Hacker Triều Tiên lại hành động.

Tác giả: Đội ngũ an ninh SlowMist, SlowMist Technology

Bối cảnh

Vào tối ngày 21 tháng 2 năm 2025 theo giờ Bắc Kinh, theo tiết lộ của nhà thám tử chuỗi ZachXBT, sàn Bybit đã xảy ra tình trạng dòng tiền rút ra lớn. Sự kiện này dẫn đến hơn 1,46 tỷ USD bị đánh cắp, trở thành vụ trộm tiền điện tử lớn nhất trong những năm gần đây.

Phân tích truy vết trên chuỗi

Sau khi sự kiện xảy ra, đội ngũ an ninh SlowMist đã lập tức phát hành cảnh báo an ninh và tiến hành phân tích truy vết tài sản bị đánh cắp:

Theo phân tích của đội ngũ an ninh SlowMist, tài sản bị đánh cắp chủ yếu bao gồm:

• 401.347 ETH (trị giá khoảng 1,068 tỷ USD)
• 8.000 mETH (trị giá khoảng 26 triệu USD)
• 90.375,5479 stETH (trị giá khoảng 260 triệu USD)
• 15.000 cmETH (trị giá khoảng 43 triệu USD)

Chúng tôi sử dụng công cụ truy vết chuỗi và chống rửa tiền MistTrack để phân tích địa chỉ hacker ban đầu 0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2, và thu được thông tin sau:

ETH đã được chuyển đi phân tán, địa chỉ hacker ban đầu đã chuyển 400.000 ETH thành 40 địa chỉ, mỗi địa chỉ 10.000 ETH, và đang tiếp tục chuyển đi.

Trong đó, 205 ETH đã được chuyển đổi sang BTC thông qua Chainflip và chuyển sang địa chỉ bc1qlu4a33zjspefa3tnq566xszcr0fvwz05ewhqfq.

Luồng cmETH: 15.000 cmETH đã được chuyển đến địa chỉ 0x1542368a03ad1f03d96D51B414f4738961Cf4443. Đáng chú ý, mETH Protocol đã đăng bài trên X thông báo rằng, liên quan đến sự cố an ninh của Bybit, nhóm đã kịp thời tạm dừng rút tiền cmETH, ngăn chặn các giao dịch rút tiền trái phép, mETH Protocol đã thành công thu hồi 15.000 cmETH từ địa chỉ của hacker.

Chuyển mETH và stETH: 8.000 mETH và 90.375,5479 stETH đã được chuyển đến địa chỉ 0xA4B2Fd68593B6F34E51cB9eDB66E71c1B4Ab449e, sau đó được quy đổi thành 98.048 ETH thông qua Uniswap và ParaSwap, rồi chuyển đến 0xdd90071d52f20e85c89802e5dc1ec0a7b6475f92, địa chỉ 0xdd9 đã phân tán ETH thành 9 địa chỉ với mỗi địa chỉ 10.000 ETH, chưa rút ra.

Ngoài ra, khi phân tích phương thức tấn công, địa chỉ 0x0fa09C3A328792253f8dee7116848723b72a6d2e được xác định là địa chỉ khởi động cuộc tấn công ban đầu, và nguồn vốn ban đầu của địa chỉ này đến từ Binance.

Hiện tại, địa chỉ hacker ban đầu 0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2 còn 1.346 ETH, chúng tôi sẽ tiếp tục theo dõi các địa chỉ liên quan.

Sau khi sự kiện xảy ra, SlowMist đã kịp thời phát hiện ra rằng phương thức tấn công của kẻ tấn công là lợi dụng cách thức lấy Safe multi-sig và rửa tiền, và dự đoán kẻ tấn công là hacker Triều Tiên:

Các phương thức tấn công kỹ thuật xã hội có thể được sử dụng:

Bằng cách sử dụng MistTrack để phân tích, còn phát hiện ra rằng địa chỉ hacker của sự kiện này có liên quan đến địa chỉ hacker của BingX và Phemex:

ZachXBT cũng đã chứng minh rằng cuộc tấn công này liên quan đến tổ chức hacker Triều Tiên Lazarus Group, tổ chức này luôn chuyên về các cuộc tấn công mạng xuyên quốc gia và đánh cắp tiền điện tử. Theo hiểu biết, bằng chứng do ZachXBT cung cấp, bao gồm các giao dịch thử nghiệm, ví liên quan, biểu đồ điều tra và phân tích thời gian, đều cho thấy kẻ tấn công đã sử dụng các kỹ thuật thường thấy của Lazarus Group trong nhiều lần hoạt động. Đồng thời, Arkham cho biết, tất cả dữ liệu liên quan đã được chia sẻ với Bybit để giúp nền tảng tiếp tục điều tra.

Phân tích phương thức tấn công

Vào tối ngày xảy ra sự kiện, lúc 23:44, CEO Bybit Ben Zhou đã đăng một tuyên bố trên X, giải thích chi tiết về các kỹ thuật tấn công trong sự kiện này:

Thông qua phân tích chữ ký trên chuỗi khối, chúng tôi đã tìm thấy một số dấu vết:

1. Kẻ tấn công triển khai hợp đồng độc hại: UTC 2025-02-19 07:15:23, triển khai hợp đồng thực hiện độc hại 0xbDd077f651EBe7f7b3cE16fe5F2b025BE2969516.

2. Thay đổi logic hợp đồng Safe: UTC 2025-02-21 14:13:35, thông qua ba chữ ký của Owner, thay thế hợp đồng Safe bằng phiên bản độc hại: 0x46deef0f52e3a983b67abf4714448a41dd7ffd6d32d32da69d62081c68ad7882. Từ đó, xác định địa chỉ bắt đầu cuộc tấn công ban đầu của hacker là 0x0fa09C3A328792253f8dee7116848723b72a6d2e.

