp tuyến phòng thủ kỹ thuật mới có thể đảm bảo an toàn tài sản kỹ thuật số, thúc đẩy sự phát triển lành mạnh của ngành.

Nguồn
Tuyên bố từ chối trách nhiệm: Nội dung trên chỉ là ý kiến của tác giả, không đại diện cho bất kỳ lập trường nào của Followin, không nhằm mục đích và sẽ không được hiểu hay hiểu là lời khuyên đầu tư từ Followin.
Thích
Thêm vào Yêu thích
Bình luận
Nội dung liên quan
Followin logo
loading indicator
Loading..