Vào tháng 2 năm nay, nhóm tin tặc Triều Tiên Lazarus đã đánh cắp lượng lớn ETH từ sàn giao dịch crypto Bybit thông qua một cuộc tấn công tinh vi. Vào thời điểm đó, chúng ta có thể nghĩ rằng đây chỉ là một cảnh trong phim, nhưng hóa ra quy mô của cuộc tấn công lớn hơn nhiều so với những gì mọi người có thể tưởng tượng. Đến nay, đã nhiều tháng trôi qua kể từ khi vụ việc xảy ra và các biện pháp điều tra và ứng phó mới nhất đã dần được công bố. Một lần nữa chúng ta cần chú ý đến diễn biến và tác động của một trong những vụ trộm crypto lớn nhất trong lịch sử.
Bối cảnh tấn công: 1,46 tỷ đô la ETH đã biến mất
Vào ngày 21 tháng 2 năm 2025, sàn giao dịch crypto có tiếng thế giới Bybit đã bị tấn công, gây ra thiệt hại khoảng 500.000 ETH(ETH) với giá trị vốn hóa thị trường lên tới 1,46 tỷ đô la Mỹ. Tính kỹ thuật của hoạt động hack này thật đáng kinh ngạc: tin tặc không xâm nhập trực tiếp vào hệ thống chính Bybit mà thay vào đó xâm nhập vào nhà cung cấp dịch vụ ví bên thứ ba Safe{Wallet}, xâm nhập vào máy tính của nhà phát triển và cấy một mô-đun ký độc hại.
Loại tấn công này được gọi là "tấn công Chuỗi supply ". Nói một cách đơn giản, đó là đầu độc một tiến trình có vẻ vô hại và cuối cùng bí mật chuyển ETH của người dùng đến địa chỉ của tin tặc khi tiền được chuyển đi.
Tin tặc Bắc Triều Tiên Lazarus lại tấn công
Vụ tấn công này tương tự như một số vụ trộm cắp lớn trong những năm gần đây, cuối cùng đều có liên quan đến cùng một tổ chức: Nhóm Lazarus của Triều Tiên. Tổ chức này trước đây đã bị cáo buộc tấn công vào các nền tảng như Axie Infinity, Harmony và Coincheck , đặc biệt nhắm vào tài sản crypto để xâm nhập và rửa tiền.
Sau khi FBI và các công ty phân tích blockchain như Elliptic so sánh chéo, người ta xác nhận rằng phương pháp tấn công Bybit, mô hình rửa tiền phi tập trung cao độ và các công cụ trộn tiền xu được sử dụng đều phù hợp với các hành động lịch sử của Lazarus và gần như chắc chắn rằng đây là một cuộc tấn công khác của họ.
Tin tặc rửa tiền bằng cách nào? Phơi nhiễm dòng tiền quỹ
Tin tặc không giữ ETH được lâu và khoảng 84% số tiền đã nhanh chóng được chuyển đổi thành Bitcoin(BTC), sau đó được phân tán đến hơn 35.000 địa chỉ ví khác nhau. Số lượng tiền được giữ trong mỗi địa chỉ được giữ ở mức cực kỳ thấp, trung bình chỉ khoảng 0,28 BTC, nhằm tránh bị theo dõi bởi các công cụ phân tích Chuỗi.
Hơn nữa, họ sử dụng nhiều công cụ nặc danh khác nhau, chẳng hạn như:
- Tornado Cash (Máy trộn)
- THORChain(Cầu nối xuyên chuỗi)
- Wasabi Wallet (ví riêng tư)
- Railgun (giao thức bảo mật phi phi tập trung)
Những công cụ này không chỉ có thể che giấu nguồn tiền mà còn chuyển đổi tài sản trên Chuỗi để tẩy trắng thêm.
Ước tính hiện tại:
- Khoảng 28% số tiền không thể theo dõi được
- Khoảng 4% đã được đóng băng thành công
- Gần 70% còn lại vẫn có thể được theo dõi, nhưng đang di cư nhanh chóng.
Phản hồi và “phần thưởng” của Bybit
Sau khi sự cố nổ ra, Bybit đã nhanh chóng triển khai "Dự án tiền thưởng Lazarus" và trao thưởng cho các hacker Mũ trắng và nhân viên an ninh trên toàn thế giới. Bất kỳ ai có thể giúp theo dõi và ngăn chặn việc chuyển tiền sẽ nhận được tiền thưởng cao. Cho đến nay, 22 chuyên gia đã nhận được tổng số tiền bồi thường hơn 4,3 triệu đô la.
