Tuần trước, ngành công nghiệp tiền điện tử đã bị chấn động bởi một cuộc tấn công mạng lớn vào nền tảng Bybit. Được điều khiển bởi nhóm tin tặc Lazarus của Triều Tiên, vụ tấn công đã gây ra vụ đánh cắp hơn 1,5 tỷ đô la tiền điện tử. Bất chấp số tiền khổng lồ bị tội phạm mạng đánh cắp, sàn giao dịch đã nhanh chóng xử lý mọi yêu cầu rút tiền của người dùng và bù đắp khoản thiếu hụt chỉ trong vòng vài ngày.
Khi mọi chuyện lắng xuống, những nỗ lực chung của các nhà nghiên cứu bảo mật, chuyên gia blockchain và nhóm của Bybit đã vén bức màn về cách thức cuộc tấn công mạng diễn ra. Một tuần sau sự cố, giờ đây chúng ta đã biết cách tin tặc tổ chức vụ trộm lớn nhất trong lịch sử tiền điện tử.
Nền tảng này được hỗ trợ bởi Safe (trước đây gọi là Gnosis Safe), một giải pháp quản lý tài sản kỹ thuật số sử dụng hệ thống đa chữ ký (multi-signature) để tăng cường khả năng bảo vệ tiền điện tử. Lazarus coi Safe là mắt xích yếu trong bảo mật của sàn giao dịch.
Trên thực tế, tin tặc bắt đầu bằng cách tấn công một trong những nhà phát triển của Safe. Với tài khoản của nhà phát triển, họ có thể truy cập vào một trong các máy chủ Amazon được Safe sử dụng. Người ta hoàn toàn không biết bọn tội phạm Lazarus đã xâm nhập vào tài khoản bằng cách nào. Nhà phát triển có thể đã mắc bẫy tấn công lừa đảo hoặc thông tin đăng nhập của họ có thể đã bị vi-rút đánh cắp.
Safe đã nhanh chóng xác nhận rằng một trong những kỹ sư của mình thực sự đã bị hack. Tuy nhiên, "cuộc giám định pháp y của các nhà nghiên cứu bảo mật bên ngoài không chỉ ra bất kỳ lỗ hổng nào trong hợp đồng thông minh của Safe hoặc trong mã nguồn", Safe tuyên bố, nhằm trấn an người dùng của mình.
Sau khi chiếm được tiền, tin tặc Triều Tiên đã nhanh chóng rửa tiền. Đầu tiên, họ xem xét khoảng bốn mươi địa chỉ blockchain khác nhau và một số dịch vụ trộn lẫn, chẳng hạn như eXch, điều này làm vấn đề trở nên phức tạp đáng kể. Tin tặc đã chuyển đổi hàng loạt tài sản thành Bitcoin để tránh các biện pháp chặn có thể xảy ra.
Quá trình rửa tiền vẫn đang tiếp diễn. FBI cho biết thêm rằng chúng "đang hành động nhanh chóng và đã chuyển đổi một số tài sản bị đánh cắp thành Bitcoin và các loại tiền điện tử khác, phân bổ trên hàng nghìn địa chỉ trên nhiều blockchain". Người ta đã tìm thấy sự đối chiếu giữa các địa chỉ mà tin tặc Bybit sử dụng và các địa chỉ liên quan đến các vụ trộm trước đây được cho là do Triều Tiên thực hiện.
Theo nền tảng Lookonchain, bất chấp những nỗ lực của Bybit, Lazarus vẫn rửa được hơn một nửa số tiền điện tử bị đánh cắp. Tính đến thứ sáu, ngày 28 tháng 2, một tuần sau vụ tấn công, 54% số tiền cướp được đã được rửa. Không thể phục hồi được nữa. Như Elliptic chỉ ra, "Triều Tiên là bên tham gia tinh vi và có nguồn tài chính dồi dào nhất trên thị trường rửa tiền mã hóa, liên tục điều chỉnh các phương pháp của mình để tránh bị nhận dạng và tịch thu tiền bị đánh cắp."
Tin tốt là chỉ hơn 40 triệu đô la đã bị đóng băng trước khi Lazarus phản ứng, Chainalysis tiết lộ trong báo cáo của riêng mình. Chúng ta có thể cá rằng sẽ có nhiều loại tiền điện tử bị chặn hơn trong những ngày và tuần tới.
Khi mọi chuyện lắng xuống, những nỗ lực chung của các nhà nghiên cứu bảo mật, chuyên gia blockchain và nhóm của Bybit đã vén bức màn về cách thức cuộc tấn công mạng diễn ra. Một tuần sau sự cố, giờ đây chúng ta đã biết cách tin tặc tổ chức vụ trộm lớn nhất trong lịch sử tiền điện tử.
Nguồn gốc của vụ hack Bybit
Đầu tiên, Lazarus dành thời gian để xác định các giao thức bảo mật được Bybit sử dụng. Sàn giao dịch này thường lưu trữ phần lớn Ether của người dùng trong ví lạnh, phù hợp với thông lệ tốt nhất của ngành. Để tăng cường bảo mật, Bybit đã bổ sung hệ thống đa chữ ký. Cần có sự đồng ý của nhiều bên để hoàn tất giao dịch.Nền tảng này được hỗ trợ bởi Safe (trước đây gọi là Gnosis Safe), một giải pháp quản lý tài sản kỹ thuật số sử dụng hệ thống đa chữ ký (multi-signature) để tăng cường khả năng bảo vệ tiền điện tử. Lazarus coi Safe là mắt xích yếu trong bảo mật của sàn giao dịch.
