Vụ hack Bybit trị giá 2 nghìn tỷ won: Kỷ nguyên thất bại của bảo mật vận hành đã bắt đầu
(blog.trailofbits.com)- Ngày 21 tháng 2 năm 2025, sàn giao dịch Bybit bị hack ví lạnh multisig, làm thất thoát lượng tiền mã hóa trị giá khoảng 1,5 tỷ USD
- Các hacker đã xâm nhập thiết bị của những người ký đa chữ ký, rồi thao túng nội dung mà những người ký nhìn thấy trên giao diện ví
- Những người ký tưởng rằng họ đang thực hiện một giao dịch bình thường, trong khi thực tế lại cung cấp dữ liệu chữ ký mà hacker mong muốn
- Điều này cho thấy phương thức hack các sàn giao dịch tập trung gần đây đang chuyển từ khai thác lỗ hổng mã nguồn sang tấn công vào các điểm yếu về bảo mật vận hành và con người
Các vụ hack tương tự gần đây
- Sàn WazirX (tháng 7 năm 2024): thiệt hại 230 triệu USD
- Radiant Capital (tháng 10 năm 2024): thiệt hại 50 triệu USD
- Sàn Bybit (tháng 2 năm 2025): thiệt hại 1,5 tỷ USD
Liên hệ với các nhóm hacker Triều Tiên
- Theo phân tích của Arkham Intelligence và ZachXBT, cuộc tấn công này được xác nhận là có liên quan đến các nhóm hacker Triều Tiên
- Có sự tham gia của các nhóm hacker được nhà nước hậu thuẫn như TraderTraitor, Jade Sleet, UNC4899, Slow Pisces thuộc Cục Trinh sát Tổng hợp (RGB) của Triều Tiên
- Phương thức tấn công của các nhóm hacker RGB
- Nhắm vào quản trị viên hệ thống, nhà phát triển và nhân viên tài chính thông qua các chiến dịch social engineering
- Lây nhiễm nhân sự chủ chốt bằng các chiêu trò tuyển dụng giả mạo và tấn công phishing được thiết kế riêng
- Sử dụng mã độc đa nền tảng để lây nhiễm Windows, MacOS và nhiều ví tiền mã hóa khác nhau
- Thao túng màn hình giao dịch mà người dùng nhìn thấy để dụ họ ký
Vì sao các hệ thống bảo mật hiện có bị vô hiệu hóa
- Kẻ tấn công liên tục cải tiến công cụ và kỹ thuật qua những đợt tấn công lặp đi lặp lại
- Những lý do khiến các biện pháp bảo mật thông thường khó có thể phòng thủ:
- Các tổ chức có bảo mật vận hành yếu kém đang đối mặt với rủi ro rất lớn
- Ngay cả hệ thống đa chữ ký cũng có thể bị thao túng
- Chúng sử dụng các kỹ thuật tấn công khó bị phát hiện bằng các giải pháp bảo mật truyền thống hiện có như EDR, tường lửa, v.v.
Thực tế mới của bảo mật tiền mã hóa
- Chỉ tăng cường bảo mật smart contract như trước đây là không đủ
- Thất bại trong bảo mật vận hành đã trở thành yếu tố đe dọa lớn nhất
- Doanh nghiệp cần xây dựng chiến lược bảo mật với giả định rằng việc bị hack là hoàn toàn có thể xảy ra
Các chiến lược bảo mật mà doanh nghiệp nhất định phải triển khai
- Tách biệt hạ tầng
- Hệ thống ký giao dịch phải được tách biệt vật lý/lô-gic khỏi mạng vận hành thông thường
- Áp dụng phần cứng và mạng chuyên dụng, cùng cơ chế kiểm soát truy cập nghiêm ngặt
- Phòng thủ nhiều lớp (Defense-in-Depth)
- Kết hợp ví phần cứng, đa chữ ký và công cụ xác minh giao dịch để xây dựng hệ thống bảo mật tổng hợp
- Chiến lược bảo mật chồng lớp là bắt buộc, thay vì chỉ dựa vào một biện pháp đơn lẻ
- Biện pháp chuẩn bị ở cấp độ tổ chức
- Thực hiện threat modeling cho cả rủi ro vận hành và kỹ thuật
- Tiến hành kiểm toán và đánh giá bảo mật bên ngoài một cách định kỳ
- Thường xuyên tổ chức huấn luyện bảo mật và mô phỏng ứng phó tấn công
- Xây dựng kế hoạch ứng phó sự cố cụ thể và kiểm thử định kỳ
Hướng dẫn bảo mật của Trail of Bits
- Các hướng dẫn bảo mật chính:
Kết luận: Không thể phòng thủ chỉ bằng bảo mật truyền thống nữa
-
Vụ hack Bybit cho thấy bảo mật tiền mã hóa đã bước vào một giai đoạn mới
-
Nếu không tăng cường bảo mật vận hành, sẽ không thể tránh khỏi các vụ hack quy mô lớn
-
Phát biểu cứng rắn của nhà nghiên cứu bảo mật Tayvano đã mô tả ngắn gọn tình hình hiện tại:
> "Một khi thiết bị đã bị lây nhiễm thì coi như chấm hết. Nếu khóa nằm trong hot wallet hoặc trên AWS, nó sẽ bị hack ngay lập tức. Ngay cả khi khóa nằm trong cold wallet, hacker cũng chỉ cần bỏ thêm chút công sức. Dù thế nào đi nữa, cuối cùng nó vẫn sẽ bị hack."
