"Hiệu ứng cánh bướm" do vụ trộm 1,5 tỷ đô la Bybit: Các nhóm OTC sẽ phải đối mặt với làn sóng đóng băng

avatar
PANews
02-25
Bài viết này được dịch máy
Xem bản gốc
Dưới đây là bản dịch tiếng Việt của văn bản:

Vào ngày 21 tháng 2 năm 2025, sàn giao dịch Bit Bybit đã trải qua một vụ việc lỗ hổng bảo mật lớn, dẫn đến mất khoảng 1,5 tỷ USD tài sản từ ví lạnh ETH của họ. Sự kiện này được coi là vụ trộm cắp lớn nhất trong lịch sử Bit, vượt qua các vụ trước đó như Poly Network (năm 2021, 611 triệu USD) và Ronin Network (năm 2022, 620 triệu USD), gây ảnh hưởng lớn đến ngành công nghiệp.

Bài viết này nhằm mục đích giới thiệu về vụ hack và phương thức rửa tiền của các hacker, đồng thời cảnh báo về đợt đóng băng quy mô lớn sắp tới đối với các nhóm OTC và công ty thanh toán Bit trong vài tháng tới.

Quá trình trộm cắp

Theo mô tả của Bybit Ben Zhou và cuộc điều tra ban đầu của Bitrace, quá trình trộm cắp diễn ra như sau:

Chuẩn bị tấn công: Các hacker đã triển khai một hợp đồng thông minh độc hại (địa chỉ: 0xbDd077f651EBe7f7b3cE16fe5F2b025BE2969516) ít nhất 3 ngày trước sự cố (tức là ngày 19 tháng 2) để chuẩn bị cho cuộc tấn công sau này.

Xâm nhập hệ thống ký nhiều chữ ký: Ví lạnh ETH của Bybit sử dụng cơ chế ký nhiều chữ ký, thường cần nhiều bên ủy quyền ký mới có thể thực hiện giao dịch. Các hacker đã xâm nhập vào máy tính quản lý ví ký nhiều chữ ký bằng cách giả mạo giao diện hoặc phần mềm độc hại.

Giả mạo giao dịch: Vào ngày 21 tháng 2, Bybit có kế hoạch chuyển ETH từ ví lạnh sang ví nóng để đáp ứng nhu cầu giao dịch hàng ngày. Các hacker đã lợi dụng cơ hội này, giả mạo giao diện giao dịch thành hoạt động bình thường, lừa những người ký xác nhận một giao dịch có vẻ hợp pháp. Tuy nhiên, lệnh thực sự được thực hiện là thay đổi logic hợp đồng thông minh của ví lạnh.

Chuyển tiền: Sau khi lệnh có hiệu lực, các hacker nhanh chóng kiểm soát được ví lạnh và chuyển khoảng 1,5 tỷ USD ETH và các chứng chỉ ETH đang được thế chấp đến một địa chỉ không xác định (địa chỉ theo dõi ban đầu: 0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2). Sau đó, tiền được phân tán vào nhiều ví và bắt đầu quá trình rửa tiền.

Phương thức rửa tiền

Quá trình rửa tiền có thể chia thành hai giai đoạn:

Giai đoạn đầu tiên là giai đoạn phân chia tiền sớm, kẻ tấn công nhanh chóng chuyển đổi các chứng chỉ ETH thành Bit ETH, thay vì các stablecoin có khả năng bị đóng băng, sau đó nghiêm ngặt phân chia và chuyển Bit ETH đến các địa chỉ cấp dưới, chuẩn bị cho quá trình rửa tiền.

Chính trong giai đoạn này, hành vi của kẻ tấn công khi cố gắng chuyển đổi 15.000 mETH thành Bit ETH đã bị ngăn chặn, do đó ngành công nghiệp đã thu hồi một phần thiệt hại.

