Bybit bị tấn công: Phân tích chi tiết về vụ mất cắp 1,4 tỷ USD

Diễn biến vụ tấn công

• 0:20 tối, 21/2: Nhà phân tích on-chain ZachXBT phát hiện một lượng lớn tài sản, trị giá khoảng 1,46 tỷ USD, bị rút khỏi ví lạnh của Bybit và chuyển vào một địa chỉ không xác định.

  • Các tài sản bị đánh cắp, bao gồm mETH và stETH, ngay lập tức được hoán đổi thành Ethereum trên các sàn giao dịch phi tập trung nhằm che giấu dấu vết của giao dịch.

  • ZachXBT xác nhận đây là một cuộc tấn công có chủ đích, không phải lỗi kỹ thuật hay giao dịch nội bộ.

• 10:44 tối: CEO Bybit, ông Ben Zhou, chính thức thừa nhận vụ tấn công. Ông cho biết những kẻ tấn công đã khai thác một lỗ hổng bảo mật bằng cách sử dụng giao diện người dùng giả mạo, khiến đội ngũ Bybit vô tình phê duyệt một giao dịch thay đổi logic hợp đồng thông minh.

• 10:50 tối: Tin tặc bắt đầu phân tán 10.000 ETH vào 39 ví khác nhau để làm phân tán dòng tiền và tránh bị truy vết.

  • Hacker tiếp tục chia nhỏ thêm 10.000 ETH vào 9 ví mới và tiến hành chuyển khoảng 245 triệu USD Ethereum qua cầu nối blockchain sang mạng SUI nhằm xóa dấu vết.

• 11:07 tối: CEO Bybit trấn an người dùng rằng sàn vẫn duy trì thanh khoản và sẽ hoàn toàn bồi thường cho tất cả người dùng bị ảnh hưởng.

• 11:32 tối: Arkham Intelligence đưa ra phần thưởng trị giá 50.000 ARKM cho bất kỳ ai cung cấp thông tin có thể giúp xác định danh tính kẻ tấn công.

• 12:09 sáng, 22/2: ZachXBT nộp bằng chứng xác định nhóm tin tặc đứng sau vụ tấn công có thể là Lazarus Group, một nhóm hacker có liên quan đến Triều Tiên.

• 12:15 sáng: CEO Ben Zhou tổ chức buổi phát trực tiếp trên nền tảng X để giải đáp thắc mắc của cộng đồng. Ông khẳng định số tiền bị đánh cắp chỉ chiếm khoảng một phần hai mươi tổng tài sản mà Bybit đang quản lý và sàn có đủ khả năng chi trả toàn bộ số ETH bị thất thoát nếu không thể thu hồi.

• 12:52 sáng: Bybit ghi nhận số lượng yêu cầu rút tiền kỷ lục, lên tới 350.000 yêu cầu trong vòng 10 giờ, trong đó còn khoảng 2.100 yêu cầu chưa được xử lý.

Dữ liệu : Arkham Intelligence

Các nhận định về vụ tấn công trên

Các chuyên gia bảo mật nhận định rằng đây là một cuộc tấn công cực kỳ tinh vi. Nhà nghiên cứu bảo mật 0xCygaar giải thích rằng tin tặc đã thao túng quy trình ký giao dịch multisig bằng cách tạo ra giao diện giả mạo, khiến những người ký duyệt tưởng rằng họ đang phê duyệt một giao dịch hợp lệ, trong khi thực tế, họ đã cấp toàn quyền kiểm soát ví lạnh cho tin tặc.

Một số giả thuyết khác cũng được đưa ra, chẳng hạn như khả năng hacker đã xác định danh tính các nhân viên cấp cao của Bybit và tấn công dần dần cho đến khi có quyền truy cập vào quy trình ký duyệt giao dịch.

Theo Arkham Intelligence, tin tặc đã phân tán số tiền bị đánh cắp qua 48 ví khác nhau. Khoảng 245 triệu USD đã được chuyển qua cầu nối blockchain sang mạng SUI nhằm làm mất dấu vết. Các token bị đánh cắp bao gồm mETH và stETH, và đã nhanh chóng được hoán đổi sang Ethereum để tăng khả năng thanh khoản. Tất cả các địa chỉ liên quan đến hacker hiện đều đã bị gắn nhãn "Bybit Exploiter 1" nhằm theo dõi giao dịch của chúng.

Dữ liệu : Arkham Intelligence

Tác động đến thị trường tiền mã hóa

Mặc dù số tiền bị đánh cắp là rất lớn, nhưng giá Ethereum không có biến động lớn, cho thấy niềm tin vào khả năng thanh toán và quản lý khủng hoảng của Bybit. Tuy nhiên, vụ hack này đã làm gia tăng lo ngại về bảo mật của các sàn giao dịch tập trung, có thể dẫn đến các quy định chặt chẽ hơn từ cơ quan quản lý.

“ CEO Ben Zhou khẳng định rằng Bybit vẫn duy trì thanh khoản và sẽ hoàn toàn bồi thường cho người dùng. Ông cũng nhấn mạnh rằng Bybit sẽ không ngay lập tức mua ETH để thay thế số tiền bị mất mà sẽ sử dụng các khoản vay từ các đối tác để tránh tác động tiêu cực lên thị trường.”

So sánh với các vụ hack khác

• Mt. Gox (2014, 450 triệu USD): Mất kiểm soát hệ thống bảo mật dẫn đến phá sản kéo dài.

• Binance (2019, 40 triệu USD): Được bồi thường nhanh chóng nhờ quỹ bảo hiểm SAFU.

• FTX (2022, 8 tỷ USD): Sụp đổ do sai phạm nội bộ và quản lý kém.

• Bybit (2025, 1,4 tỷ USD): Đáp ứng nhanh chóng, cam kết bồi thường đầy đủ, duy trì thanh khoản.

Kết luận

Vụ tấn công vào Bybit là một lời nhắc nhở mạnh mẽ về mức độ tinh vi của các mối đe dọa bảo mật trong lĩnh vực tiền điện tử. Dù Bybit đã xử lý nhanh chóng và cam kết bồi thường đầy đủ cho người dùng, vụ việc vẫn đặt ra những câu hỏi quan trọng về tính an toàn của các hệ thống ví lạnh, nguy cơ tấn công từ bên trong và sự can thiệp của các nhóm tin tặc nhà nước như Lazarus. Trong tương lai, ngành tiền điện tử sẽ cần nâng cao các biện pháp bảo mật và tăng cường giám sát để tránh lặp lại những sự cố tương tự.