Bối cảnh
Vào tối ngày 21 tháng 2 năm 2025 theo giờ Bắc Kinh, theo tiết lộ của nhà thám tử chuỗi ZachXBT, đã xảy ra tình trạng dòng tiền rút ra lớn trên nền tảng Bybit. Sự kiện này dẫn đến hơn 1,46 tỷ USD bị đánh cắp, trở thành vụ trộm tiền điện tử lớn nhất trong những năm gần đây.
Phân tích truy vết trên chuỗi
Sau khi sự kiện xảy ra, đội ngũ an ninh SlowMist đã ngay lập tức phát hành cảnh báo an ninh và tiến hành phân tích truy vết tài sản bị đánh cắp:
Theo phân tích của đội ngũ an ninh SlowMist, tài sản bị đánh cắp chủ yếu bao gồm:
· 401.347 ETH (trị giá khoảng 1,068 tỷ USD)
· 8.000 mETH (trị giá khoảng 26 triệu USD)
· 90.375,5479 stETH (trị giá khoảng 260 triệu USD)
· 15.000 cmETH (trị giá khoảng 43 triệu USD)
Chúng tôi sử dụng công cụ truy vết chuỗi và chống rửa tiền MistTrack để phân tích địa chỉ hacker ban đầu 0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2, và nhận được thông tin sau:
ETH đã được chuyển đi phân tán, địa chỉ hacker ban đầu sẽ chuyển 400.000 ETH theo định dạng 10.000 ETH/lần đến 40 địa chỉ khác nhau, đang tiếp tục chuyển tiếp.
Trong đó, 205 ETH đã được chuyển đổi sang BTC thông qua Chainflip và chuyển sang địa chỉ bc1qlu4a33zjspefa3tnq566xszcr0fvwz05ewhqfq.
Luồng chuyển cmETH: 15.000 cmETH đã được chuyển đến địa chỉ 0x1542368a03ad1f03d96D51B414f4738961Cf4443. Đáng chú ý là, mETH Protocol đã đăng bài trên X cho biết, liên quan đến sự cố an ninh của Bybit, nhóm đã kịp thời tạm dừng rút tiền cmETH, ngăn chặn các giao dịch rút tiền trái phép, mETH Protocol đã thành công thu hồi 15.000 cmETH từ địa chỉ hacker.
Chuyển mETH và stETH: 8.000 mETH và 90.375,5479 stETH đã được chuyển đến địa chỉ 0xA4B2Fd68593B6F34E51cB9eDB66E71c1B4Ab449e, sau đó thông qua Uniswap và ParaSwap quy đổi thành 98.048 ETH, rồi chuyển đến 0xdd90071d52f20e85c89802e5dc1ec0a7b6475f92, địa chỉ 0xdd9 sẽ phân tán ETH thành 9 địa chỉ với mỗi lần 10.000 ETH, chưa chuyển ra ngoài.
Ngoài ra, khi truy nguồn gốc địa chỉ khởi động cuộc tấn công ban đầu 0x0fa09C3A328792253f8dee7116848723b72a6d2e, phát hiện địa chỉ này có nguồn vốn ban đầu từ Binance.
Hiện tại, địa chỉ hacker ban đầu 0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2 còn dư 1.346 ETH, chúng tôi sẽ tiếp tục theo dõi các địa chỉ liên quan.
Sau khi sự kiện xảy ra, SlowMist đã ngay lập tức dự đoán rằng kẻ tấn công là hacker Triều Tiên dựa trên phương thức thu thập Safe đa chữ ký và phương thức rửa tiền:
Các phương thức tấn công kỹ thuật xã hội có thể đã được sử dụng:
Sử dụng MistTrack để phân tích, còn phát hiện địa chỉ hacker của sự kiện này có liên quan đến địa chỉ hacker của BingX và Phemex:
ZachXBT cũng đã chứng minh rằng cuộc tấn công này liên quan đến tổ chức hacker Triều Tiên Lazarus Group, tổ chức này luôn lấy các cuộc tấn công mạng xuyên quốc gia và trộm cắp tiền điện tử làm hoạt động chính. Theo hiểu biết, bằng chứng do ZachXBT cung cấp, bao gồm giao dịch thử nghiệm, ví liên quan, biểu đồ điều tra và phân tích thời gian, đều cho thấy kẻ tấn công đã sử dụng các kỹ thuật thường thấy của Lazarus Group trong nhiều lần hoạt động. Đồng thời, Arkham cho biết tất cả dữ liệu liên quan đã được chia sẻ với Bybit để giúp nền tảng tiếp tục điều tra.
Phân tích phương thức tấn công
Vào tối 23:44 cùng ngày, CEO Bybit Ben Zhou đã đăng thông cáo trên X, giải thích chi tiết về kỹ thuật tấn công trong sự kiện này:
Thông qua phân tích chữ ký trên chuỗi, chúng tôi đã tìm thấy một số dấu vết:
1. Kẻ tấn công triển khai hợp đồng độc hại: UTC 2025-02-19 07:15:23, triển khai hợp đồng thực hiện độc hại 0xbDd077f651EBe7f7b3cE16fe5F2b025BE2969516.
2. Thay đổi logic hợp đồng Safe: UTC 2025-02-21 14:13:35, thông qua ba Chủ sở hữu ký giao dịch, thay thế hợp đồng Safe bằng phiên bản độc hại: 0x46deef0f52e3a983b67abf4714448a41dd7ffd6d32d32da69d62081c68ad7882. Từ đó suy ra địa chỉ khởi động cuộc tấn công ban đầu của hacker là 0x0fa09C3A328792253f8dee7116848723b72a6d2e.
