Tác giả gốc: Nhóm bảo mật SlowMist
lý lịch
Vào tối ngày 21 tháng 2 năm 2025 theo giờ Bắc Kinh, theo thám tử trực tuyến ZachXBT, đã có một đợt rút vốn quy mô lớn trên nền tảng Bybit. Vụ việc đã gây ra vụ trộm hơn 1,46 tỷ đô la, trở thành vụ trộm tiền điện tử lớn nhất trong những năm gần đây.
Phân tích theo dõi trên chuỗi
Sau sự cố, nhóm an ninh SlowMist đã ngay lập tức đưa ra cảnh báo an ninh và bắt đầu theo dõi và phân tích tài sản bị đánh cắp:
Theo phân tích của nhóm bảo mật SlowMist, tài sản bị đánh cắp chủ yếu bao gồm:
401.347 ETH (trị giá khoảng 1,068 tỷ đô la)
8.000 mETH (trị giá khoảng 26 triệu đô la)
90.375,5479 stETH (trị giá khoảng 260 triệu đô la)
15.000 cmETH (trị giá khoảng 43 triệu đô la)
Chúng tôi sử dụng công cụ theo dõi trên chuỗi và chống rửa tiền MistTrack để xác định địa chỉ ban đầu của tin tặc.
0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2
Sau khi phân tích, thông tin sau đây đã được thu thập:
ETH đang được phân tán và chuyển đi, trong đó địa chỉ tin tặc ban đầu phân tán 400.000 ETH đến 40 địa chỉ theo định dạng 1.000 ETH mỗi địa chỉ và quá trình chuyển tiền vẫn đang tiếp tục.
Trong số đó, 205 ETH đã được chuyển đổi thành BTC thông qua Chainflip và được chuyển đến địa chỉ:
bc1qlu4a33zjspefa3tnq566xszcr0fvwz05ewhqfq.
Dòng cmETH: 15.000 cmETH được chuyển đến:
0x1542368a03ad1f03d96D51B414f4738961Cf4443
Điều đáng chú ý là mETH Protocol đã đăng trên X rằng để ứng phó với sự cố bảo mật của Bybit, nhóm đã nhanh chóng tạm dừng việc rút cmETH và ngăn chặn việc rút tiền trái phép. mETH Protocol đã khôi phục thành công 15.000 cmETH từ địa chỉ của tin tặc.
Chuyển tiền mETH và stETH: 8.000 mETH và 90.375.5479 stETH đã được chuyển đến các địa chỉ sau:
0xA4B2Fd68593B6F34E51cB9eDB66E71c1B4Ab449e
Sau đó, nó được chuyển đổi thành 98.048 ETH thông qua Uniswap và ParaSwap, rồi được chuyển đến:
0xdd90071d52f20e85c89802e5dc1ec0a7b6475f92
Địa chỉ 0x dd 9 đã phân tán ETH đến 9 địa chỉ theo định dạng 1.000 ETH mỗi địa chỉ và vẫn chưa được chuyển ra ngoài.
Ngoài ra, địa chỉ mà tin tặc sử dụng để phát động cuộc tấn công ban đầu như đã giới thiệu trong phần phân tích phương pháp tấn công là:
0x0fa09C3A328792253f8dee7116848723b72a6d2e
Sau khi truy ngược lại, người ta phát hiện ra rằng số tiền ban đầu của địa chỉ này đến từ Binance.
Địa chỉ tin tặc ban đầu hiện tại:
0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2
Số dư là 1.346 ETH. Chúng tôi sẽ tiếp tục theo dõi các địa chỉ có liên quan.
