Bybit bị hack thiệt hại 1,5 tỷ USD (2,1 nghìn tỷ won), CEO nói “có thể bù đắp tổn thất”

 (tradingview.com)
1 điểm bởi GN⁺ 2025-02-23 | 2 bình luận | Chia sẻ qua WhatsApp
  • Sàn giao dịch tiền mã hóa Bybit đã ghi nhận các khoản rút tiền đáng ngờ với quy mô khoảng 1,46 tỷ USD
  • Ví liên quan đã chuyển 401.346 ETH (khoảng 1,1 tỷ USD) cùng stETH (staked ETH) và các tài sản khác sang ví mới
  • Ví mới hiện đang thanh lý mETH và stETH trên các sàn giao dịch phi tập trung, và được xác nhận là đã bán lượng stETH trị giá khoảng 200 triệu USD tính đến thời điểm hiện tại
  • CEO Bybit, Ben Zhou, cho biết trên X rằng "một ví lạnh ETH cụ thể đã bị hacker chiếm quyền kiểm soát và toàn bộ ETH đã bị chuyển đi"
    • Tuy nhiên, ông nói thêm rằng "các ví lạnh khác vẫn an toàn và mọi hoạt động rút tiền vẫn đang diễn ra bình thường"
  • Khoản thiệt hại 1,46 tỷ USD này có thể được ghi nhận là vụ hack tiền mã hóa lớn nhất từ trước đến nay
    • So sánh với các vụ hack lớn trong quá khứ:
      • Vụ hack Mt. Gox (2014): thiệt hại 470 triệu USD
      • Vụ hack CoinCheck (2018): thiệt hại 530 triệu USD
      • Vụ hack Ronin Bridge (2022): thiệt hại 650 triệu USD
    • Sau tin tức về vụ hack, Bitcoin (BTC) giảm 1,5% và Ethereum (ETH) giảm hơn 2%

Nội dung công bố chính thức của CEO Bybit và phần giải thích trong bình luận

  • CEO Bybit công bố trên X rằng ví lạnh đa chữ ký ETH đã thực hiện chuyển tiền sang ví nóng
    • Tuy nhiên, giao dịch cụ thể này đã bị "masking", nên giao diện người dùng mà các bên ký nhìn thấy vẫn hiển thị địa chỉ chính xác
    • URL cũng hiển thị là dịch vụ ký an toàn @safe (https://safe.global/wallet)
    • Nhưng thông điệp ký thực tế lại là thay đổi logic smart contract của ví lạnh ETH, và kết quả là hacker đã chiếm quyền kiểm soát ví lạnh rồi chuyển toàn bộ ETH đi
  • Phần lớn ví phần cứng không thể diễn giải các giao dịch smart contract EVM
    • Ví phần cứng sử dụng cơ chế "blind signing", giả định rằng màn hình người ký nhìn thấy khớp với dữ liệu nhị phân thực tế đang được ký
    • Theo CEO, họ đã xác nhận đúng URL, và nhiều người ký đã ký từ các địa điểm khác nhau bằng các thiết bị khác nhau
    • Tuy nhiên, giao diện của tất cả người ký đều đã bị thao túng, cho thấy đây là một cuộc tấn công tinh vi
  • Dự đoán về các phương thức tấn công có thể đã được sử dụng
    • Can thiệp liên kết ký
      • Có khả năng liên kết ký đã bị sửa đổi trong quá trình truyền tải, dẫn đến một trang phishing sử dụng tên miền đồng dạng IDN (homograph)
      • Hoặc trang safe.global thực sự có thể đã bị khai thác thông qua tấn công chèn script để cung cấp giao diện bị thao túng
    • Tấn công phía máy chủ
      • Có khả năng máy chủ của Bybit đã bị xâm nhập và cung cấp trang bị thao túng cho những người ký
    • Tấn công phía máy khách
      • Có khả năng malware đã được cài vào trình duyệt của những người ký để thao túng giao diện
    • Tấn công mạng/DNS
      • Có khả năng kẻ tấn công đã dùng DNS hijacking hoặc chứng chỉ TLS cấp sai để dẫn người dùng tới trang giả mạo
  • Kết luận: khả năng cao là một cuộc tấn công tinh vi, kéo dài
    • Vụ hack này có vẻ như đã được thực hiện sau khi theo dõi lâu dài hệ thống nội bộ của Bybit và phân tích quy trình vận hành
    • Đây không chỉ là một vụ phishing đơn giản, mà là dấu hiệu cho thấy một cuộc tấn công được thiết kế riêng sau khi hiểu chính xác quy trình ký nội bộ của doanh nghiệp
    • Nếu báo cáo phân tích hack chính thức được công bố trong thời gian tới, nhiều chi tiết hơn về phương thức tấn công có thể sẽ được làm rõ

