Vào hôm thứ Sáu, nhóm hacker được chính phủ Triều Tiên hậu thuẫn Lazarus đã thực hiện vụ tấn công lớn nhất từ trước đến nay vào một sàn giao dịch tiền điện tử tập trung, đánh cắp hơn 1,5 tỷ USD giá trị ETH và các token phái sinh từ Bybit. Chỉ vài giờ sau cuộc tấn công, các nhà nghiên cứu bảo mật Ethereum đang nỗ lực tìm hiểu cách thức thực hiện và liệu những nơi khác có còn đang gặp rủi ro hay không.
CEO Ben Zhou xác nhận kẻ tấn công đã đột nhập vào ví lạnh Ethereum của Bybit. Theo báo cáo sau sự cố, Bybit phát hiện hoạt động đáng ngờ trong quá trình chuyển tiền “thông thường” từ một trong những ví lạnh đa chữ ký sang ví nóng.
“Thật không may, giao dịch đã bị thao túng bởi một cuộc tấn công tinh vi làm thay đổi logic của hợp đồng thông minh và che giấu giao diện ký, cho phép kẻ tấn công kiểm soát Ví Lạnh ETH,” công ty cho biết. “Kết quả là, hơn 400.000 ETH và stETH trị giá hơn 1,5 tỷ USD đã bị chuyển đến một địa chỉ không xác định.”
Sau đó, theo thói quen của Lazarus, các hacker đã chia tiền vào ba ví phân phối riêng biệt và tiếp tục chuyển vào hàng chục địa chỉ khác nhau. Tổng cộng, họ đã rút:
- 401.347 ETH trị giá 1,12 tỷ USD
- 90.376 stETH trị giá 253,16 triệu USD
- 15.000 cmETH trị giá 44,13 triệu USD
- 8.000 mETH trị giá 23 triệu USD
và chuyển đổi các token này thành ETH thông qua các sàn giao dịch phi tập trung.
Bybit đang điều tra “nguyên nhân gốc rễ” của vấn đề, đặc biệt chú ý đến khả năng tồn tại lỗ hổng trong Safe{Wallet} – ví đa chữ ký tự quản lý được hàng trăm giao thức và sàn giao dịch khác sử dụng để tăng cường bảo mật bằng cách tăng số lượng người ký cần thiết để phê duyệt giao dịch.
Safe có an toàn?
Theo báo cáo sau sự cố, đội ngũ bảo mật của ByBit cho rằng nền tảng Safe “có thể đã bị khai thác trong quá trình giao dịch.” Khoảng một giờ sau vụ hack, Zhou đã đăng một bài viết (đã bị xóa sau đó) trên X rằng ông muốn được kết nối với một số người tại Safe.
Trên X, Safe – một nhóm tách ra từ Gnosis vào năm 2022 – xác nhận họ đang “làm việc chặt chẽ với Bybit trong cuộc điều tra đang diễn ra”. Họ cũng lưu ý rằng “để thận trọng,” Safe{Wallet} sẽ tạm thời tạm dừng “một số chức năng nhất định.”
Safe’s security team is working closely with @Bybit_Official on an ongoing investigation.
We have not found evidence that the official Safe frontend was compromised. However, out of caution, Safe{Wallet} is temporarily pausing certain functionalities.
User security is our top…
— Safe.eth (@safe) February 21, 2025
Thực tế, ngày càng có nhiều sự đồng thuận giữa các nhà nghiên cứu bảo mật Ethereum rằng Safe vẫn an toàn và Lazarus đã tìm cách nhiễm malware vào thiết bị của những người ký đa chữ ký của Bybit.
“SEAL đang làm việc chặt chẽ với đội ngũ Safe. Không có dấu hiệu cho thấy họ hoặc bất kỳ cơ sở hạ tầng nào của họ đã bị xâm phạm, nhưng chúng tôi rõ ràng đang rất cẩn thận kiểm tra,” Taylor Moynahan, trưởng bộ phận bảo mật của ví lớn nhất Ethereum, MetaMask, cho biết.
