Bybit đã bị đánh cắp 1,5 tỷ đô la, có thể là vụ trộm lớn nhất trong lịch sử mã hóa, phá vỡ kỷ lục trộm cắp của Axie vào năm 2022. Vụ trộm đã gây ra rất nhiều sự hoảng loạn trên thị trường và giá ETH đã biến động mạnh trong một thời gian ngắn, nhưng vẫn chưa đạt đến mức của FTX trong năm đó.

Điều trớ trêu là nhiều nhà đầu tư vừa mới nhận được một phần tiền bồi thường từ việc thanh lý phá sản của FTX. "Sau 2,5 năm, cuối cùng tôi cũng nhận được khoản bồi thường từ FTX và gửi vào Bybit. Kết quả là ví nóng của Bybit đã bị đánh cắp vào ngày hôm sau." Đây là trò đùa địa ngục được lan truyền rộng rãi nhất vào giữa đêm hôm nay. Tuy nhiên, đằng sau trò đùa, một đám mây đen đã bao phủ ngành công nghiệp tiền điện tử.

Vụ trộm đột ngột vào đêm khuya

Vào lúc 23:00 ngày 21 tháng 2, KOL tiền điện tử Finish đã đăng rằng theo dữ liệu trên chuỗi, một địa chỉ đa chữ ký của Bybit đã chuyển ETH trị giá 1,5 tỷ đô la Mỹ đến một địa chỉ mới.

Số tiền đã đến địa chỉ mới 0x47666fab8bd0ac7003bce3f5c3585383f09486e2 và sau đó được chuyển đến 0xa4b2fd68593b6f34e51cb9edb66e71c1b4ab449e. Hiện tại, 0xa4 đang bán stETH và mETH để đổi lấy ETH.

“Địa chỉ này hiện đang sử dụng 4 DEX khác nhau và nếu họ chỉ trao đổi LSD lấy ETH gốc, thì việc thực hiện giao dịch sẽ kém (mòn hơn). Quy mô này thường được thực hiện thông qua các giao dịch OTC, vì vậy điều này là bất thường.”

Nửa giờ sau, Giám đốc điều hành Bybit Ben Zhou tuyên bố rằng ví lạnh đa chữ ký ETH đã bị tấn công bằng một cuộc tấn công trá hình và logic hợp đồng thông minh đã bị can thiệp, khiến tin tặc kiểm soát một ví cụ thể và chuyển tất cả ETH. Ông cho biết các ví lạnh khác vẫn an toàn và việc rút tiền diễn ra bình thường, đồng thời tìm kiếm sự hỗ trợ để theo dõi số tiền bị đánh cắp, ông nói rằng "Buổi phát sóng trực tiếp sẽ sớm bắt đầu để trả lời mọi câu hỏi!! Vui lòng theo dõi."

Bài đọc liên quan: "Dòng thời gian | Bybit bị đánh cắp hơn 500.000 ETH, mất 1,5 tỷ đô la Mỹ"

Số tiền bị đánh cắp lớn nhất trong lịch sử?

Theo giám sát của EmberCN, 514.000 ETH trị giá 1,429 tỷ đô la Mỹ đã bị đánh cắp từ ví lạnh đa chữ ký ETH của Bybit. Tin tặc đã phân tán 490.000 ETH vào 49 địa chỉ (10.000 ETH cho mỗi địa chỉ). “Ngoài ra, còn có 15.000 cmETH đang bị tin tặc hủy staking (có thời gian chờ là 8 giờ, tôi không biết liệu có thể chặn được không).”

Theo dữ liệu của CoinMarketCap, Bybit có 16,2 tỷ đô la tài sản dự trữ trước vụ tấn công và số tài sản bị đánh cắp trị giá 1,4 tỷ đô la chiếm 8,64%. Đây có thể là số tiền bị đánh cắp lớn nhất trong lịch sử tiền điện tử, chiếm 16% tổng số vụ tấn công hack tiền điện tử trước đây. Vụ trộm tiền điện tử lớn nhất trong lịch sử là vụ hack Ronin Network (Axie Infinity) vào ngày 29 tháng 3 năm 2022. Những kẻ tấn công đã đánh cắp khoảng 620-625 triệu đô la tiền điện tử, bao gồm 173.600 ETH và 25,5 triệu đô la USDC.

