Bitrace: Nhóm OTC trị giá 1,5 tỷ đô la bị đánh cắp của Bybit sẽ phải đối mặt với làn sóng đóng băng

avatar
Jinse Finance
02-24
Bài viết này được dịch máy
Xem bản gốc

Nguồn: Bitrace

Vào ngày 21 tháng 2 năm 2025, sàn giao dịch tiền Bit Bybit đã gặp phải một sự cố lỗ hổng bảo mật lớn, dẫn đến khoảng 1,5 tỷ USD tài sản trong ví lạnh ETH của họ bị đánh cắp. Sự kiện này được coi là vụ trộm lớn nhất trong lịch sử tiền Bit, vượt qua các kỷ lục trước đó như Poly Network (năm 2021, 611 triệu USD) và Ronin Network (năm 2022, 620 triệu USD), gây ảnh hưởng sốc đến ngành công nghiệp.

Bài viết này nhằm mục đích giới thiệu về sự kiện hack và phương pháp rửa tiền của chúng, đồng thời cảnh báo về một đợt đóng băng quy mô lớn sắp xảy ra đối với các nhóm OTC và công ty thanh toán Bit trong vài tháng tới.

Quá trình trộm cắp

Theo mô tả của Bybit Ben Zhou và cuộc điều tra ban đầu của Bitrace, quá trình trộm cắp như sau:

Chuẩn bị tấn công: Khoảng 3 ngày trước sự kiện (tức là ngày 19 tháng 2), hacker đã triển khai một hợp đồng thông minh độc hại (địa chỉ: 0xbDd077f651EBe7f7b3cE16fe5F2b025BE2969516) để chuẩn bị cho cuộc tấn công sau này.

Xâm nhập hệ thống ký nhiều chữ ký: Ví lạnh ETH của Bybit sử dụng cơ chế ký nhiều chữ ký, thường cần nhiều người ủy quyền ký mới có thể thực hiện giao dịch. Hacker đã xâm nhập vào máy tính quản lý ví ký nhiều chữ ký bằng một phương pháp không rõ, có thể thông qua giao diện giả mạo hoặc phần mềm độc hại.

Giả mạo giao dịch: Vào ngày 21 tháng 2, Bybit có kế hoạch chuyển ETH từ ví lạnh sang ví nóng để đáp ứng nhu cầu giao dịch hàng ngày. Hacker đã lợi dụng cơ hội này, giả mạo giao diện giao dịch thành hoạt động bình thường, lừa những người ký xác nhận một giao dịch có vẻ hợp pháp. Tuy nhiên, lệnh thực sự được thực hiện là thay đổi logic hợp đồng thông minh của ví lạnh.

Chuyển tiền: Sau khi lệnh có hiệu lực, hacker nhanh chóng kiểm soát được ví lạnh và chuyển khoảng 1,5 tỷ USD ETH và các chứng chỉ ETH đang được thế chấp đến một địa chỉ không xác định (địa chỉ theo dõi ban đầu: 0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2). Sau đó, tiền được phân tán vào nhiều ví và bắt đầu quá trình rửa tiền.

Phương pháp rửa tiền

Quá trình rửa tiền có thể chia thành hai giai đoạn:

Giai đoạn đầu tiên là giai đoạn phân chia tiền sớm, kẻ tấn công nhanh chóng chuyển đổi các mã thông báo chứng chỉ ETH thành Bit ETH, thay vì các stablecoin có khả năng bị đóng băng, sau đó nghiêm ngặt phân chia và chuyển Bit ETH đến các địa chỉ cấp dưới, chuẩn bị cho quá trình rửa tiền.

Chính trong giai đoạn này, hành vi của kẻ tấn công khi cố gắng chuyển đổi 15.000 mETH thành Bit ETH đã bị ngăn chặn, do đó ngành công nghiệp đã thu hồi được một phần thiệt hại.

Giai đoạn thứ hai là quá trình rửa tiền. Kẻ tấn công sẽ chuyển Bit ETH đã thu được thông qua các cơ sở hạ tầng trung tâm hóa hoặc phi tập trung của ngành công nghiệp, bao gồm Chainflip, THORChain, Uniswap, eXch, v.v. Một số giao thức được sử dụng để trao đổi tiền, một số giao thức khác được sử dụng để chuyển tiền qua chuỗi.