Trên thực tế, tin tặc bắt đầu bằng cách tấn công một trong những nhà phát triển của Safe. Với tài khoản của nhà phát triển, họ có thể truy cập vào một trong các máy chủ Amazon được Safe sử dụng. Người ta hoàn toàn không biết bọn tội phạm Lazarus đã xâm nhập vào tài khoản bằng cách nào. Nhà phát triển có thể đã mắc bẫy tấn công lừa đảo hoặc thông tin đăng nhập của họ có thể đã bị vi-rút đánh cắp.
Một tập lệnh độc hại đã bẫy Bybit
Như các nhà nghiên cứu từ Sygnia và Verichains chỉ ra, Lazarus sau đó đã nhanh chóng lồng một tập lệnh JavaScript độc hại vào giao diện Safe. Phần mềm này được lập trình để sửa đổi giao diện Safe. Cụ thể, tập lệnh này nhằm thay đổi địa chỉ của các giao dịch thường kỳ do nhóm Bybit thực hiện. Bị mắc kẹt bởi phiên bản Safe bị xâm phạm, các nhân viên đã xác thực giao dịch mà không nhận ra rằng họ đang gửi tiền điện tử của người dùng đến một địa chỉ blockchain không xác định. Mã độc được tìm thấy trong bộ nhớ đệm Chrome trên máy tính của ba bên ký kết giao dịch. Người ta cũng phát hiện ra điều này trong bản sao lưu được lưu trữ trên Wayback Machine.Safe đã nhanh chóng xác nhận rằng một trong những kỹ sư của mình thực sự đã bị hack. Tuy nhiên, "cuộc giám định pháp y của các nhà nghiên cứu bảo mật bên ngoài không chỉ ra bất kỳ lỗ hổng nào trong hợp đồng thông minh của Safe hoặc trong mã nguồn", Safe tuyên bố, nhằm trấn an người dùng của mình.
Hoạt động rửa tiền đang diễn ra
Tất cả các bên liên quan đến cuộc điều tra đều đồng ý rằng Lazarus thực sự là mục tiêu nhắm vào Bybit. Cục Điều tra Liên bang Mỹ (FBI) đã xác nhận trong một tuyên bố rằng "Triều Tiên (Cộng hòa Dân chủ Nhân dân Triều Tiên) đứng sau vụ trộm này". Số tiền điện tử bị đánh cắp này nhằm mục đích tăng cường tài chính cho chính quyền Kim Jong Un và tài trợ cho chương trình tên lửa đạn đạo của nước này. Các công ty phân tích Elliptic và TRM Labs đã đi đến kết luận tương tự.
Sau khi chiếm được tiền, tin tặc Triều Tiên đã nhanh chóng rửa tiền. Đầu tiên, họ xem xét khoảng bốn mươi địa chỉ blockchain khác nhau và một số dịch vụ trộn lẫn, chẳng hạn như eXch, điều này làm vấn đề trở nên phức tạp đáng kể. Tin tặc đã chuyển đổi hàng loạt tài sản thành Bitcoin để tránh các biện pháp chặn có thể xảy ra.
Quá trình rửa tiền vẫn đang tiếp diễn. FBI cho biết thêm rằng chúng "đang hành động nhanh chóng và đã chuyển đổi một số tài sản bị đánh cắp thành Bitcoin và các loại tiền điện tử khác, phân bổ trên hàng nghìn địa chỉ trên nhiều blockchain". Người ta đã tìm thấy sự đối chiếu giữa các địa chỉ mà tin tặc Bybit sử dụng và các địa chỉ liên quan đến các vụ trộm trước đây được cho là do Triều Tiên thực hiện.
Hơn 50% tiền điện tử đã được rửa tiền
Với sự trợ giúp của các nhà nghiên cứu bảo mật, Bybit đang làm mọi cách có thể để đóng băng số tiền trước khi chúng biến mất vào kho bạc của Lazarus. Sàn giao dịch này sẽ thưởng cho bất kỳ ai tham gia truy tìm tin tặc thông qua mạng lưới blockchain. Bất kỳ người tham gia nào cũng có thể kiếm được tới 10% số tiền thu hồi được thông qua hành động của họ.Theo nền tảng Lookonchain, bất chấp những nỗ lực của Bybit, Lazarus vẫn rửa được hơn một nửa số tiền điện tử bị đánh cắp. Tính đến thứ sáu, ngày 28 tháng 2, một tuần sau vụ tấn công, 54% số tiền cướp được đã được rửa. Không thể phục hồi được nữa. Như Elliptic chỉ ra, "Triều Tiên là bên tham gia tinh vi và có nguồn tài chính dồi dào nhất trên thị trường rửa tiền mã hóa, liên tục điều chỉnh các phương pháp của mình để tránh bị nhận dạng và tịch thu tiền bị đánh cắp."
Tin tốt là chỉ hơn 40 triệu đô la đã bị đóng băng trước khi Lazarus phản ứng, Chainalysis tiết lộ trong báo cáo của riêng mình. Chúng ta có thể cá rằng sẽ có nhiều loại tiền điện tử bị chặn hơn trong những ngày và tuần tới.