Crypto sàn giao dịch Bybit vào đêm khuya ngày 21 bị hack mất tổng cộng gần 14,7 tỷ USD của ETH, stETH, cmETH và mETH, trở thành vụ trộm tiền điện tử lớn nhất trong những năm gần đây.

Thứ Bảy, công ty an ninh blockchain SlowMist, dựa trên phương thức tấn công vào ví đa chữ ký, đã chỉ ra rằng kẻ tấn công ẩn sau là tổ chức hacker nổi tiếng của Bắc Triều Tiên, Lazarus Group, và phương thức tấn công cũng tương tự như các vụ hack WazirX, Radiant Capital và DMM vào năm ngoái.

Bybit của Safe ví đa chữ ký bị hacker Bắc Triều Tiên tấn công

Về phương thức tấn công trong vụ việc này, SlowMist phân tích như sau:

Hacker đã triển khai hợp đồng độc hại vào ngày 19/2, và vào ngày 21/2 đã sử dụng ba chủ sở hữu của ví đa chữ ký Safe của Bybit để ký vào, thay thế hợp đồng Safe bằng hợp đồng độc hại, và sửa đổi logic của hợp đồng độc hại, cuối cùng gọi hàm cửa sau trong hợp đồng độc hại để đánh cắp tiền từ ví đa chữ ký lạnh của Bybit.

Và nhóm ví lạnh OneKey bổ sung rằng, hacker đã triển khai sẵn hợp đồng độc hại ba ngày trước, rất có khả năng đã xác nhận được ba người ký của Bybit đã bị xâm nhập, và đủ điều kiện để tấn công. Sau đó, khi nhân viên đa chữ ký thực hiện các thao tác ký như chuyển tiền thường ngày, họ đã thay thế nội dung ký.

Nhân viên nhìn thấy trên trang web như thể là giao dịch chuyển tiền bình thường - không ngờ rằng đó đã được thay đổi thành giao dịch "nâng cấp hợp đồng Safe thành hợp đồng độc hại đã được triển khai trước đó". Và thế là thảm kịch đã xảy ra.

Đọc thêm: Bybit nội bộ lỏng lẻo? Chuyên gia an ninh: Hacker Bắc Triều Tiên Lazarus nghi đã xâm nhập máy tính nhân viên sàn giao dịch để lấy quyền ký ví đa chữ ký

Safe: sẽ tạm thời gỡ bỏ tích hợp với Ledger

Vì Bybit đang sử dụng ví đa chữ ký Safe, và kết hợp với nhiều ví lạnh Ledger để ký thủ công, và phương thức đa chữ ký này cũng là cách bảo mật tài sản mà đồng sáng lập Ethereum Vitalik Buterin từng khuyến khích, nhưng cuối cùng Bybit vẫn bị đánh cắp, điều này khiến cộng đồng tiền điện tử bắt đầu怀疑tính bảo mật của ví đa chữ ký, bao gồm cả giao thức ví đa chữ ký Safe.

Sau khi vụ việc xảy ra, nhóm Safe nhanh chóng thông báo đang phối hợp với nhóm Bybit để điều tra và tạm dừng một số chức năng để đảm bảo an toàn. Bybit phản hồi rằng giao diện ví lạnh hiển thị thông tin giao dịch chính xác, nhưng trên chuỗi đã thực hiện các giao dịch độc hại với tất cả các chữ ký hợp lệ. Tuy nhiên, theo điều tra sơ bộ của Safe, không có bằng chứng nào cho thấy giao diện ví Safe bị tổn hại.

Safe vào sáng sớm hôm nay (24) đã đăng tweet thông báo sẽ bắt đầu phục hồi dịch vụ từng bước trong vòng 24 giờ tới, và ví Safe sau khi phục hồi sẽ bao gồm các biện pháp bảo mật bổ sung:

• Xác minh thêm giá trị Hash, dữ liệu và chữ ký giao dịch
• Tăng cường cảnh báo giám sát
• Tạm thời gỡ bỏ tích hợp Ledger cục bộ, vì đây là thiết bị/phương thức ký được sử dụng trong cuộc tấn công vào Bybit

Khi phục hồi, do chạy thêm các bước kiểm tra, người dùng có thể gặp phải thời gian giao dịch hoặc hiệu suất hơi chậm hơn.

Như thường lệ, vui lòng luôn cẩn thận khi ký giao dịch, kiểm tra xem bạn đã ký vào dữ liệu giao dịch chính xác.

Bốn điểm nghi vấn vẫn chưa được làm rõ

Tuy nhiên, trong vụ việc của Bybit, điều khiến cộng đồng và các chuyên gia bảo mật băn khoăn nhất là, hacker đã lấy được ba chữ ký của ví đa chữ ký Bybit bằng cách nào? Nhóm SlowMist cũng đã điều tra sơ bộ và cho biết vẫn còn một số điểm nghi vấn cần được cơ quan chức năng làm rõ:

1. Chuyển ETH thường xuyên

• Có thể kẻ tấn công đã trước đó thu thập được thông tin về hoạt động của nhóm tài chính nội bộ Bybit, nắm được thời điểm chuyển ETH từ ví đa chữ ký lạnh?
• Thông qua hệ thống Safe, đã lừa người ký vào giao dịch độc hại trên giao diện giả mạo? Hệ thống front-end của Safe có bị tấn công và chiếm quyền kiểm soát không?

2. Giao diện hợp đồng Safe bị sửa đổi

• Người ký nhìn thấy trên giao diện Safe là địa chỉ và URL chính xác, nhưng dữ liệu giao dịch thực tế đã bị thay đổi?
• Vấn đề then chốt là: ai là người khởi tạo yêu cầu ký trước tiên? An ninh thiết bị của họ như thế nào?

Chuyên gia: Ledger nên thêm tính năng so sánh giao dịch trên giao diện với phần mềm máy tính

Về vụ tấn công crypto lớn nhất trong những năm gần đây này, một chuyên gia ẩn danh đã chia sẻ với BlockTempo phân tích và quan điểm của mình:

Ví lạnh Ledger sẽ hiển thị yêu cầu giao dịch trên màn hình, nhưng hiện nay chủ yếu chỉ hiển thị mã giao dịch, mà phần lớn mọi người đều không hiểu được.

Chúng tôi thường dựa vào thời điểm giao dịch được hiển thị trên Bit lạnh và thời điểm yêu cầu giao dịch trên máy tính để xác định (tức là tôi đã nhấn giao dịch trên máy tính, sau đó Bit lạnh hiện ra yêu cầu xác nhận, tôi nghĩ đó là cùng một giao dịch)

Không thể xác nhận từ màn hình Bit lạnh liệu giao dịch có giống với giao dịch được xác nhận trên trang web hoặc máy trạm hay không, điều này đã tạo cơ hội cho tin tặc tấn công

Tin tặc có thể đã cài đặt phần mềm độc hại trên máy tính liên quan và khi phát hiện Bybit chuyển khoản số tiền lớn, đã gửi giao dịch tương tự vào cùng thời điểm, khiến Bybit nghĩ đây chính là giao dịch họ yêu cầu trên máy tính và đã xác nhận trên Bit lạnh, dẫn đến sự cố đáng tiếc

Trong tương lai, Ledger nên bổ sung tính năng so sánh xác minh giao dịch giữa giao diện giao dịch và phần mềm máy tính

Cần lưu ý rằng quan điểm trên vẫn là phân tích dự đoán dựa trên các manh mối hiện tại, tình hình cụ thể và sự thật vẫn cần được Bybit và Safe cung cấp thêm trong báo cáo điều tra.