Giai đoạn thứ hai là quá trình rửa tiền. Kẻ tấn công sẽ chuyển Bit ETH đã thu được thông qua các cơ sở hạ tầng trung tâm hóa hoặc phi tập trung của ngành công nghiệp, bao gồm Chainflip, THORChain, Uniswap, eXch, v.v. Một số giao thức được sử dụng để trao đổi tiền, một số giao thức khác được sử dụng để chuyển tiền qua chuỗi.

Cho đến nay, đã có rất nhiều tiền bị đánh cắp được chuyển đổi thành BTC, DOGE, SOL và các token layer1 khác, thậm chí phát hành meme coin hoặc chuyển vào địa chỉ sàn giao dịch để làm mờ dấu vết.

Bitrace đang theo dõi và truy vết các địa chỉ liên quan đến tiền bị đánh cắp, thông tin đe dọa này sẽ được đồng bộ trên BitracePro và Detrust để ngăn người dùng vô tình nhận tiền bị đánh cắp.

Phân tích tiền án

Phân tích chuỗi tiền tệ của địa chỉ 0x457 cho thấy địa chỉ này liên quan đến vụ trộm xảy ra tại sàn giao dịch BingX vào tháng 10 năm 2024 và vụ trộm tại sàn giao dịch Phemex vào tháng 1 năm 2025, cho thấy ba vụ tấn công này do cùng một thực thể chủ mưu.

Kết hợp với phương pháp rửa tiền công nghiệp hóa cao và phương thức tấn công, một số chuyên gia an ninh blockchain cho rằng sự kiện này là do tổ chức hacker nổi tiếng Lazarus đứng sau, họ đã phát động nhiều cuộc tấn công mạng vào các tổ chức hoặc cơ sở hạ tầng của ngành Bit trong vài năm qua và bất hợp pháp chiếm đoạt hàng tỷ USD Bit.

Nguy cơ đóng băng

Trong quá trình điều tra trong vài năm qua, Bitrace phát hiện tổ chức này không chỉ sử dụng cơ sở hạ tầng ngành công nghiệp không được phép để rửa tiền, mà còn sử dụng nhiều nền tảng tập trung để bán tháo, điều này trực tiếp dẫn đến nhiều tài khoản của người dùng sàn giao dịch, địa chỉ kinh doanh của các nhà cung cấp OTC và tổ chức thanh toán bị kiểm soát rủi ro và đóng băng.

Năm 2024, sàn giao dịch Bit của Nhật Bản DMM bị tấn công bởi Lazarus, 600 triệu USD Bit bị chuyển trái phép. Trong đó, kẻ tấn công đã chuyển tiền sang công ty thanh toán Bit ở Đông Nam Á HuionePay, dẫn đến địa chỉ ví nóng của công ty bị đóng băng Tether, 29 triệu USD bị khóa và không thể chuyển.

Năm 2023, Poloniex bị tấn công, nghi ngờ do nhóm Lazarus, hơn 100 triệu USD bị chuyển trái phép. Một phần tiền được rửa thông qua giao dịch ngoài sàn, dẫn đến nhiều địa chỉ kinh doanh của các nhà cung cấp OTC bị đóng băng hoặc tài khoản sàn giao dịch dùng để lưu trữ tiền kinh doanh bị kiểm soát rủi ro, ảnh hưởng lớn đến hoạt động kinh doanh.

Tóm lại

Các vụ tấn công hacker liên tiếp đã gây ra thiệt hại lớn cho ngành công nghiệp của chúng ta, và hoạt động rửa tiền sau đó cũng đã làm ô nhiễm nhiều địa chỉ cá nhân và tổ chức, đối với những người vô tội và những người có thể trở thành nạn nhân tiềm năng, cần phải chú ý đến những khoản tiền đe dọa này trong hoạt động kinh doanh để tránh bị ảnh hưởng.

Nguồn
Tuyên bố từ chối trách nhiệm: Nội dung trên chỉ là ý kiến của tác giả, không đại diện cho bất kỳ lập trường nào của Followin, không nhằm mục đích và sẽ không được hiểu hay hiểu là lời khuyên đầu tư từ Followin.
Thích
Thêm vào Yêu thích
Bình luận
Nội dung liên quan
Followin logo
loading indicator
Loading..