Sự thật đằng sau vụ trộm gần 1,5 tỷ đô la Bybit

avatar
金色财经
02-27
Bài viết này được dịch máy
Xem bản gốc

Tác giả: 23pds & Thinking Biên tập: Liz

Bối cảnh

Vào tối ngày 26 tháng 2, Bybit và Safe đồng thời công bố thông báo điều tra an ninh về vụ việc Bybit bị đánh cắp gần 1,5 tỷ USD tiền mã hóa trước đó.

Phía Safe cho biết:

Phân tích chứng cứ cho thấy, nhóm Lazarus đã tiến hành cuộc tấn công nhắm vào Bybit thông qua việc xâm nhập vào máy tính của nhà phát triển Safe{Wallet}, từ đó gửi một đề xuất giao dịch giả mạo độc hại và lừa đảo chủ sở hữu ví Safe của Bybit ký vào giao dịch độc hại, để tấn công vào ví Safe của Bybit.

Các chuyên gia an ninh bên ngoài không tìm thấy bất kỳ lỗ hổng nào trong mã nguồn hợp đồng thông minh, giao diện người dùng hoặc các dịch vụ liên quan của Safe. Sau sự kiện, nhóm Safe{Wallet} đã tiến hành điều tra toàn diện và từng bước khôi phục ví Safe{Wallet} trên mạng chủ Ethereum. Nhóm Safe{Wallet} đã hoàn toàn xây dựng lại và định cấu hình lại tất cả cơ sở hạ tầng, đồng thời thay đổi tất cả các thông tin xác thực để đảm bảo loại bỏ hoàn toàn các phương tiện tấn công. Sau khi kết quả điều tra cuối cùng được công bố, nhóm Safe{Wallet} sẽ phát hành một bản phân tích toàn diện sau sự kiện.

Giao diện người dùng của Safe{Wallet} vẫn đang hoạt động và đã áp dụng các biện pháp bảo mật bổ sung. Tuy nhiên, người dùng cần đặc biệt cẩn thận và giữ cảnh giác khi ký các giao dịch.

Phía Bybit cho biết:

  • Thời gian tấn công: Mã độc đã được tiêm vào thùng lưu trữ AWS S3 của Safe{Wallet} vào ngày 19 tháng 2 năm 2025 và được kích hoạt khi Bybit thực hiện giao dịch multisig vào ngày 21 tháng 2 năm 2025, dẫn đến mất tiền.

  • Phương thức tấn công: Kẻ tấn công đã can thiệp vào tệp JavaScript của giao diện người dùng Safe{Wallet}, chèn mã độc và sửa đổi giao dịch multisig của Bybit để chuyển hướng tiền sang địa chỉ của kẻ tấn công.

  • Mục tiêu tấn công: Mã độc chỉ nhắm vào địa chỉ ví lạnh multisig của Bybit và một địa chỉ kiểm tra, chỉ được kích hoạt trong điều kiện cụ thể.

  • Hoạt động sau khi tấn công: Sau khi giao dịch độc hại được thực hiện, khoảng 2 phút sau, kẻ tấn công đã xóa mã độc khỏi thùng lưu trữ AWS S3 để xóa dấu vết.

  • Kết luận điều tra: Cuộc tấn công bắt nguồn từ cơ sở hạ tầng AWS (có thể do lộ tài khoản/khóa API S3 CloudFront hoặc bị xâm nhập) của Safe{Wallet}, cơ sở hạ tầng của Bybit không bị tấn công.

Cục Điều tra Liên bang Mỹ (FBI) đã phát hành một thông báo, xác nhận rằng nhóm hacker Bắc Triều Tiên "TraderTraitor" (còn gọi là Lazarus Group) là kẻ chủ mưu đứng sau cuộc tấn công vào sàn giao dịch Bybit vào ngày 21 tháng 2, dẫn đến mất 1,5 tỷ USD tài sản mã hóa.

Phân tích lại

Mặc dù SlowMist không trực tiếp tham gia phân tích, nhưng chúng tôi vẫn liên tục theo dõi diễn biến của vụ việc.

Vào sáng ngày 26 tháng 2, khi nhóm an ninh SlowMist đang thảo luận về cuộc tấn công, 23pds - Giám đốc An ninh Thông tin của SlowMist - nhận thấy rằng từ sau khi cuộc tấn công xảy ra vào ngày 21 tháng 2, Safe đã bắt đầu thực hiện các thay đổi về mã nguồn giao diện người dùng, vì vậy 23pds đã đăng một phần phân tích trên X và ngay lập tức thông báo cho Thinking - Trưởng nhóm an ninh SlowMist - để theo dõi:

https://app.safe.global/_next/static/chunks/pages/_app-52c9031bfa03da47.js

Lịch sử thay đổi của tệp JavaScript này:

Trước tiên, chúng tôi sử dụng urlscan để thu thập các thay đổi trên app.safe.global trong vài tháng gần đây, và phát hiện chỉ có tệp "_app-52c9031bfa03da47.js" này thay đổi:

Do đó, chúng tôi đã sử dụng archive để phân tích các thay đổi của tệp này:

https://web.archive.org/web/20250219172905js_/https://app.safe.global/_next/static/chunks/pages/_app-52c9031bfa03da47.js

Như hình ảnh cho thấy:

Chúng tôi đã tìm thấy địa chỉ hợp đồng độc hại mà kẻ tấn công sử dụng: 0xbdd077f651ebe7f7b3ce16fe5f2b025be2969516.

Phân tích mã JavaScript "_app-52c9031bfa03da47.js" như sau:

(Nguồn ảnh: ScamSniffer)

Sơ đồ tổng thể quá trình tấn công

Một điều trùng hợp là, trong quá trình phân tích của chúng tôi, Safe và Bybit vừa mới công bố báo cáo điều tra vào tối qua, cuối cùng vụ việc đã có kết luận, đây là một tin tốt. Từ đây, có thể xác nhận rằng vụ mất 1,5 tỷ USD tiền mã hóa của Bybit là một cuộc tấn công có chủ ý của kẻ tấn công. Sự kiện này đã tiết lộ khả năng chính xác của hacker trong việc tấn công vào môi trường phát triển và chuỗi cung ứng, đồng thời nhấn mạnh tầm quan trọng của quyền kiểm soát mã nguồn giao diện người dùng. Kẻ tấn công đã giành được quyền kiểm soát mã nguồn giao diện người dùng của app.safe.global, sau đó tiến hành tấn công chính xác vào ví Safe{Wallet} của Bybit. Khi các chủ sở hữu multisig của Bybit sử dụng app.safe.global để ký, giao diện hiển thị địa chỉ bình thường, nhưng thực tế đã thay đổi nội dung giao dịch thành dữ liệu ký độc hại, từ đó lừa các chủ sở hữu ký vào dữ liệu ký độc hại. Cuối cùng, kẻ tấn công đã thành công chiếm quyền kiểm soát hợp đồng ví multisig của Bybit và thực hiện việc đánh cắp tiền.

Nguồn
Tuyên bố từ chối trách nhiệm: Nội dung trên chỉ là ý kiến của tác giả, không đại diện cho bất kỳ lập trường nào của Followin, không nhằm mục đích và sẽ không được hiểu hay hiểu là lời khuyên đầu tư từ Followin.
Thích
Thêm vào Yêu thích
Bình luận
Nội dung liên quan
Followin logo
Không có bình luận
avatar
Trả lời