Thứ sáu tuần trước, Bybit, một sàn giao dịch tiền điện tử lớn, đã trở thành nạn nhân của một cuộc tấn công mạng. Một tin tặc đã đánh cắp được 1,46 tỷ đô la Ether (ETH) của khách hàng của sàn giao dịch. Trên thực tế, ba phần tư số ether mà người dùng gửi đã bị đánh cắp.
Đây là "vụ trộm tiền điện tử lớn nhất mọi thời đại", theo Tom Robinson của công ty bảo mật Elliptic. Kỷ lục trước đó có từ năm 2022 khi tội phạm mạng đánh cắp 624 triệu đô la từ Ronin Network. Theo lời giải thích của CEO Bybit Ben Zhou, những kẻ tấn công đã xâm nhập được vào "ví lạnh đa chữ ký" mà công ty này sử dụng. Bybit đã thận trọng lưu trữ một phần tiền của mình trong ví lạnh, chính xác là với hy vọng bảo vệ mình khỏi tin tặc. Sàn giao dịch này cũng đã triển khai hệ thống đa chữ ký. Tài khoản Bybit cần được nhiều đơn vị chấp thuận để xác thực giao dịch. Tiền điện tử chỉ có thể được chuyển nhượng nếu tất cả các bên đồng ý. Thật không may, tin tặc đã lợi dụng được một giao dịch chuyển tiền đã lên kế hoạch giữa ví lạnh, không được kết nối với internet, và một ví khác do sàn giao dịch kiểm soát.
Những cá nhân được cho là ký giao dịch đã bị thao túng. Nhóm Bybit tin rằng họ đang xác thực một giao dịch chuyển tiền đơn giản giữa các ví của họ. Trên thực tế, cô ấy đã ký một giao dịch sửa đổi hợp đồng thông minh của ví lạnh, cho phép tin tặc chiếm quyền kiểm soát và rút tiền. Cuối cùng, số tiền đã được chuyển đến các địa chỉ blockchain do tin tặc nắm giữ. Cụ thể, tin tặc đã gửi tiền đến gần 50 địa chỉ khác nhau với hy vọng che giấu dấu vết. Đây là những gì nhà nghiên cứu chuyên ngành ZachXBT phát hiện ra khi tham khảo blockchain. Bybit cho biết hệ thống nội bộ của họ không bị xâm phạm. Vụ hack chỉ ảnh hưởng đến ví lưu trữ ether của nó.
Bất chấp vụ hack quy mô lớn này, Bybit vẫn có thể hoàn lại tiền cho tất cả người dùng. Tổng giám đốc điều hành của tập đoàn cho biết Bybit vẫn "có khả năng thanh toán ngay cả khi khoản lỗ do vụ tấn công không được phục hồi, tất cả tài sản của khách hàng đều được đảm bảo theo tỷ lệ 1:1 và chúng tôi có thể hấp thụ khoản lỗ này". Một số chuyên gia về blockchain đã có thể xác nhận rằng nền tảng này có đủ nguồn tiền cần thiết để trang trải khoản lỗ.
Tuy nhiên, Bybit đã thông báo tạm dừng gửi tiền ether. Tuy nhiên, việc rút lui vẫn được tiếp tục trong suốt thời gian xảy ra sự cố. Không có gì ngạc nhiên khi sàn giao dịch này chứng kiến lượng yêu cầu rút tiền tăng đột biến sau vụ tấn công. Nhiều nhà đầu tư vì lo sợ cho tài sản của mình đã cố gắng rút tiền điện tử. Nền tảng này đã ghi nhận khối lượng giao dịch cao gấp một trăm lần so với bình thường, làm chậm quá trình xử lý các yêu cầu, đặc biệt là các yêu cầu rút tiền lớn. Tuy nhiên, các biện pháp kiểm tra an ninh tăng cường sẽ được triển khai. Theo Ben Zhou, "Bybit đã chứng kiến số lượng giao dịch rút tiền kỷ lục, với tổng cộng hơn 350.000 yêu cầu." Cho đến nay, "vẫn còn khoảng 2.100 giao dịch chưa được xử lý." Tổng cộng, "99,994% giao dịch rút tiền đã được thực hiện". Ngay sau đó, tất cả các yêu cầu đã được xử lý, Ben Zhou vui vẻ nói:
Trong bối cảnh phức tạp này, Bybit đã nhận được sự giúp đỡ từ một số gã khổng lồ tiền điện tử khác, bắt đầu từ Binance. Một số ông lớn trong ngành đã cung cấp cho Bybit vô số khoản vay tiền điện tử để nhanh chóng bù đắp cho khoản mất tiền điện tử. Với những khoản vay này, Bybit đã có thể lấp đầy lỗ hổng mà tội phạm mạng để lại vào cuối tuần.
