Bybit bị tấn công bởi hacker vào ngày 21 tháng 2, mất gần 1,5 tỷ USD, trở thành một trong những vụ tấn công lớn nhất, hôm nay Sygnia đã công bố báo cáo sơ bộ về sự kiện này, dưới đây là bản dịch tiếng Trung của báo cáo.
Bối cảnh
Vào thứ Sáu, ngày 21 tháng 2 năm 2025, Bybit đã phát hiện ra hoạt động chưa được ủy quyền liên quan đến một Ví lạnh ETH của họ. Sự kiện này xảy ra khi thực hiện giao dịch chuyển ETH từ Ví lạnh sang Ví nóng thông qua Safe{Wallet} với chữ ký đa chủ, kẻ tấn công đã can thiệp và thao túng giao dịch này. Kẻ tấn công đã thành công trong việc kiểm soát Ví lạnh bị ảnh hưởng và chuyển các tài sản trong đó sang các Ví do chúng kiểm soát.
Sygnia được Bybit ủy quyền tiến hành điều tra và xác định nguyên nhân gốc rễ của cuộc tấn công, nhằm xác định phạm vi và nguồn gốc của cuộc tấn công, đồng thời giảm thiểu rủi ro hiện tại và trong tương lai.
Các phát hiện chính:
Cho đến nay, cuộc điều tra về các bằng chứng đã nổi bật lên những phát hiện sau:
- Điều tra các máy chủ được sử dụng để khởi tạo và ký kết giao dịch cho thấy, các tài nguyên trong Thùng chứa AWS S3 của Safe{Wallet} đã bị chèn mã JavaScript độc hại.
- Thời gian sửa đổi tài nguyên và lịch sử mạng công khai cho thấy, việc chèn mã độc hại đã được thực hiện trực tiếp trong Thùng chứa AWS S3 của Safe{Wallet}.
- Phân tích sơ bộ về mã JavaScript được chèn vào cho thấy, mục đích chính của nó là thao túng giao dịch, thay đổi nội dung giao dịch một cách hiệu quả trong quá trình ký.
- Ngoài ra, phân tích mã JavaScript được chèn vào đã phát hiện ra một điều kiện kích hoạt, chỉ thực hiện khi nguồn giao dịch khớp với một trong hai địa chỉ hợp đồng: địa chỉ hợp đồng của Bybit và một địa chỉ hợp đồng chưa được xác định (có thể liên quan đến hợp đồng kiểm tra do kẻ tấn công kiểm soát).
- Khoảng hai phút sau khi giao dịch độc hại được thực hiện và công bố, một phiên bản mới của tài nguyên JavaScript đã được tải lên Thùng chứa AWS S3 của Safe{Wallet}. Các bản cập nhật này đã xóa bỏ mã độc hại.
- Các phát hiện sơ bộ cho thấy, nguồn tấn công xuất phát từ cơ sở hạ tầng AWS của Safe{Wallet}.
- Cho đến nay, cuộc điều tra về các bằng chứng không phát hiện thấy bất kỳ dấu hiệu xâm nhập vào cơ sở hạ tầng của Bybit.
Các phát hiện kỹ thuật
Trong quá trình điều tra các máy chủ được sử dụng để khởi tạo và ký kết giao dịch, đã thu được các kết quả sau:
Bộ nhớ cache của trình duyệt Chrome
Phân tích các tệp bộ nhớ cache của trình duyệt Chrome đã xác định các tệp cache chứa tài nguyên JavaScript được tạo ra khi ký giao dịch trên tất cả ba máy chủ của người ký.
Nội dung của các tệp cache cho thấy, các tài nguyên được cung cấp từ Thùng chứa AWS S3 của Safe{Wallet} vào ngày 21 tháng 2 năm 2025 lần cuối được sửa đổi vào ngày 19 tháng 2 năm 2025, tức là hai ngày trước khi giao dịch độc hại xảy ra.
Chèn mã JavaScript độc hại
Nội dung của mã JavaScript được tìm thấy trong lịch sử duyệt web của Chrome cho thấy các sửa đổi độc hại do kẻ tấn công giới thiệu. Phân tích sơ bộ về mã được chèn vào cho thấy nó nhằm mục đích thay đổi nội dung giao dịch.
Trạng thái hiện tại của Thùng chứa AWS S3 của Safe{Wallet}
Các tài nguyên hiện được cung cấp thông qua Thùng chứa AWS S3 của Safe{Wallet} không chứa mã độc hại được xác định trong các tệp cache của Chrome.
Điều tra cho thấy, các tài nguyên JavaScript đã được sửa đổi vào lúc 14:15:13 và 14:15:32 UTC vào ngày 21 tháng 2 năm 2025 - khoảng hai phút sau khi giao dịch độc hại được thực hiện.
Lưu trữ Internet của Safe{Wallet}
Phân tích thêm về các tài nguyên của Safe{Wallet} bằng cách sử dụng lưu trữ mạng công khai đã phát hiện ra hai ảnh chụp tài nguyên JavaScript của Safe{Wallet} vào ngày 19 tháng 2 năm 2025. Xem xét các ảnh chụp này cho thấy, ảnh chụp đầu tiên chứa mã Safe{Wallet} hợp pháp ban đầu, trong khi ảnh chụp thứ hai chứa tài nguyên với mã JavaScript độc hại. Điều này tiếp tục cho thấy mã độc hại tạo ra giao dịch độc hại trực tiếp đến từ cơ sở hạ tầng AWS của Safe{Wallet}.
Kết luận
Điều tra các máy chủ của ba người ký cho thấy, nguyên nhân gốc rễ của cuộc tấn công là mã độc hại đến từ cơ sở hạ tầng của Safe{Wallet}.
Không có dấu hiệu cho thấy cơ sở hạ tầng của Bybit bị xâm nhập.
Cuộc điều tra vẫn đang tiếp tục để xác nhận thêm các phát hiện này.
Về Sygnia
Sygnia là một công ty tư vấn an ninh mạng và ứng phó sự cố, nổi tiếng với đội ngũ tình báo mạng chuyên nghiệp. Sygnia hợp tác với khách hàng để nhanh chóng ngăn chặn và khắc phục các cuộc tấn công, đồng thời chủ động tăng cường khả năng chống chịu mạng của họ. Các chuyên gia của Sygnia xem xét sức khỏe kinh doanh của khách hàng khi giải quyết mọi thách thức về an ninh. Họ có hồ sơ kinh nghiệm phong phú, cam kết và cẩn trọng, được các tổ chức hàng đầu trên thế giới (bao gồm các công ty Fortune 100) tin tưởng, bao gồm các nhóm an ninh, lãnh đạo cấp cao và hội đồng quản trị.
