Sàn giao dịch Bybit bị tin tặc tấn công và đắp cắp 1,5 tỷ USD ETH. Đây là cách thức tấn công của hacker và lỗ hỏng bảo mật của Bybit?
Theo báo cáo từ Arkham, sàn giao dịch Bybit đã bị tin tặc tấn công và đánh cắp mất gần 1,5 tỷ USD Ethereum, tin tặc đã lợi dụng phương thức “Blind Signing” – cho phép giao dịch được phê duyệt mà không cần kiểm tra đầy đủ thông tin – để chiếm quyền kiểm soát ví lạnh ETH của Bybit.
Sau khi chiếm được ví, hacker nhanh chóng chuyển toàn bộ tài sản sang một ví khác, sau đó phân bổ vào nhiều địa chỉ ví nhỏ hơn nhằm che giấu dấu vết.
Trong nỗ lực thu hồi số tiền bị mất, Bybit đã treo thưởng 50.000 ARKM cho bất kỳ ai cung cấp thông tin giúp truy tìm thủ phạm. Tuy nhiên, vụ việc này đã làm dấy lên những lo ngại về bảo mật trong ngành tiền điện tử.
NEW ARKHAM INTEL BOUNTY: BYBIT HACK
We’ve created & funded a bounty to help identify the person or organization behind today’s >$1B Bybit hack.
Submissions to this bounty will be shared with the Bybit team to support their investigation.
Reward: 50K ARKM
Bounty:… pic.twitter.com/1X3QgmRdda
— Arkham (@arkham) February 21, 2025
Cách thức cuộc tấn công diễn ra
Hacker đã sử dụng hợp đồng thông minh trojan cùng một hợp đồng có quyền truy cập ẩn để tạo bẫy trong ví đa chữ ký của Bybit. Chúng lừa đội ngũ của sàn giao dịch ký xác nhận một giao dịch ERC-20 tưởng chừng vô hại nhưng thực chất chứa một lệnh gọi đại biểu (delegate call) – cho phép hacker thay đổi mã nguồn hợp đồng chính của ví.
Ngay sau khi kiểm soát được ví, tin tặc nhanh chóng rút toàn bộ số ETH, mETH, stETH và cmETH có trong đó. Hợp đồng có quyền truy cập ẩn của chúng chỉ có hai chức năng: chuyển ETH và token ERC-20 đến một địa chỉ do chúng chỉ định, giúp rút tiền nhanh chóng trước khi Bybit kịp phản ứng.
Lỗ hổng bảo mật
Nhà phân tích tiền điện tử David Leung nhận định rằng có nhiều dấu hiệu cảnh báo đã bị phớt lờ. Giao dịch bị chuyển hướng đến một hợp đồng không niêm yết, không tuân thủ tiêu chuẩn ERC-20 và chứa lệnh delegate call – một hành vi có thể gây rủi ro cao.
Tuy nhiên, những cảnh báo này đã không được hệ thống bảo mật của Bybit phát hiện kịp thời, cho thấy hacker có thể đã hiểu rõ cách hoạt động của sàn giao dịch này.
Vụ tấn công tương tự khác có thể ngăn chặn được không?
Theo Leung, nếu Bybit có các lớp kiểm tra bảo mật mạnh hơn trước và sau khi ký giao dịch, vụ tấn công này có thể đã được ngăn chặn. Điều này một lần nữa nhấn mạnh mức độ tinh vi ngày càng cao của các cuộc tấn công mạng trong ngành crypto và sự cần thiết của việc tăng cường bảo mật để bảo vệ tài sản của người dùng.
Now that we know who's behind the @Bybit_Official attack. Let's look at how the hack actually worked.
At a high level, the hack involved the 4 broad group of events:
1. Attacker deployed a trojan contract and a backdoor contract.
2. Attacker tricked signers of the upgradeable… pic.twitter.com/5repcdcsDB
— David | crypto/acc (@dhkleung) February 21, 2025
CEO Bybit: Số ETH bị hack chiếm 70% tổng lượng ETH mà sàn này nắm giữ