Người ta nhanh chóng nhận ra rằng cuộc tấn công này được dàn dựng bởi Lazarus, một băng nhóm tin tặc được Triều Tiên tài trợ. Trong nhiều năm, tội phạm mạng đã đánh cắp hàng loạt tài sản tiền điện tử theo lệnh của chính phủ Triều Tiên. Họ chính là những người đứng sau vụ hack Ronin Network được đề cập ở trên. Theo các nhà nghiên cứu blockchain tại Arkham Intelligence, có bằng chứng không thể chối cãi rằng vụ trộm thực sự được thực hiện bởi Lazarus, người đã trở thành chuyên gia trong lĩnh vực này. Trong một năm, băng đảng này thường đánh cắp hơn 1 tỷ đô la tiền điện tử.
Trong suốt cả tuần, tội phạm mạng Lazarus đã làm mọi cách để rửa tiền đánh cắp và biến mất khỏi radar. Ban đầu, "số tiền bị đánh cắp đã được gửi đến một ví chính, sau đó được phân phối lại cho hơn 40 ví khác", Nansen nói với CoinDesk. Những kẻ tấn công "đã chuyển đổi tất cả stETH, cmETH và mETH thành ETH, sau đó chuyển ETH theo từng đợt 27 triệu đô la đến hơn 10 ví khác."
Những tin tặc Lazarus có chuyên môn sâu rộng trong việc rửa tiền. Trong nhiều năm qua, họ đã phát triển một số chiến thuật để che giấu dấu vết và chạy trốn khỏi chính quyền. Họ sử dụng một số dịch vụ trộn lẫn, các dịch vụ này sẽ trộn lẫn các tài sản để khó có thể theo dõi. Theo tin tức mới nhất, 500 triệu vẫn phải được tin tặc chuyển đi.
Một vụ hack tiền điện tử kỷ lục
Đây là "vụ trộm tiền điện tử lớn nhất mọi thời đại", theo Tom Robinson của công ty bảo mật Elliptic. Kỷ lục trước đó có từ năm 2022 khi tội phạm mạng đánh cắp 624 triệu đô la từ Ronin Network. Theo lời giải thích của CEO Bybit Ben Zhou, những kẻ tấn công đã xâm nhập được vào "ví lạnh đa chữ ký" mà công ty này sử dụng. Bybit đã thận trọng lưu trữ một phần tiền của mình trong ví lạnh, chính xác là với hy vọng bảo vệ mình khỏi tin tặc. Sàn giao dịch này cũng đã triển khai hệ thống đa chữ ký. Tài khoản Bybit cần được nhiều đơn vị chấp thuận để xác thực giao dịch. Tiền điện tử chỉ có thể được chuyển nhượng nếu tất cả các bên đồng ý. Thật không may, tin tặc đã lợi dụng được một giao dịch chuyển tiền đã lên kế hoạch giữa ví lạnh, không được kết nối với internet, và một ví khác do sàn giao dịch kiểm soát.
Những cá nhân được cho là ký giao dịch đã bị thao túng. Nhóm Bybit tin rằng họ đang xác thực một giao dịch chuyển tiền đơn giản giữa các ví của họ. Trên thực tế, cô ấy đã ký một giao dịch sửa đổi hợp đồng thông minh của ví lạnh, cho phép tin tặc chiếm quyền kiểm soát và rút tiền. Cuối cùng, số tiền đã được chuyển đến các địa chỉ blockchain do tin tặc nắm giữ. Cụ thể, tin tặc đã gửi tiền đến gần 50 địa chỉ khác nhau với hy vọng che giấu dấu vết. Đây là những gì nhà nghiên cứu chuyên ngành ZachXBT phát hiện ra khi tham khảo blockchain. Bybit cho biết hệ thống nội bộ của họ không bị xâm phạm. Vụ hack chỉ ảnh hưởng đến ví lưu trữ ether của nó.
