Tình hình đảo ngược. Bybit đã bị đánh cắp 1,5 tỷ đô la Mỹ. Hóa ra là nhà phát triển giao thức Safe đã bị hack.

avatar
ChainCatcher
02-27
Bài viết này được dịch máy
Xem bản gốc

Tác giả: Nói về blockchain

Trong khi nhiều người ngoài vẫn nghi ngờ về cách Bybit bị tấn công mặc dù có nhiều chữ ký, vào tối ngày 26 tháng 2, Bybit và Safe đã cùng đưa ra thông báo.

Safe cho biết, sau khi xem xét các bằng chứng về cuộc tấn công nhắm vào Bybit của Nhóm Lazarus, kết luận rằng cuộc tấn công này vào Safe{Wallet} của Bybit đã được thực hiện thông qua việc xâm nhập vào máy tính của nhà phát triển Safe{Wallet}, dẫn đến các giao dịch giả mạo. Lazarus là một tổ chức hacker Triều Tiên được nhà nước hậu thuẫn, nổi tiếng với các cuộc tấn công kỹ thuật xã hội phức tạp nhắm vào thông tin đăng nhập của nhà phát triển, đôi khi kết hợp với lỗ hổng zero-day.

Các nhà nghiên cứu an ninh bên ngoài không tìm thấy bất kỳ lỗ hổng nào trong mã nguồn của hợp đồng thông minh, giao diện người dùng và dịch vụ của Safe. Sau sự kiện gần đây, nhóm Safe{Wallet} đã tiến hành điều tra toàn diện và từng bước phục hồi Safe{Wallet} trên mạng chủ Ethereum. Nhóm Safe{Wallet} đã hoàn toàn xây dựng lại và định cấu hình lại tất cả cơ sở hạ tầng, và đã thay đổi tất cả thông tin đăng nhập để đảm bảo loại bỏ hoàn toàn các phương tiện tấn công. Sau khi chờ đợi kết quả điều tra cuối cùng, nhóm Safe{Wallet} sẽ công bố phân tích sau sự cố đầy đủ.

Giao diện người dùng của Safe{Wallet} vẫn đang hoạt động và đã áp dụng các biện pháp bảo mật bổ sung. Tuy nhiên, người dùng cần đặc biệt cẩn thận và giữ cảnh giác khi ký các giao dịch.

Bybit cho biết:

Thời gian tấn công: Mã độc đã được tiêm vào thùng lưu trữ AWS S3 của Safe{Wallet} vào ngày 19 tháng 2 năm 2025 và được kích hoạt khi Bybit thực hiện giao dịch multisig vào ngày 21 tháng 2 năm 2025, dẫn đến mất tiền.

Phương thức tấn công: Kẻ tấn công đã can thiệp vào tệp JavaScript của giao diện người dùng Safe{Wallet}, chèn mã độc, sửa đổi giao dịch multisig của Bybit để chuyển hướng tiền sang địa chỉ của kẻ tấn công.

Mục tiêu tấn công: Mã độc được thiết kế chuyên biệt nhắm vào địa chỉ ví lạnh multisig của Bybit và một địa chỉ kiểm tra, chỉ được kích hoạt trong điều kiện cụ thể.

Hoạt động sau khi tấn công: Sau khi giao dịch độc hại được thực hiện, khoảng 2 phút sau, kẻ tấn công đã xóa mã độc khỏi thùng lưu trữ AWS S3 để xóa dấu vết.

Kết luận điều tra: Cuộc tấn công bắt nguồn từ cơ sở hạ tầng AWS (có thể do rò rỉ tài khoản/khóa API S3 CloudFront hoặc bị xâm nhập) của Safe{Wallet}, chứ không phải cơ sở hạ tầng của Bybit.

Ví Safe multisig là một ví tiền mã hóa dựa trên hợp đồng thông minh blockchain, quản lý tài sản thông qua cơ chế chữ ký đa chủ (Multisig). Cốt lõi của nó là yêu cầu nhiều chủ sở hữu đã định trước (ví dụ: 2 trong số 3, hoặc 3 trong số 5, gọi là cơ chế M/N) cùng ủy quyền để thực hiện giao dịch. Chính ví là một hợp đồng được triển khai trên blockchain, ghi lại địa chỉ chủ sở hữu và ngưỡng chữ ký, giao dịch cần thu thập đủ chữ ký trước khi hợp đồng xác minh và thực hiện. Nguyên lý kỹ thuật của nó dựa trên thuật toán chữ ký số đường cong elliptic (ECDSA), người ký sử dụng khóa riêng để ký giao dịch, hợp đồng xác minh bằng khóa công khai. Đề xuất giao dịch trước tiên được lưu trữ trong hợp đồng, sau khi thu thập đủ chữ ký thì được gửi lên blockchain thực hiện, hỗ trợ mở rộng linh hoạt như chức năng khôi phục tài khoản.

Mudit Gupta của Polygon đặt câu hỏi, tại sao một nhà phát triển lại có quyền thay đổi nội dung trên trang web sản xuất của Safe ngay từ đầu? Ngoài ra, tại sao không có giám sát các thay đổi này?

