Vào ngày 21 tháng 2 năm 2025, Bybit, một sàn giao dịch tiền điện tử nổi tiếng, đã trải qua một vụ vi phạm bảo mật nghiêm trọng, dẫn đến mất gần 1,5 tỷ đô la giá trị của ether (ETH). Sự cố này là vụ trộm cắp kỹ thuật số lớn nhất trong lịch sử tiền điện tử. May mắn thay, Bybit đang tích cực hợp tác với các chuyên gia trong ngành, bao gồm Chainalysis, để truy tìm các tài sản bị đánh cắp. Họ cũng đã khởi động một chương trình thưởng tìm kiếm, cung cấp tới 10% số tiền thu hồi được cho những cá nhân giúp đỡ trong việc thu hồi tiền điện tử bị đánh cắp. Trong blog này, chúng tôi sẽ xem xét cách vụ lợi dụng này xảy ra; các chiến thuật, kỹ thuật và quy trình (TTPs) của các kẻ tấn công và sự nhất quán của họ với Cộng hòa Dân chủ Nhân dân Triều Tiên (CHDCND Triều Tiên); và cách Chainalysis hợp tác với Bybit và cơ quan thực thi pháp luật để giúp thu hồi quỹ. Chi tiết về vụ lợi dụng Bybit Vụ hack Bybit là một lời nhắc nhở rõ ràng về các chiến thuật ngày càng phát triển của các tội phạm mạng được nhà nước tài trợ, đặc biệt là những kẻ liên quan đến CHDCND Triều Tiên. Như chúng tôi đã tiết lộ gần đây trong Báo cáo Tội phạm Tiền điện tử 2025 của mình, các hacker liên quan đến Bắc Triều Tiên đã đánh cắp khoảng 660,5 triệu đô la trên 20 vụ việc trong năm 2023. Trong năm 2024, con số này tăng lên 1,34 tỷ đô la bị đánh cắp trên 47 vụ việc - tăng 102,88% về giá trị bị đánh cắp. Riêng vụ hack Bybit đã dẫn đến việc bị đánh cắp gần 160 triệu đô la nhiều hơn tất cả các quỹ bị đánh cắp bởi Bắc Triều Tiên trong suốt năm 2024. Cuộc tấn công này nổi bật một kịch bản phổ biến được sử dụng bởi CHDCND Triều Tiên: tổ chức các cuộc tấn công kỹ thuật xã hội và sử dụng các phương pháp rửa tiền phức tạp để cố gắng di chuyển các quỹ bị đánh cắp một cách không bị phát hiện. Quỹ từ vụ lợi dụng Bybit cũng đã được tập trung vào các địa chỉ nắm giữ quỹ từ các cuộc tấn công liên quan đến CHDCND Triều Tiên khác, cung cấp thêm bằng chứng rằng các diễn viên quốc gia này đứng sau sự cố mới nhất này. Dưới đây là một phân tích từng bước về cách vụ lợi dụng Bybit đã diễn ra: 1. Xâm nhập ban đầu thông qua kỹ thuật kỹ thuật xã hội: Các hacker đã có được quyền truy cập giao diện người dùng của Bybit bằng cách thực hiện các cuộc tấn công lừa đảo nhắm vào các người ký hợp đồng ví lạnh, khiến họ ký các giao dịch độc hại thay thế hợp đồng triển khai ví đa chữ ký của Safe bằng một hợp đồng độc hại. 2. Khởi động các chuyển khoản trái phép: Trong những gì dường như là một chuyển khoản thường xuyên từ ví Ethereum lạnh của Bybit sang ví nóng, các kẻ tấn công đã can thiệp vào quá trình này. Họ đã quản lý để chuyển hướng khoảng 401.000 ETH - trị giá gần 1,5 tỷ đô la tại thời điểm vụ lợi dụng - đến các địa chỉ dưới sự kiểm soát của họ. 3. Phân tán tài sản thông qua các ví trung gian: Các tài sản bị đánh cắp sau đó đã được chuyển qua một mạng lưới phức tạp các địa chỉ trung gian. Việc phân tán này là một chiến thuật phổ biến được sử dụng để làm mờ dấu vết và cản trở nỗ lực theo dõi của các nhà phân tích chuỗi khối. 4. Chuyển đổi và rửa tiền: Các hacker đã trao đổi các phần đáng kể của ETH bị đánh cắp để lấy các token bao gồm BTC và DAI. Họ cũng sử dụng các sàn giao dịch phi tập trung (DEX), cầu nối liên mạng và một dịch vụ hoán đổi tức thì không yêu cầu KYC để di chuyển tài sản qua các mạng. 5. Giữ quỹ ở trạng thái nghỉ ngơi và rửa tiền chiến lược: Một phần đáng kể của các quỹ bị đánh cắp đã được giữ ở trạng thái nghỉ ngơi trên các địa chỉ khác nhau, một động thái cố ý thường được các hacker liên quan đến Bắc Triều Tiên sử dụng. Bằng cách trì hoãn các nỗ lực rửa tiền, họ nhằm mục đích vượt qua sự chú ý đặc biệt thường xuyên theo sau các vi phạm nổi bật như vậy. Sự hợp tác trong ngành sau vụ hack Bybit Mặc dù mức độ nghiêm trọng của cuộc tấn công vào Bybit, tính minh bạch vốn có của công nghệ blockchain đặt ra một thách thức đáng kể đối với các tác nhân độc hại cố gắng rửa tiền bị đánh cắp. Mỗi giao dịch được ghi lại trên một sổ cái công khai, cho phép các cơ quan chức năng và công ty an ninh mạng theo dõi và giám sát các hoạt động bất hợp pháp theo thời gian thực. Sự hợp tác trong hệ sinh thái tiền điện tử là điều cốt yếu trong việc chống lại những mối đe dọa này. Phản ứng nhanh chóng của Bybit, bao gồm cam kết bồi thường cho khách hàng và sự tham gia của các chuyên gia phân tích blockchain, thể hiện sự cam kết của ngành đối với sự hỗ trợ và sức chống chịu lẫn nhau. Bằng cách kết hợp các nguồn lực và thông tin tình báo, cộng đồng tiền điện tử có thể tăng cường khả năng phòng thủ của mình trước các cuộc tấn công mạng tinh vi như vậy và hướng tới một môi trường tài chính kỹ thuật số an toàn hơn. Chúng tôi đang làm việc với các nhóm toàn cầu, khách hàng và đối tác của mình trên cả khu vực công và tư nhân để hỗ trợ nhiều con đường thu giữ và thu hồi trong phản ứng với cuộc tấn công này. Cho đến nay, chúng tôi đã làm việc với các liên hệ trong ngành để giúp đóng băng hơn 40 triệu đô la quỹ bị đánh cắp từ Bybit và tiếp tục hợp tác với các tổ chức khu vực công và tư nhân để thu giữ càng nhiều càng tốt. Chúng tôi sẽ tiếp tục cung cấp các bản cập nhật về vấn đề này.