Ngoài ra, Bybit tuyên bố rằng hệ thống tài chính của họ vẫn ổn định và có thể chịu được lần thất, tài sản của người dùng không bị thiệt hại. Họ đã tăng cường quy trình quản lý ví lạnh và thuê các chuyên gia tư vấn bảo mật bên ngoài để xem xét lại cấu trúc tổng thể nhằm ngăn chặn các lỗ hổng tương tự xảy ra lần nữa.
Phản ứng của thị trường: biến động ngắn hạn và lo lắng tâm lý
Bybit xảy ra vào tuần mà thị trường crypto chứng kiến sự biến động đáng kể. Giá ETH(ETH) sụt giảm khoảng 4,8% trong thời gian ngắn, gây ra phản ứng dây chuyền trên toàn thị trường, bao gồm Bitcoin, Solana và token, tất cả đều giảm hơn 3% trong 24 giờ.
Mặc dù sự cố này là vấn đề an ninh mạng của một nền tảng riêng lẻ, nhưng các kỹ thuật tinh vi mà tin tặc sử dụng, số tiền khổng lồ liên quan và tính nhạy cảm của vụ việc khi có liên quan đến chính phủ Triều Tiên đã gây ra "hiệu ứng thử thách lòng tin" trên thị trường.
Các nhà đầu tư quan tâm đến:
- Sàn giao dịch khác có lỗ hổng tương tự không?
- Liệu nâng cấp quản lý quốc tế có dẫn đến tình trạng chảy vốn ra nước ngoài không?
- Liệu tin tặc Triều Tiên vẫn còn giữ lượng lớn tiền điện tử bị đánh cắp chưa xử lý có thể gây ra sự cố trong tương lai không?
Tuy nhiên, khi Bybit chủ động xử lý thông tin liên lạc với cộng đồng và bản thân Bitcoin vẫn đang trong chu kỳ thị trường bò, giá của đồng tiền này đã dần phục hồi trong vòng hai tuần sau sự cố và thị trường dần ổn định. Nhưng vụ tấn công này vẫn là lời cảnh báo cho các nhà đầu tư và cơ quan quản lý, gây áp lực lâu dài lên nền tảng niềm tin của các sàn giao dịch.
Phản ứng quốc tế: FBI chính thức khởi kiện, nâng cấp hợp tác quốc tế
FBI chính thức đệ đơn khởi kiện Lazarus vào tháng 3 năm 2025 và triển khai chiến dịch đối phó mang tên "TraderTraitor" để ngăn chặn dòng tài sản bị đánh cắp sau đó. Bộ Ngân khố Hoa Kỳ cũng sẽ làm việc với các tổ chức tài chính ở nhiều quốc gia để chặn và trừng phạt các ví ẩn nặc danh nhận hoặc hỗ trợ xử lý các khoản tiền liên quan.
Sự cố này một lần nữa đưa vấn đề bảo mật crypto lên hàng đầu. Không chỉ cộng đồng kỹ thuật bắt đầu xem xét lại quy trình phát triển các mô-đun ví mà các cơ quan quản lý toàn cầu cũng kêu gọi sàn giao dịch tăng cường đánh giá KYC, AML và Chuỗi cung ứng.
Tác động và cảm hứng trong tương lai
Sự cố Bybit này đã để lại một số cảnh báo quan trọng:
- Rủi ro tấn công vào Chuỗi cung ứng cao hơn dự kiến. Nó không còn chỉ là vấn đề kỹ thuật nữa mà là thách thức đối với tính bảo mật của toàn bộ quy trình.
- Máy trộn tiền xu và các công cụ Chuỗi chéo sẽ trở thành trọng tâm giám sát và có thể được yêu cầu đưa vào khai báo và đánh giá trong tương lai.
- Tính minh bạch và khả năng phản hồi sàn giao dịch đã trở thành chìa khóa tạo nên lòng tin. Mặc dù Bybit đã phản ứng nhanh chóng, nhưng niềm tin chung của thị trường vẫn bị lung lay.
Đối với người dùng thông thường, đây cũng là lời nhắc nhở: ngay cả khi hoạt động trên các nền tảng chính thống, rủi ro về bảo mật thông tin vẫn không thể loại bỏ hoàn toàn. Việc lựa chọn một nền tảng đáng tin cậy và sử dụng ví lạnh để lưu trữ tài sản có thể là lựa chọn ổn định hơn.
〈 Hacker quyền lực nhất cộng đồng tiền điện tử thực sự là người Triều Tiên? Bài viết mới nhất về vụ trộm Bybit 〉Bài viết này được xuất bản lần đầu trên " NONE LAND Chuỗi ".