Giám đốc điều hành Binance CZ cho biết, thông thường tôi không phê bình các bên tham gia khác, nhưng Safe đang sử dụng ngôn ngữ mơ hồ để che giấu vấn đề. "Xâm nhập vào máy tính của nhà phát triển Safe{Wallet}" có nghĩa là gì? Họ đã xâm nhập vào máy tính cụ thể này bằng cách nào? Đó là kỹ thuật kỹ thuật xã hội, virus, v.v.? Làm thế nào mà máy tính của nhà phát triển có thể truy cập vào "tài khoản do Bybit vận hành"? Một số mã được triển khai trực tiếp từ máy tính của nhà phát triển này vào môi trường sản xuất? Họ đã lừa dối các bước xác minh Ledger của nhiều chủ ký như thế nào? Đó là ký mù chăng? Hay là các chủ ký không xác minh đúng cách? 1,4 tỷ USD có phải là địa chỉ lớn nhất được quản lý bởi Safe không? Tại sao họ không nhắm vào những người khác? Những "ví tự lưu ký, multisig" khác và người dùng có thể học được bài học gì từ đây? Ngoài ra, CZ phủ nhận rằng Binance cũng sử dụng Safe để lưu trữ tài sản.

SlowMist Yuchen cho biết, phần hợp đồng thông minh của Safe thực sự không có vấn đề (dễ dàng xác minh trên chuỗi), nhưng giao diện người dùng bị can thiệp để lừa đảo. Còn về lý do bị can thiệp, chúng ta sẽ phải chờ đợi thông tin chi tiết từ Safe. Safe có thể coi là một cơ sở hạ tầng an toàn, lý thuyết thì bất kỳ ai sử dụng ví multisig này đều có thể bị đánh cắp như Bybit. Điều khiến người ta sợ hãi là, tất cả các dịch vụ khác có giao diện người dùng, API, v.v. để tương tác với người dùng cũng có thể có rủi ro tương tự. Đây cũng là một cuộc tấn công chuỗi cung ứng kinh điển. Đối với các tài sản/số dư lớn, mô hình quản lý an toàn cần được nâng cấp lớn. Nếu Safe đã thực hiện kiểm tra SRI cơ bản trên giao diện người dùng, thì ngay cả khi tệp js này bị thay đổi, cũng sẽ không xảy ra sự cố. Yuchen cho rằng, nếu nhà phát triển Safe đó là gián điệp Triều Tiên, anh ta cũng không ngạc nhiên.

Chủ tịch GCC Constantine cho biết, đây là một đòn giáng mạnh vào ngành công nghiệp, những "tài sản công cộng phi tập trung" mà người ta nói, có rủi ro điểm đơn lẻ thậm chí ở một vài nhà phát triển giao diện người dùng bình thường, gần như không có bảo mật. Ngoài Safe, còn rất nhiều phụ thuộc web3 nguồn mở khác cũng có nguy cơ tấn công chuỗi cung ứng tương tự, không chỉ quản lý rủi ro yếu kém, mà còn phụ thuộc nghiêm trọng vào cơ sở hạ tầng internet truyền thống để đảm bảo an toàn.

Hasu cho biết, mặc dù giao diện người dùng của Safe, chứ không phải cơ sở hạ tầng của Bybit, bị xâm nhập, nhưng cơ sở hạ tầng của Bybit cũng không đủ để ngăn chặn cuộc tấn công tương đối đơn giản cuối cùng. Khi chuyển hơn 1 tỷ đô la, không có lý do để không xác minh tính toàn vẹn của tin nhắn trên máy tính cách ly thứ hai.

Mingdao cho rằng, điểm then chốt là các giao dịch ký với số tiền lớn nên được tạo trên máy tính không kết nối mạng vĩnh viễn. Chỉ cần các chủ ký multisig ký ngoại tuyến, sau đó quảng bá thông qua máy tính kết nối mạng, các chủ ký khác ký như thế nào cũng không vấn đề. Nếu tất cả các chủ ký multisig chạy trên máy tính kết nối mạng và tạo giao dịch thông qua trang web trực tuyến, thì ví lạnh sẽ trở thành ví nóng. Đây không phải lỗi của Safe, cuối cùng nó chỉ là điểm tin cậy bất hạnh.

Vitalik cũng từng nói, cá nhân ông giữ 90% tài sản bằng ví multisig Safe.

Giám đốc điều hành Wintermute cho biết, không phải là Bybit có các biện pháp bảo mật hoàn hảo (có vẻ như họ có thể là chủ tài khoản multisig lớn nhất sử dụng giao thức SAF E). Nếu họ sử dụng các giải pháp như Fireblocks hoặc Fordefi, kết hợp với các biện pháp khác, đặc biệt là khi xử lý các chuyển tiền đơn giản, có thể hợp lý hơn.

Nguồn
Tuyên bố từ chối trách nhiệm: Nội dung trên chỉ là ý kiến của tác giả, không đại diện cho bất kỳ lập trường nào của Followin, không nhằm mục đích và sẽ không được hiểu hay hiểu là lời khuyên đầu tư từ Followin.
Thích
14
Thêm vào Yêu thích
5
Bình luận
Nội dung liên quan
Followin logo
loading indicator
Loading..