Đánh giá sự kiện
Vào lúc 02:16:11 CH ngày 21 tháng 2 năm 2025 theo giờ UTC, ví lạnh Ethereum của Bybit (0x1db92e2eebc8e0c075a02bea49a2935bcd2dfcf4) đã bị tấn công và khoảng 401.346 ETH, 15.000 cmETH, 8.000 mETH, 90.375 stETH và 90 USDT đã được chuyển đến các địa chỉ không xác định, với tổng giá trị khoảng 1,46 tỷ đô la Mỹ.
Kẻ tấn công đã lừa những người ký ví đa chữ ký của Bybit ký vào các giao dịch độc hại thông qua các cuộc tấn công lừa đảo. Các bước cụ thể như sau:
Kẻ tấn công đã triển khai một hợp đồng độc hại trước, trong đó có chức năng cửa hậu để chuyển tiền.
Làm thay đổi giao diện đầu cuối của Safe để thông tin giao dịch mà người ký trên Safe nhìn thấy không nhất quán với dữ liệu thực sự được gửi đến ví phần cứng Ledger.
Thông qua giao diện giả mạo, kẻ tấn công đã thành công trong việc lấy được ba chữ ký hợp lệ và thay thế hợp đồng triển khai của ví đa chữ ký Safe bằng một hợp đồng độc hại, qua đó kiểm soát ví lạnh và chuyển tiền.
Sygnia được Bybit ủy quyền tiến hành một cuộc điều tra pháp y để xác định nguyên nhân gốc rễ của cuộc tấn công, với mục tiêu xác định phạm vi và nguồn gốc của cuộc tấn công và giảm thiểu rủi ro hiện tại và tương lai. Để biết báo cáo mới nhất, hãy xem: Báo cáo điều tra tạm thời của Bybit (https://docsend.com/view/rmdi832mpt8u93s7/d/rwecw3rumhqtgs6a).
Cho đến nay, cuộc điều tra pháp y nêu bật những phát hiện sau:
Một cuộc điều tra pháp y đối với tất cả các máy chủ được sử dụng để khởi tạo và ký giao dịch đã tiết lộ rằng các tài nguyên trong thùng AWS S3 của Safe đã bị tiêm mã JavaScript độc hại.
Thời gian sửa đổi tài nguyên và kho lưu trữ lịch sử mạng có sẵn công khai cho thấy việc đưa mã độc vào được thực hiện trực tiếp trong thùng AWS S3 của Safe.
Phân tích ban đầu về mã JavaScript được đưa vào cho thấy mục đích chính của nó là thao túng các giao dịch, thực sự thay đổi nội dung của chúng trong quá trình ký.
Ngoài ra, phân tích mã JavaScript được đưa vào đã tiết lộ một điều kiện kích hoạt chỉ được thực hiện nếu nguồn gốc giao dịch khớp với một trong hai địa chỉ hợp đồng: Địa chỉ hợp đồng của Bybit và một địa chỉ hợp đồng hiện chưa xác định (có khả năng liên quan đến hợp đồng thử nghiệm do tác nhân đe dọa kiểm soát).
Hai phút sau khi giao dịch độc hại được thực hiện và công bố, phiên bản mới của tài nguyên JavaScript đã được tải lên thùng AWS S3 của Safe. Các phiên bản cập nhật này đã loại bỏ mã độc hại.
Phát hiện ban đầu cho thấy cuộc tấn công bắt nguồn từ cơ sở hạ tầng AWS của Safe.
Cho đến nay, các cuộc điều tra pháp y vẫn chưa tìm thấy bất kỳ dấu hiệu nào cho thấy cơ sở hạ tầng của Bybit bị xâm phạm.
Cuộc điều tra pháp y đối với ba máy chủ ký tên đã tiết lộ rằng nguyên nhân gốc rễ của cuộc tấn công là mã độc có nguồn gốc từ cơ sở hạ tầng Safe.
Không có dấu hiệu xâm phạm nào được tìm thấy trong cơ sở hạ tầng của Bybit.
Các cuộc điều tra vẫn đang được tiếp tục để xác nhận thêm những phát hiện này.
Theo thông tin hiện tại, front-end không phải là vấn đề chính lần này. Nguyên nhân chính của cuộc tấn công này là dịch vụ lưu trữ trên AWS đã bị hack và JavaScript đã bị can thiệp, dẫn đến việc sửa đổi nội dung giao dịch được khởi tạo trên front-end an toàn. Nhưng ở front-end, nếu front-end an toàn đã thực hiện xác minh SRI cơ bản, sẽ không có gì sai sót ngay cả khi JavaScript đã được thay đổi. Theo cách này, front-end phải có một số trách nhiệm. Tất nhiên, Bybit cũng phải chịu trách nhiệm. Trước hết, họ xác nhận rằng ví phần cứng họ sử dụng không hiển thị thông tin giao dịch cụ thể. Niềm tin của họ vào bản thân giao diện Safe là không đáng tin cậy.
Ví phần cứng có những hạn chế khi xử lý các giao dịch phức tạp và không thể phân tích và hiển thị đầy đủ dữ liệu giao dịch chi tiết của ví đa chữ ký, khiến người ký phải ký một cách mù quáng mà không xác minh đầy đủ nội dung giao dịch.