Theo Odysseus, người sáng lập ẩn danh của giao thức bảo mật Ethereum Phalanx: “Nhiều khả năng đây là (các) máy bị nhiễm virus, nơi kẻ tấn công có thể chặn và hiển thị trang Safe giả để họ ký một thứ khác với những gì được hiển thị. Sau đó họ tận dụng việc ví phần cứng không hiển thị hành động đã ký mà chỉ hiển thị mã băm chữ ký.”
Trong khi các nhà nghiên cứu vẫn chưa rõ làm thế nào mã độc được cài đặt, có một số bằng chứng cho thấy khả năng đây là một vụ việc có người trong cuộc. Ban đầu, để Lazarus kiểm soát ví lạnh, họ phải xác định được tất cả người ký đa chữ ký, làm nhiễm virus thiết bị của từng người và lừa mỗi người nghĩ rằng họ đang ký một giao dịch hợp pháp khác – tất cả mà không gây chú ý.
Trong những tháng gần đây, ngày càng có nhiều nhận thức về rủi ro các công ty crypto và công nghệ vô tình thuê các nhà phát triển Triều Tiên. Đặc biệt, Lazarus đã khá thành thạo trong việc cài người vào các tổ chức.
Hacker “thế hệ mới”
Mặc dù CEO Zhou của Bybit có thể đang đi quá xa khi ngụ ý có lỗ hổng với Safe, việc điều tra cách thức cuộc tấn công xảy ra vẫn rất quan trọng. Theo Safe, có một số chức năng mà đội ngũ có thể đã triển khai để ngăn chặn cuộc tấn công. Cụ thể, họ có thể đã kích hoạt khóa thời gian trên các ví Safe, điều này sẽ làm chậm mọi nỗ lực ngăn chặn vụ hack.
Đây là một cuộc tấn công có chủ đích cao, và theo Odysseus, nếu thiết bị (máy tính/điện thoại) đã bị xâm nhập thì sẽ khó có thể làm gì để ngăn chặn ngoài việc ký từ một máy không kết nối mạng và không bị nhiễm mã độc.
Ido Ben Natan, người sáng lập giải pháp bảo mật Blockaid, lưu ý rằng các cuộc tấn công lợi dụng cả chữ ký mù và malware có lẽ là mối đe dọa phát triển nhanh nhất trong lĩnh vực crypto.
“Các công ty cần hiểu rằng đây không phải là một trường hợp lỗi vận hành khác – đây là một cuộc tấn công có mục tiêu, phương cách mới và là mối đe dọa cho cả người tiêu dùng và tổ chức,” ông nói.
FBI đã nhiều lần cảnh báo Lazarus hiện là nhóm hacker Triều Tiên từng thực hiện nhiều cuộc tấn công nhất vào thị trường tiền mã hóa, với số tài sản bị tấn công lên đến hàng tỷ đô. Cuối năm 2024, giao thức DeFi Radiant cũng đã trở thành nạn nhân của nhóm hacker này với lượng tài sản thất thoát lên đến 50 triệu USD.
Một số thành viên trong cộng đồng tiền mã hoá đã đăng tải lời khuyên về bảo mật cho người dùng. “Quit”, phó chủ tịch mảng blockchain tại Yuga Labs, đã chia sẻ trên X các biện pháp bảo mật khác nhau mà người dùng có thể áp dụng để giữ an toàn cho tiền của họ, bao gồm việc sử dụng đa chữ ký, sử dụng ví phần cứng làm người ký và chạy mô phỏng tenderly.
I would suggest, when transferring large amounts ("large" is relative so please set your own threshold), to do the following:
– Funds should be in a multisig
– Signers should be hardware wallets
– Double check tx data shown on the hardware wallet against what is shown on your…— Quit (@0xQuit) February 21, 2025
KuCoin cũng nhấn mạnh một số biện pháp bảo mật cho người dùng của mình, bao gồm việc kích hoạt xác thực hai yếu tố, thiết lập mật khẩu mạnh và độc nhất, và sử dụng passkey.