Cho đến nay, đã có rất nhiều tiền bị đánh cắp được chuyển đổi thành các token layer1 như BTC, Doge, SOL, thậm chí phát hành meme coin hoặc chuyển vào địa chỉ sàn giao dịch để làm mờ dấu vết.

Bitrace đang theo dõi và truy vết các địa chỉ liên quan đến tiền bị đánh cắp, thông tin đe dọa này sẽ được đồng bộ trên BitracePro và Detrust để ngăn người dùng vô tình nhận tiền bị đánh cắp.

Phân tích tiền án

Phân tích chuỗi tiền tại địa chỉ 0x457 cho thấy địa chỉ này liên quan đến vụ trộm xảy ra tại sàn giao dịch BingX vào tháng 10 năm 2024 và vụ trộm tại sàn giao dịch Phemex vào tháng 1 năm 2025, cho thấy ba vụ tấn công này do cùng một chủ thể thực hiện.

Kết hợp với phương pháp rửa tiền công nghiệp hóa cao và phương thức tấn công, một số chuyên gia bảo mật blockchain cho rằng sự kiện này là do tổ chức hacker nổi tiếng Lazarus đứng sau, họ đã phát động nhiều cuộc tấn công mạng vào các tổ chức hoặc cơ sở hạ tầng của ngành Bit trong vài năm qua và bất hợp pháp chiếm đoạt hàng tỷ USD tiền Bit.

Nguy cơ đóng băng

Trong quá trình điều tra trong vài năm qua, Bitrace phát hiện rằng tổ chức này không chỉ sử dụng cơ sở hạ tầng ngành công nghiệp không được phép để rửa tiền, mà còn sử dụng nhiều nền tảng tập trung để bán tháo, điều này trực tiếp dẫn đến nhiều tài khoản người dùng của sàn giao dịch cố ý hoặc vô tình nhận tiền bẩn bị kiểm soát rủi ro, và các địa chỉ kinh doanh của các nhà cung cấp OTC và dịch vụ thanh toán bị Tether đóng băng.

Vào năm 2024, sàn giao dịch tiền Bit của Nhật Bản DMM bị tấn công bởi Lazarus, 600 triệu USD Bit Coin bị chuyển trái phép. Trong đó, kẻ tấn công đã chuyển tiền sang công ty thanh toán tiền Bit ở Đông Nam Á HuionePay, dẫn đến địa chỉ ví nóng của họ bị Tether đóng băng, 29 triệu USD bị khóa và không thể chuyển.

Vào năm 2023, Poloniex bị tấn công, nghi ngờ do nhóm Lazarus, hơn 100 triệu USD tiền bị chuyển trái phép. Trong đó, một phần tiền được rửa thông qua giao dịch ngoài sàn, dẫn đến nhiều địa chỉ kinh doanh của các nhà cung cấp OTC bị đóng băng, hoặc tài khoản sàn giao dịch dùng để lưu trữ tiền kinh doanh bị kiểm soát rủi ro, ảnh hưởng lớn đến hoạt động kinh doanh.

Tóm lại

Các vụ tấn công hacker liên tiếp đã gây ra thiệt hại lớn cho ngành công nghiệp của chúng ta, và hoạt động rửa tiền sau đó cũng làm ô nhiễm nhiều địa chỉ cá nhân và tổ chức, đối với những người vô tội và những người có thể trở thành nạn nhân tiềm năng, cần phải chú ý đến những khoản tiền đe dọa này trong hoạt động kinh doanh để tránh bị ảnh hưởng.

Điều này cũng báo hiệu cho chúng ta, đã đến lúc phải chú trọng đến ý thức chống rửa tiền Bit và chương trình KYT.

Nguồn
Tuyên bố từ chối trách nhiệm: Nội dung trên chỉ là ý kiến của tác giả, không đại diện cho bất kỳ lập trường nào của Followin, không nhằm mục đích và sẽ không được hiểu hay hiểu là lời khuyên đầu tư từ Followin.
Thích
Thêm vào Yêu thích
Bình luận
Nội dung liên quan
Followin logo
loading indicator
Loading..