Sau sự cố, SlowMist ngay lập tức suy đoán rằng kẻ tấn công là một tin tặc Triều Tiên dựa trên phương pháp lấy chữ ký đa năng an toàn và rửa tiền của kẻ tấn công:
Các phương pháp tấn công kỹ thuật xã hội có thể xảy ra:
Khi sử dụng phân tích MistTrack, chúng tôi cũng phát hiện ra rằng địa chỉ tin tặc của vụ việc này có liên quan đến địa chỉ BingX Hacker và Phemex Hacker:
ZachXBT cũng xác nhận rằng vụ tấn công có liên quan đến tổ chức tin tặc Triều Tiên Lazarus Group, tổ chức này đã tiến hành các cuộc tấn công mạng xuyên quốc gia và đánh cắp tiền điện tử như một trong những hoạt động chính. Người ta hiểu rằng các bằng chứng do ZachXBT cung cấp, bao gồm các giao dịch thử nghiệm, ví được liên kết, biểu đồ pháp y và phân tích thời gian, đều cho thấy kẻ tấn công đã sử dụng các biện pháp kỹ thuật chung của Nhóm Lazarus trong nhiều hoạt động. Đồng thời, Arkham tuyên bố rằng mọi dữ liệu có liên quan đã được chia sẻ với Bybit để giúp nền tảng này điều tra sâu hơn.
Phân tích phương pháp tấn công
Vào lúc 23:44 đêm đó, CEO của Bybit là Ben Zhou đã đưa ra tuyên bố về X, giải thích chi tiết các thông tin kỹ thuật của cuộc tấn công:
Thông qua phân tích chữ ký trên chuỗi, chúng tôi đã tìm thấy một số dấu vết:
1. Kẻ tấn công triển khai một hợp đồng độc hại: UTC 2025-02-19 07:15:23, triển khai một hợp đồng thực hiện độc hại:
0xbDd077f651EBe7f7b3cE16fe5F2b025BE2969516
2. Can thiệp vào logic hợp đồng Safe: UTC 2025-02-21 14:13:35, thông qua ba Chủ sở hữu ký giao dịch, thay thế hợp đồng Safe bằng phiên bản độc hại:
0x46deef0f52e3a983b67abf4714448a41dd7ffd6d32d32da69d62081c68ad7882
Điều này dẫn đến địa chỉ mà cuộc tấn công đầu tiên vào tin tặc được phát động:
0x0fa09C3A328792253f8dee7116848723b72a6d2e.
3. Nhúng logic độc hại: Ghi hợp đồng logic độc hại vào STORAGE 0 thông qua DELEGATECALL:
0x96221423681A6d52E184D440a8eFCEbB105C7242
4. Gọi các hàm cửa sau để chuyển tiền: Kẻ tấn công đã sử dụng các hàm sweepETH và sweepERC 20 trong hợp đồng để chuyển toàn bộ 400.000 ETH và stETH (với tổng giá trị khoảng 1,5 tỷ đô la Mỹ) trong ví lạnh đến một địa chỉ không xác định.
Xét về phương pháp tấn công, vụ hack WazirX và vụ hack Radiant Capital tương tự như vụ tấn công này. Mục tiêu của cả ba vụ tấn công này đều là ví đa chữ ký an toàn. Trong vụ tấn công WazirX, kẻ tấn công cũng triển khai trước một hợp đồng triển khai độc hại, ký giao dịch với ba chủ sở hữu và ghi hợp đồng logic độc hại vào STORAGE 0 thông qua DELEGATECALL để thay thế hợp đồng Safe bằng hợp đồng triển khai độc hại.
(https://etherscan.io/tx/0x48164d3adbab78c2cb9876f6e17f88e321097fcd14cadd57556866e4ef3e185d)
Liên quan đến vụ hack Radiant Capital, theo thông tin chính thức, kẻ tấn công đã sử dụng một phương pháp phức tạp để khiến trình xác minh chữ ký nhìn thấy các giao dịch có vẻ hợp pháp ở đầu cuối, tương tự như thông tin được tiết lộ trong dòng tweet của Ben Zhou.
(https://medium.com/@RadiantCapital/radiant-post-mortem-fecd 6 c d3 8081)
Hơn nữa, phương pháp kiểm tra quyền của các hợp đồng độc hại liên quan đến ba sự cố này là giống nhau và địa chỉ chủ sở hữu được mã hóa cứng trong hợp đồng để kiểm tra người gọi hợp đồng. Các thông báo lỗi do kiểm tra quyền đưa ra trong sự cố hack Bybit và sự cố hack WazirX cũng tương tự nhau.