Sau khi tin tức về vụ trộm của Bybit lan truyền, ETH đã giảm xuống mức 2.600 đô la trong thời gian ngắn.

Thứ duy nhất bị tin tặc tấn công là ví lạnh ETH, ví nóng, ví ấm của Bybit và tất cả các ví lạnh khác đều không bị ảnh hưởng. Theo phản hồi của cộng đồng, mọi giao dịch rút tiền đều có thể được thực hiện bình thường trong vòng 20 phút.

Các thành viên cộng đồng cũng hỏi ChatGPT và Grok về ước tính doanh thu và lợi nhuận hàng năm của Bybit. Tính toán của cả hai đều tương tự nhau: doanh thu hàng năm khoảng 2 tỷ đô la Mỹ và lợi nhuận hàng năm khoảng 600 triệu đô la Mỹ.

“Bybit vẫn có khả năng thanh toán. Ngay cả khi tổn thất do cuộc tấn công của hacker này không thể phục hồi, tất cả tài sản của khách hàng vẫn sẽ được hỗ trợ theo tỷ lệ 1:1 và chúng tôi có thể chịu được tổn thất.” Lời nói của người đồng sáng lập Bybit cũng có được một số độ tin cậy.

Lý do của vụ trộm là vì ví đa chữ ký an toàn?

Vào ngày 22 tháng 2, Yu Xian, người sáng lập SlowMist, đã đăng một thông điệp nói rằng phương pháp tấn công của hacker Bybit tương tự như phương pháp của hacker Triều Tiên. "Mặc dù hiện tại không có bằng chứng rõ ràng, nhưng xét theo phương pháp đa chữ ký Safe và phương pháp rửa tiền hiện tại, có vẻ như hacker Triều Tiên."

Đồng thời, người sáng lập DefiLlama chỉ ra rằng vectơ tấn công tương tự như cuộc tấn công của hacker WazirX liên quan đến Triều Tiên. Hãy luôn cảnh giác.

Vào lúc 23:44, thông báo của nhà đồng sáng lập kiêm giám đốc điều hành Bybit Ben Zhou cho thấy: "Ví lạnh đa chữ ký ETH của Bybit đã được chuyển đến ví nóng của chúng tôi cách đây khoảng 1 giờ. Có vẻ như giao dịch này đã được ngụy trang. Tất cả những người ký đều thấy một giao diện ngụy trang hiển thị đúng địa chỉ và URL đến từ Safe."

Tuy nhiên, thông tin chữ ký là để thay đổi logic hợp đồng thông minh của ví lạnh ETH của họ. Điều này dẫn đến việc tin tặc chiếm quyền kiểm soát ví lạnh ETH cụ thể mà chúng đã ký và chuyển toàn bộ ETH trong ví đến địa chỉ chưa được xác nhận này.

Cuộc điều tra sâu hơn của SlowMist đã tiết lộ thêm nhiều chi tiết về lỗ hổng bảo mật:

1) Một hợp đồng triển khai độc hại đã được triển khai tại UTC 2025-02-19 7:15:23:
https://etherscan.io/address/0xbdd077f651ebe7f7b3ce16fe5f2b025be2969516…
2) Tại UTC 2025-02-21 14:13:35, kẻ tấn công đã sử dụng ba chủ sở hữu để ký một giao dịch nhằm thay thế hợp đồng triển khai của Safe bằng một hợp đồng độc hại:
https://etherscan.io/tx/0x46deef0f52e3a983b67abf4714448a41dd7ffd6d32d32da69d62081c68ad7882…
3) Kẻ tấn công sau đó sử dụng các hàm cửa sau “sweepETH” và “sweepERC20” trong hợp đồng độc hại để đánh cắp ví nóng.

Phương pháp này cũng có một số điểm tương đồng với vụ trộm Radiant Capital vào tháng 10 năm 2024:

Vào thời điểm đó, Radiant Capital đã bị xâm phạm an ninh dẫn đến mất cắp khoảng 50 triệu đô la tiền quỹ. Những kẻ tấn công đã sử dụng phần mềm độc hại để lây nhiễm vào thiết bị của ít nhất ba nhà phát triển cốt lõi, tất cả đều là những người đóng góp lâu năm và đáng tin cậy cho DAO và sử dụng ví phần cứng để thực hiện giao dịch. Tin tặc đã can thiệp vào giao diện đầu cuối của Safe{Wallet} (tức là Gnosis Safe) để khiến nạn nhân nhầm tưởng rằng giao dịch là hoạt động hợp pháp khi ký vào đó, nhưng trên thực tế, các giao dịch độc hại đã được thực hiện ở chế độ nền.