Bài viết liên quan

2 bình luận

 
GN⁺ 2025-02-23
Ý kiến trên Hacker News
  • Có thông tin liên quan về các thất bại bảo mật trong vụ việc này trên blog của Trail of Bits
  • Có thông tin và suy đoán trong hai bài viết, nhưng tôi muốn biết các chi tiết kỹ thuật
    • Ví dụ, tôi muốn biết liệu phần mềm phía client có bị xâm phạm hay không, liệu những người nắm giữ khóa multisig có khuất phục trước các đòn tấn công social engineering hay không, và liệu bên ký có sử dụng máy air-gapped hay thiết bị phần cứng hay không
  • Tôi thắc mắc Bybit sẽ bù đắp khoản thiệt hại 1,5 tỷ USD này như thế nào
    • Tôi muốn biết liệu họ thực sự có lợi nhuận lớn đến vậy hay chỉ đang cố xử lý theo kiểu MtGox
  • Tôi không biết các sàn giao dịch tiền mã hóa hoạt động như thế nào
    • Tôi muốn biết liệu có ai có thể giải thích một cách đơn giản không
    • Tôi thắc mắc liệu ETH của người dùng có nằm trong ví cold storage hay không
    • Nếu đúng vậy, tôi thắc mắc vì sao một sàn giao dịch tiền mã hóa lại giữ ETH của người dùng trong một ví có thể thực hiện giao dịch mà không cần sự chấp thuận của người dùng
    • Tôi thắc mắc nói chung vì sao cần một ví cold storage lớn đến vậy để vận hành sàn giao dịch
    • Tôi thắc mắc họ lấy đâu ra tài sản để bù cho khoản lỗ này
  • Có thêm một số thông tin khác về Bybit
    • Bybit không hợp pháp ở Canada
    • Bybit khởi đầu ở Singapore, và Singapore là trung tâm toàn cầu của tiền mã hóa và công nghệ blockchain
    • Có lẫn lộn giữa thông tin nói Bybit an toàn và thông tin nói ngược lại
  • Nếu nó được kết nối với sàn giao dịch thì đó không phải là ví lạnh
  • Nên có thứ gì đó như "giao dịch cuối cùng", trong đó cả người gửi và người nhận đều phải ký sau khi giao dịch đầu tiên được đào xong
    • Nếu không được ký, tiền sẽ được hoàn lại
    • Điều này không ngăn được việc lộ khóa, nhưng có thể ngăn việc gửi nhầm sang địa chỉ sai
  • Tôi tin vào tiền mã hóa, nhưng một hệ thống có thể chuyển 1,5 tỷ USD sang tài khoản khác mà không có bất kỳ cảnh báo nào thì không nghiêm túc
  • Tôi muốn biết liệu có ai có thể giải thích Bybit thực sự là gì không
    • Tôi đã tìm kiếm khi vụ hack được công bố nhưng thấy rất rối
    • Phần lớn thông tin đều nói là "lừa đảo"
  • Có câu kiểu như "tất cả các ví lạnh khác đều an toàn nên cứ yên tâm"
    • Thật khó tin
  • Sàn giao dịch tiền mã hóa WazirX đã bị hack khoảng 300 triệu USD
    • Không có hành động nào được thực hiện đối với CEO sau vụ hack tháng 7 năm 2024
    • Ông ấy đang ở Dubai và đã nhận được chấp thuận từ Tòa án Tối cao Singapore để gộp đều số tiền và phân phối cho người dùng
    • Không có hành động nào nhắm vào công ty/CEO, và ông ta đang chuẩn bị bắt đầu một công ty/sàn giao dịch khác