Tin tặc rất giỏi khai thác các lỗi thiết kế của quy trình tương tác để lừa đảo tài sản của người dùng, chẳng hạn như: sử dụng UI hijacking để lừa người dùng ký; sử dụng chữ ký ẩn để lừa người dùng ký; sử dụng chữ ký Permit để đánh cắp tài sản của người dùng; sử dụng TransferFrom để lừa người dùng lừa đảo; sử dụng các vị thế bán khống có cùng chữ số cuối để thực hiện các vụ lừa đảo; lừa đảo để lấy NFT và các kỹ thuật lừa đảo phổ biến khác.
Với sự phát triển nhanh chóng của công nghệ Web3, ranh giới giữa bảo mật front-end và bảo mật blockchain dần trở nên mờ nhạt. Các lỗ hổng bảo mật truyền thống (như XSS, CSRF) được đưa vào các phương thức tấn công mới trong kịch bản Web3, trong khi các vấn đề như lỗ hổng hợp đồng thông minh và lỗi quản lý khóa riêng tư càng làm tăng thêm rủi ro.
Tiếp theo, chúng ta sẽ phân tích mối quan hệ giữa phát triển front-end và các vấn đề bảo mật từ hai tình huống.
Tình huống 1: Thay đổi tham số giao dịch - giao diện hiển thị việc chuyển tiền nhưng thực tế việc ủy quyền đã được thực hiện
Ví dụ: Tách biệt màn hình hiển thị phía trước và thực thi trên chuỗi
Quan điểm của người dùng:
✅ Cửa sổ ví bật lên hiển thị Chuyển 1 ETH tới 0x Người dùng...
Hiệu ứng thực tế trên chuỗi:
⚠️ Thực hiện approve(attacker, unlimited) để chuyển tài sản bất kỳ lúc nào
Tôi nên làm gì? Xác minh chữ ký có cấu trúc EIP-712
1. Phần đầu tạo ra dữ liệu có thể xác minh
2. Chữ ký xác minh hợp đồng thông minh
Hiệu ứng: Bất kỳ sự can thiệp nào vào các tham số giao diện sẽ dẫn đến chữ ký không khớp và giao dịch sẽ tự động bị hủy bỏ.
Kịch bản 2: Đánh cắp chữ ký mù — Tại sao ví phần cứng bị hack
Ví dụ: Việc can thiệp vào các quy tắc phân tích Ledger
1. Kẻ tấn công chiếm đoạt mã giao diện người dùng và gửi dữ liệu cuộc gọi giả mạo đến ví phần cứng:
2. Màn hình hiển thị sổ cái:
Thực hiện thực tế: approval(attacker, unlimited)
Tôi nên làm gì? Phân tích ngữ nghĩa ví phần cứng + xác minh thứ cấp trên chuỗi
1. Nâng cấp phần mềm ví phần cứng để hỗ trợ EIP-712
2. Bắt buộc khớp ngữ nghĩa trên chuỗi
Phần kết luận
Việc tích hợp bảo mật front-end và bảo mật Web3 vừa là thách thức vừa là cơ hội. Vụ trộm Bybit đã phơi bày những vấn đề sâu sắc trong quản lý bảo mật và kiến trúc kỹ thuật của ngành công nghiệp tiền điện tử. Khi các kỹ thuật tấn công của tin tặc tiếp tục phát triển, ngành công nghiệp cần tăng cường toàn diện khả năng bảo vệ của mình từ nhiều khía cạnh, bao gồm bảo mật thiết bị, xác minh giao dịch và cơ chế kiểm soát rủi ro, để đối phó với các mối đe dọa ngày càng phức tạp. Những gì các nhà phát triển front-end phải làm là liên tục xác minh quyền truy cập vào DApp, kết nối với ví, ký tin nhắn, ký giao dịch, xử lý sau giao dịch và các liên kết khác. Thực hiện bước nhảy vọt từ sửa chữa thụ động sang miễn dịch chủ động. Chỉ bằng cách này, chúng ta mới có thể bảo vệ giá trị và niềm tin của mọi giao dịch trong thế giới mở Web3.
Tất nhiên, kiểm toán bảo mật của các hợp đồng trên chuỗi cũng là điều không thể thiếu đối với mọi Dapp. ZAN AI Scan (https://zan.top/cn/home/ai-scan? chInfo=ch_WZ) có thể đảm bảo tính chính xác của mã thông qua xác minh chính thức và tạo thông số kỹ thuật bảo mật được hỗ trợ bởi AI, cung cấp tính tương đồng của mã và phân tích rủi ro sở hữu trí tuệ cho hàng triệu hợp đồng đã triển khai và cung cấp giám sát 24/7 và thông báo tức thời, liên quan đến các lỗ hổng zero-day và sự cố bảo mật có thể ảnh hưởng đến các dự án đã triển khai của bạn. Nó cũng có mô hình GPT được tối ưu hóa dựa trên cơ sở dữ liệu lỗ hổng lớn để phát hiện nhiều lỗ hổng thực tế trong hợp đồng thông minh.
Bài viết này được viết bởi KenLee từ ZAN Team (tài khoản X @zan_team ).