3. Nhúng logic độc hại: Thông qua DELEGATECALL, ghi logic hợp đồng độc hại vào STORAGE 0: 0x96221423681A6d52E184D440a8eFCEbB105C7242.
4. Gọi hàm cửa sau để chuyển tiền: Kẻ tấn công sử dụng các hàm sweepETH và sweepERC20 trong hợp đồng, chuyển toàn bộ 400.000 ETH và stETH (tổng trị giá khoảng 1,5 tỷ USD) từ ví lạnh đến địa chỉ không xác định.
Về phương thức tấn công, sự kiện WazirX bị hack và sự kiện Radiant Capital bị hack đều có những điểm tương đồng với vụ tấn công này, ba sự kiện này đều nhắm mục tiêu vào ví Safe đa chữ ký. Đối với sự kiện WazirX bị hack, kẻ tấn công cũng đã triển khai trước hợp đồng thực hiện độc hại, và thông
Đối với sự kiện Radiant Capital bị hack, theo công bố chính thức, kẻ tấn công đã sử dụng một phương pháp phức tạp, khiến các bên xác minh chữ ký nhìn thấy các giao dịch hợp pháp trên giao diện, tương tự như thông tin Ben Zhou đã tiết lộ.
Và cách thức kiểm tra quyền hạn của các hợp đồng độc hại liên quan đến ba sự kiện này đều giống nhau, đó là mã hóa cứng địa chỉ chủ sở hữu trong hợp đồng để kiểm tra người gọi hợp đồng. Trong đó, sự kiện Bybit bị hack và sự kiện WazirX bị hack cũng có thông báo lỗi quyền hạn tương tự.
Trong sự kiện này, Hợp đồng Safe không có vấn đề, vấn đề nằm ở ngoài hợp đồng, giao diện trước được chỉnh sửa và giả mạo để lừa dối. Đây không phải là trường hợp đơn lẻ. Các hacker Triều Tiên đã tấn công nhiều nền tảng theo cách này trong năm ngoái, chẳng hạn như: WazirX mất 230 triệu đô la, là ví Safe đa chữ ký; Radiant Capital mất 50 triệu đô la, là ví Safe đa chữ ký; DMM Bitcoin mất 305 triệu đô la, là ví Gonco đa chữ ký. Phương pháp tấn công này đã được công nghiệp hóa và hoàn thiện, cần phải đặc biệt chú ý.
Theo thông báo chính thức của Bybit:
Kết hợp với bài đăng của Ben Zhou:
Nảy sinh các điểm nghi vấn sau:
1. Chuyển ETH định kỳ
· Kẻ tấn công có thể đã thu thập trước thông tin hoạt động của nhóm tài chính nội bộ Bybit, nắm bắt thời điểm chuyển ETH từ ví lạnh đa chữ ký?
· Thông qua hệ thống Safe, lôi kéo người ký vào giao diện giả mạo để ký các giao dịch độc hại? Hệ thống giao diện trước của Safe có bị tấn công và chiếm quyền kiểm soát?
2. Giao diện hợp đồng Safe bị chỉnh sửa
· Người ký nhìn thấy địa chỉ và URL chính xác trên giao diện Safe, nhưng dữ liệu giao dịch đã bị chỉnh sửa?
· Vấn đề then chốt là: ai là người khởi xướng yêu cầu ký trước? An ninh thiết bị của họ như thế nào?
Chúng tôi mong rằng với những nghi vấn này, chính thức sẽ sớm công bố thêm kết quả điều tra.
Tác động thị trường
Sau khi sự kiện xảy ra, Bybit đã nhanh chóng phát hành thông báo, cam kết tài sản của tất cả khách hàng đều có đủ 1:1 dự phòng, và nền tảng có thể gánh chịu khoản tổn thất này. Rút tiền của người dùng không bị ảnh hưởng.
Vào ngày 22 tháng 2 năm 2025 lúc 10:51, CEO Bybit Ben Zhou đã đăng trên X rằng hiện tại rút tiền và nạp tiền đều đang hoạt động bình thường:
Lời kết
Vụ trộm cắp này một lần nữa nêu bật những thách thức an ninh nghiêm trọng mà ngành công nghiệp tiền điện tử đang phải đối mặt. Cùng với sự phát triển nhanh chóng của ngành công nghiệp tiền điện tử, các tổ chức hacker, đặc biệt là Lazarus Group cấp quốc gia, đang không ngừng nâng cấp các phương thức tấn công. Sự kiện này đã báo động cho các sàn giao dịch tiền điện tử, các nền tảng cần tăng cường bảo vệ an ninh, áp dụng các cơ chế phòng vệ tiên tiến hơn, chẳng hạn như xác thực nhiều yếu tố, quản lý ví mã hóa, giám sát tài sản và đánh giá rủi ro, để bảo vệ an toàn tài sản của người dùng. Đối với người dùng cá nhân, nâng cao ý thức an ninh cũng vô cùng quan trọng, khuyến nghị ưu tiên sử dụng ví phần cứng an toàn hơn để lưu trữ tài sản, tránh để lâu dài quá nhiều tài sản trên các sàn giao dịch. Trong lĩnh vực đang không ngừng phát triển này, chỉ có không ngừng nâng cấp tuyến phòng vệ kỹ thuật mới có thể đảm bảo an toàn tài sản kỹ thuật số và thúc đẩy sự phát triển lành mạnh của ngành.
Hãy tham gia nhóm chính thức của BlockBeats:
Nhóm đăng ký Telegram: https://t.me/theblockbeats
Nhóm thảo luận Telegram: https://t.me/BlockBeats_App
Tài khoản Twitter chính thức: https://twitter.com/BlockBeatsAsia