Trong vụ việc này, hợp đồng Safe không có vấn đề gì, nhưng vấn đề nằm ở phần không có hợp đồng, trong đó phần đầu đã bị can thiệp và làm giả để đạt được hiệu quả lừa dối. Đây không phải là trường hợp cá biệt. Năm ngoái, tin tặc Triều Tiên đã tấn công một số nền tảng theo cách này, chẳng hạn như: WazirX mất 230 triệu đô la vào mạng lưới đa chữ ký Safe; Radiant Capital mất 50 triệu đô la vào mạng lưới đa chữ ký Safe; DMM Bitcoin mất 305 triệu đô la vào mạng lưới đa chữ ký Gonco. Phương pháp tấn công này được thiết kế tinh vi và đòi hỏi nhiều sự chú ý hơn.
Theo thông báo chính thức được Bybit đưa ra:
(https://announcements.bybit.com/zh-MY/article/incident-update---eth-cold-wallet-incident-blt292c0454d26e9140)
Kết hợp với dòng tweet của Ben Zhou:
Những câu hỏi sau đây nảy sinh:
1. Chuyển ETH thường lệ
Kẻ tấn công có thể đã lấy được thông tin hoạt động của nhóm tài chính nội bộ của Bybit trước và nắm được thời điểm chuyển tiền ETH vào ví lạnh đa chữ ký?
Thông qua hệ thống Safe, dụ dỗ người ký ký các giao dịch độc hại trên giao diện giả mạo? Hệ thống giao diện của Safe có bị xâm phạm và chiếm quyền điều khiển không?
2. Giao diện người dùng hợp đồng an toàn đã bị can thiệp
Người ký nhìn thấy địa chỉ và URL đúng trên giao diện Safe, nhưng dữ liệu giao dịch thực tế đã ký đã bị giả mạo?
Câu hỏi chính là: ai là người khởi xướng yêu cầu chữ ký ngay từ đầu? Thiết bị của nó an toàn đến mức nào?
Với những câu hỏi này, chúng tôi mong muốn các cơ quan chức năng công bố thêm kết quả điều tra sớm nhất có thể.
Tác động thị trường
Bybit đã nhanh chóng đưa ra thông báo sau sự cố, cam kết rằng tất cả tài sản của khách hàng đều có mức dự trữ 1:1 và nền tảng có thể chịu được tổn thất. Việc rút tiền của người dùng sẽ không bị ảnh hưởng.
Vào lúc 10:51 ngày 22 tháng 2 năm 2025, CEO của Bybit là Ben Zhou đã gửi tin nhắn cho biết việc gửi và rút tiền hiện đã diễn ra bình thường:
Lời cuối cùng
Vụ trộm một lần nữa nhấn mạnh những thách thức nghiêm trọng về an ninh mà ngành công nghiệp tiền điện tử đang phải đối mặt. Khi ngành công nghiệp mã hóa phát triển nhanh chóng, các nhóm tin tặc, đặc biệt là tin tặc quốc gia như Lazarus Group, liên tục nâng cấp phương pháp tấn công của mình. Sự cố này đã gióng lên hồi chuông cảnh báo cho các sàn giao dịch tiền điện tử. Các nền tảng cần tăng cường hơn nữa khả năng bảo vệ an ninh và áp dụng các cơ chế phòng thủ tiên tiến hơn, chẳng hạn như xác thực đa yếu tố, quản lý ví được mã hóa, giám sát tài sản và đánh giá rủi ro, để đảm bảo an toàn cho tài sản của người dùng. Đối với người dùng cá nhân, việc nâng cao nhận thức về bảo mật cũng rất quan trọng. Nên ưu tiên các phương pháp lưu trữ an toàn hơn như ví phần cứng và tránh lưu trữ số tiền lớn trong các sàn giao dịch trong thời gian dài. Trong lĩnh vực không ngừng phát triển này, chỉ bằng cách liên tục nâng cấp khả năng phòng thủ công nghệ, chúng ta mới có thể đảm bảo an ninh cho tài sản kỹ thuật số và thúc đẩy sự phát triển lành mạnh của ngành.