Những việc doanh nghiệp cần làm ngay
- Đánh giá rủi ro bảo mật vận hành
- Triển khai hạ tầng ký Air-Gapped
- Hợp tác với đội ngũ bảo mật có kinh nghiệm đối phó các nhóm hacker được nhà nước hậu thuẫn
- Xây dựng kế hoạch ứng phó sự cố và kiểm thử định kỳ
> "Vụ hack 1 tỷ USD tiếp theo chỉ còn là vấn đề thời gian; nếu không chuẩn bị, thiệt hại là điều không thể tránh khỏi"
1 bình luận
Ý kiến trên Hacker News
Sự việc liên quan gần đây: Bybit bị hack, thiệt hại 1,5 tỷ USD
Nếu hacker có thể thao túng 'những gì người ký nhìn thấy trên giao diện ví' thông qua truy cập từ xa, thì đây có vẻ không phải là lưu trữ lạnh
Có ba cách có thể bị hack trong tương tác đa chữ ký:
Hợp đồng đa chữ ký Gnosis Safe dường như đã chứng minh là rất vững chắc, còn ví phần cứng thì cực kỳ khó tấn công. Điểm yếu hiện tại là máy tính
Các công ty crypto cần giải quyết vấn đề này bằng cách chuyển sang các thiết bị chuyên dụng bị khóa chặt hơn cho việc ký, và thực sự xác minh những gì được hiển thị trên màn hình ví phần cứng
Thế giới an ninh trực tuyến cực kỳ hỗn loạn. Trong các lĩnh vực kỹ thuật khác, hiếm khi có trường hợp phải nhắm rõ ràng vào những thứ do một quốc gia nước ngoài tạo ra
Nhưng trên mạng thì khác. Triều Tiên có thể tấn công hệ thống tùy ý, và phản ứng chủ yếu lại là "lẽ ra anh phải xây hệ thống an toàn hơn"
Bài đăng này thiếu chi tiết về việc vụ hack đã xảy ra như thế nào
Kẻ tấn công đã xâm phạm thiết bị của nhiều người ký, đồng thời thao túng những gì họ nhìn thấy trên giao diện ví để thu thập đủ chữ ký cần thiết trong khi những người ký vẫn tin rằng họ đang thực hiện một giao dịch thông thường
Một câu hỏi nghiêm túc từ góc độ gần như không biết gì về crypto: rốt cuộc trong vụ tấn công này ai mới là người thực sự mất tiền? Có phải rất nhiều cá nhân không?
Tôi nhớ 9 năm trước, khi 50 triệu USD bị đánh cắp, ETH đã hard fork
Theo hiểu biết của tôi, lý do ví đa chữ ký này thất bại là cũng giống như phần lớn các hệ thống bảo mật khác: mọi người chỉ bấm 'đồng ý' mà không trao đổi, điều tra hay đặt câu hỏi. Điều đó khiến mục đích của đa chữ ký trở nên vô nghĩa
Tôi thực sự không hiểu tại sao họ không tách số tiền này ra thành nhiều ví riêng biệt