Quá trình tấn công là thiết bị của nhà phát triển được cấy phần mềm độc hại cực kỳ tinh vi, khiến họ vô tình chấp thuận các hoạt động độc hại của tin tặc khi ký giao dịch. Phần đầu của Safe{Wallet} không cho thấy bất kỳ dấu hiệu bất thường nào, khiến nạn nhân không thể phát hiện ra giao dịch đã bị can thiệp. Tin tặc lợi dụng các hiện tượng phổ biến của lỗi giao dịch (như biến động phí gas, độ trễ đồng bộ hóa, v.v.) để dụ các nhà phát triển ký lại nhiều lần, do đó thu được nhiều chữ ký độc hại hợp lệ. Mặc dù các giao dịch đã được mô phỏng và kiểm tra bằng các công cụ như Tenderly, mọi kết quả kiểm tra vẫn cho thấy bình thường vì phần mềm độc hại đã thao túng thiết bị của nhà phát triển, khiến cuộc tấn công không được phát hiện kịp thời.

Bài đọc liên quan: "Báo cáo khám nghiệm tử thi Radiant Capital"

Mọi lỗi lầm dường như đều đổ lên ví đa chữ ký Safe.

Safe là ví đa chữ ký được sử dụng nhiều nhất trong hệ sinh thái Ethereum và cũng là ví dành riêng cho các nhà đầu tư lớn. Khi Safe phát hành token vào năm nay, danh sách 100 địa chỉ airdrop hàng đầu gần như toàn bộ là các bên tham gia dự án hoặc tổ chức. Bao gồm OP, Polymarket, Drukula, Worldcoin, Lido, v.v. Bài đọc liên quan: "Safe sắp được giao dịch, tổng quan về kinh tế và sinh thái mã thông báo"

Ban đầu, đối tượng của Safe chủ yếu là các dự án DAO và tiền điện tử. Tuy nhiên, khi ngành công nghiệp tiền điện tử bước vào giai đoạn tiếp theo, các tổ chức tài chính truyền thống, các tổ chức truyền thống, quỹ gia đình và tiền cũ lần lượt tham gia thị trường và ngày càng nhiều tổ chức truyền thống bắt đầu sử dụng ví đa chữ ký Safe, chẳng hạn như gia đình Trump.

Thiết kế của Safe cải thiện đáng kể tính bảo mật của việc quản lý quỹ. Thông qua cơ chế đa chữ ký, tiền được lưu trữ trong địa chỉ hợp đồng thông minh và giao dịch chỉ có thể được thực hiện sau khi đạt được số lượng chữ ký được thiết lập trước (chẳng hạn như 3/10). Cơ chế này làm giảm hiệu quả nguy cơ lỗi điểm đơn. Ngay cả khi khóa riêng của địa chỉ chữ ký bị rò rỉ, kẻ tấn công cũng khó có thể lấy đủ chữ ký để hoàn tất giao dịch.

Hiện tại, nhóm bảo mật Safe cho biết: "Không có bằng chứng nào cho thấy giao diện chính thức của Safe đã bị hack. Nhưng để thận trọng, Safe{Wallet} đã tạm thời dừng một số chức năng nhất định". Nhóm này đang hợp tác chặt chẽ với Bybit và tiến hành điều tra liên tục.

Một số thành viên cộng đồng bắt đầu chế giễu Safe: đa chữ ký chỉ là một cách trang trí để che đậy sự thật. Đồng thời, nhiều người trong ngành cũng bày tỏ sự suy ngẫm và lo ngại về ngành này: "Nếu ví đa chữ ký không an toàn thì ai sẽ coi trọng ngành này?" ｜

Cuộc điều tra về vụ việc vẫn đang diễn ra và BlockBeats sẽ tiếp tục chú ý.

Chào mừng bạn tham gia cộng đồng chính thức của BlockBeats:

Nhóm Telegram đăng ký: https://t.me/theblockbeats

Nhóm Telegram thảo luận: https://t.me/BlockBeats_App

Tài khoản Twitter chính thức: https://twitter.com/BlockBeatsAsia