Làn sóng rút tiền trên Bybit
Bất chấp vụ hack quy mô lớn này, Bybit vẫn có thể hoàn lại tiền cho tất cả người dùng. Tổng giám đốc điều hành của tập đoàn cho biết Bybit vẫn "có khả năng thanh toán ngay cả khi khoản lỗ do vụ tấn công không được phục hồi, tất cả tài sản của khách hàng đều được đảm bảo theo tỷ lệ 1:1 và chúng tôi có thể hấp thụ khoản lỗ này". Một số chuyên gia về blockchain đã có thể xác nhận rằng nền tảng này có đủ nguồn tiền cần thiết để trang trải khoản lỗ.
Tuy nhiên, Bybit đã thông báo tạm dừng gửi tiền ether. Tuy nhiên, việc rút lui vẫn được tiếp tục trong suốt thời gian xảy ra sự cố. Không có gì ngạc nhiên khi sàn giao dịch này chứng kiến lượng yêu cầu rút tiền tăng đột biến sau vụ tấn công. Nhiều nhà đầu tư vì lo sợ cho tài sản của mình đã cố gắng rút tiền điện tử. Nền tảng này đã ghi nhận khối lượng giao dịch cao gấp một trăm lần so với bình thường, làm chậm quá trình xử lý các yêu cầu, đặc biệt là các yêu cầu rút tiền lớn. Tuy nhiên, các biện pháp kiểm tra an ninh tăng cường sẽ được triển khai. Theo Ben Zhou, "Bybit đã chứng kiến số lượng giao dịch rút tiền kỷ lục, với tổng cộng hơn 350.000 yêu cầu." Cho đến nay, "vẫn còn khoảng 2.100 giao dịch chưa được xử lý." Tổng cộng, "99,994% giao dịch rút tiền đã được thực hiện". Ngay sau đó, tất cả các yêu cầu đã được xử lý, Ben Zhou vui vẻ nói:
Trong bối cảnh phức tạp này, Bybit đã nhận được sự giúp đỡ từ một số gã khổng lồ tiền điện tử khác, bắt đầu từ Binance. Một số ông lớn trong ngành đã cung cấp cho Bybit vô số khoản vay tiền điện tử để nhanh chóng bù đắp cho khoản mất tiền điện tử. Với những khoản vay này, Bybit đã có thể lấp đầy lỗ hổng mà tội phạm mạng để lại vào cuối tuần.
Một cuộc tấn công của Lazarus
Người ta nhanh chóng nhận ra rằng cuộc tấn công này được dàn dựng bởi Lazarus, một băng nhóm tin tặc được Triều Tiên tài trợ. Trong nhiều năm, tội phạm mạng đã đánh cắp hàng loạt tài sản tiền điện tử theo lệnh của chính phủ Triều Tiên. Họ chính là những người đứng sau vụ hack Ronin Network được đề cập ở trên. Theo các nhà nghiên cứu blockchain tại Arkham Intelligence, có bằng chứng không thể chối cãi rằng vụ trộm thực sự được thực hiện bởi Lazarus, người đã trở thành chuyên gia trong lĩnh vực này. Trong một năm, băng đảng này thường đánh cắp hơn 1 tỷ đô la tiền điện tử.
Trong suốt cả tuần, tội phạm mạng Lazarus đã làm mọi cách để rửa tiền đánh cắp và biến mất khỏi radar. Ban đầu, "số tiền bị đánh cắp đã được gửi đến một ví chính, sau đó được phân phối lại cho hơn 40 ví khác", Nansen nói với CoinDesk. Những kẻ tấn công "đã chuyển đổi tất cả stETH, cmETH và mETH thành ETH, sau đó chuyển ETH theo từng đợt 27 triệu đô la đến hơn 10 ví khác."
Những tin tặc Lazarus có chuyên môn sâu rộng trong việc rửa tiền. Trong nhiều năm qua, họ đã phát triển một số chiến thuật để che giấu dấu vết và chạy trốn khỏi chính quyền. Họ sử dụng một số dịch vụ trộn lẫn, các dịch vụ này sẽ trộn lẫn các tài sản để khó có thể theo dõi. Theo tin tức mới nhất, 500 triệu vẫn phải được tin tặc chuyển đi.