3. Nhúng logic độc hại: Thông qua DELEGATECALL để ghi logic hợp đồng độc hại vào STORAGE 0: 0x96221423681A6d52E184D440a8eFCEbB105C7242.

4. Gọi hàm cửa sau để chuyển tiền: Kẻ tấn công sử dụng các hàm sweepETH và sweepERC20 trong hợp đồng để chuyển toàn bộ 400.000 ETH và stETH (tổng giá trị khoảng 1,5 tỷ USD) từ ví lạnh sang địa chỉ không xác định.

Về phương thức tấn công, sự kiện WazirX bị hack và sự kiện Radiant Capital bị hack đều có những điểm tương đồng với vụ tấn công này, cả ba sự kiện đều nhắm vào ví Safe multi-sig. Đối với sự kiện WazirX bị hack, kẻ tấn công cũng đã triển khai trước hợp đồng độc hại, và thông qua ba chữ ký của Owner, thay thế hợp đồng Safe bằng hợp đồng độc hại thông qua DELEGATECALL để ghi logic độc hại vào STORAGE 0.

Đối với sự kiện Radiant Capital bị hack, theo công bố chính thức, kẻ tấn công đã sử dụng một phương pháp phức tạp khiến người xác minh chữ ký ở phía trước nhìn thấy giao dịch hợp pháp, điều này tương tự với thông tin Ben Zhou đã tiết lộ.

Và cả ba sự kiện này, cách thức kiểm tra quyền hạn của các hợp đồng độc hại đều giống nhau, đều cứng hóa địa chỉ chủ sở hữu trong hợp đồng để kiểm tra người gọi hợp đồng. Trong đó, sự kiện Bybit bị hack và sự kiện WazirX bị hack cũng có thông báo lỗi quyền hạn tương tự nhau.

Trong sự kiện này, hợp đồng Safe không có vấn đề, vấn đề nằm ở phần không phải hợp đồng, giao diện phía trước bị giả mạo để đạt được hiệu ứng lừa đảo. Đây không phải là trường hợp đơn lẻ. Năm ngoái, hacker Triều Tiên đã tấn công nhiều nền tảng theo cách này, chẳng hạn như: WazirX mất 230 triệu USD, là ví Safe multi-sig; Radiant Capital mất 50 triệu USD, là ví Safe multi-sig; DMM Bitcoin mất 305 triệu USD, là ví Gonco multi-sig. Phương thức tấn công này đã được công nghiệp hóa và hoàn thiện, cần phải đặc biệt chú ý.

Dựa trên thông báo chính thức của Bybit:

Kết hợp với tweet của Ben Zhou:

Đã nảy sinh một số nghi vấn:

1. Chuyển ETH định kỳ

• Liệu kẻ tấn công có thể đã thu thập trước thông tin về hoạt động của nhóm tài chính nội bộ Bybit, nắm bắt được thời điểm chuyển ETH từ ví lạnh multi-sig?
• Thông qua hệ thống Safe, có phải đã lừa các người ký để ký vào giao dịch độc hại trên giao diện giả mạo? Liệu hệ thống giao diện người dùng của Safe có bị xâm phạm và bị chiếm quyền kiểm soát?

2. Giao diện người dùng của Safe bị giả mạo

• Những người ký trên giao diện Safe đã thấy đúng địa chỉ và URL, nhưng dữ liệu giao dịch thực tế đã bị thay đổi?

• 

  Lời kết

  Vụ trộm cắp lần này một lần nữa nêu bật những thách thức an ninh nghiêm trọng mà ngành công nghiệp Bit đang phải đối mặt. Cùng với sự phát triển nhanh chóng của ngành Bit, các tổ chức hacker, đặc biệt là Lazarus Group, một nhóm hacker cấp quốc gia, đang không ngừng nâng cấp các phương thức tấn công của họ. Sự kiện này đã đánh thức các sàn giao dịch Bit, các nền tảng cần tăng cường bảo vệ an ninh, áp dụng các cơ chế phòng thủ tiên tiến hơn như xác thực đa yếu tố, quản lý ví mã hóa, giám sát tài sản và đánh giá rủi ro, để bảo vệ an toàn tài sản của người dùng. Đối với người dùng cá nhân, nâng cao ý thức an ninh cũng vô cùng quan trọng, khuyến nghị ưu tiên sử dụng các phương thức lưu trữ an toàn hơn như ví phần cứng, tránh để số tiền lớn trong các sàn giao dịch trong thời gian dài. Trong lĩnh vực đang không ngừng phát triển này, chỉ có không ngừng nâng cấp các biện pháp phòng thủ kỹ thuật mới có thể đảm bảo an toàn tài sản kỹ thuật số và thúc đẩy sự phát triển lành mạnh của ngành.

  Tuyên bố miễn trừ trách nhiệm: Với tư cách là một nền tảng thông tin Blockchain, các bài viết được đăng tải trên trang web này chỉ thể hiện quan điểm cá nhân của tác giả và khách mời, không liên quan đến quan điểm của Web3Caff. Thông tin trong bài viết chỉ nhằm mục đích tham khảo, không cấu thành bất kỳ lời khuyên đầu tư hay đề nghị nào, và vui lòng tuân thủ các luật và quy định pháp lý của quốc gia hoặc khu vực của bạn.

  Hãy tham gia cộng đồng chính thức của Web3Caff: Tài khoản X (Twitter) | Nhóm đọc giả WeChat | Tài khoản WeChat | Nhóm đăng ký Telegram | Nhóm thảo luận Telegram