Ngày 21/02/2025, thị trường tiền điện tử chấn động khi Bybit – một trong những sàn giao dịch lớn nhất thế giới – bị hack mất 1,4 tỷ USD. Số tiền khổng lồ lập tức khiến vụ việc mang danh “lớn nhất lịch sử”, vượt qua hai vụ trộm tài sản điện tử trước là Ronin (624 triệu USD) và Poly Network (610-613 triệu USD).
Được biết, cuộc tấn công tinh vi nhắm vào Safe.global – ví lạnh đa chữ ký, hay multisignature cold wallet (multisig), vốn yêu cầu nhiều chữ ký từ các bên khác nhau để phê duyệt giao dịch. Hacker không tấn công vào hợp đồng thông minh, mà nhắm tới khai thác lỗ hổng trong giao diện người dùng, lỗ hổng do chính hacker đã cài vào trước đó.
Sàn Bybit bị hack, và kẻ gian đã cài lỗ hổng vào hệ thống – Ảnh: Internet.
Theo bài đăng tổng hợp thông tin của CyberJutsu Academy , nhằm tìm kiếm nguyên nhân, cách khắc phục cũng như đề ra những biện pháp đảm bảo an toàn cho tài sản số, một nhóm các chuyên gia của Verichains do ông Thành Nguyễn dẫn dầu đã thực hiện một cuộc điều tra tại chính trụ sở của Bybit tại Dubai. Trong nỗ lực tìm kiếm manh mối, Verichains phối hợp với nhiều đội ngũ bảo mật quốc tế khác, trong đó có Sygnia Labs.
Trong báo cáo sơ bộ dài 28 trang do Verichains đăng tải, chúng ta tìm được nhiều chi tiết đáng chú ý đằng sau vụ hack “lớn nhất lịch sử” này. Và để bài viết dễ hiểu hơn, mỗi đoạn giải thích sẽ đi kèm với một … lời giải thích dễ hiểu hơn.
Hacker xâm nhập hệ thống ra sao?
Công đoạn 1: Chỉnh sửa tệp tin JavaScript
Vụ việc là một cuộc tấn công tinh vi, nhắm vào Safe.global – nền tảng ví multisig được Bybit tin dùng. Hacker đã xâm nhập dịch vụ đám mây, thay đổi mã JavaScript trên giao diện người dùng để âm thầm thao túng giao dịch.
Cụ thể, hacker đã có thể xâm nhập hệ thống AWS S3 hoặc CloudFront của Safe.global (nơi lưu trữ mã giao diện người dùng) và thay đổi các tệp JavaScript. Bằng cách này, hacker thay đổi cách “cửa két sắt” hoạt động.
Safe.global xác nhận hacker đã khai thác lỗ hổng thông qua máy tính của một nhà phát triển, rất có thể tên này đã xâm nhập máy tính thông qua malware, bằng hình thức tấn công giả mạo (phishing) hay kỹ nghệ xã hội (social engineering, hay hiểu đơn giản là thao túng tâm lý nạn nhân).
Các chuyên gia cho rằng máy tính nhiễm mã độc có thể đã bị tấn công bởi hình thức phishing – Ảnh: Internet.
Điều tra cho thấy hai tệp JavaScript là _app-52c9031bfa03da47.js và 6514.b556851795a4cbaa.js đã bị thay đổi. So sánh giữa hai phiên bản file ác tính và lành tính, nhóm chuyên gia của Verichains nhận thấy những khác biệt chính như sau:
Thứ nhất, một tệp mã độc đã thay đổi hàm “executeTransaction” và “signTransaction”, can thiệp vào quá trình thực thi và ký giao dịch, khiến giao dịch bị chuyển hướng.
Thứ hai, một tệp khác chỉnh sửa hàm “useGasLimit”, có thể thay đổi cách giới hạn phí giao dịch được xử lý, tạo điều kiện cho hacker thực hiện hành vi mà không bị phát hiện. Những thay đổi này trong mã JavaScript là chìa khóa để thao túng ví multisig của Bybit.
Theo thông tin điều tra được, hoạt động đánh cắp thông tin bắt đầu từ thời điểm 15:29:25 UTC ngày 18/2 vừa qua, khi hacker gửi đi một hợp đồng độc hại chứa logic chuyển tiền mới.
Để giải thích một cách dễ hiểu, thì hacker đã thực hiện 3 bước sau:
1. Lừa người giữ chìa khóa
– Tên trộm không phá két, mà đã giả làm bạn của một người làm việc ở Safe.global. Người này nắm chìa khóa để mở một cái hộp cất giữ các “câu thần chú” (mã JavaScript) để mở két sắt.
– Tên trộm có thể đã gửi đi một thư điện tử chứa virus, để cài virus đánh cắp thông tin vào máy tính của người giữ chìa khóa.
2. Thay đổi “câu thần chú”
– Sau xâm nhập được vào chiếc hộp, tên trộm thay đổi “câu thần chú” vẫn được dùng để mở két sắt. “Mở két và đưa tiền vào túi của tôi” nay đã bị đổi thành: “Mở két và đưa tiền vào túi của trộm”.
3. Bị hại lấy tiền ra là mất luôn
– Điều đáng lưu ý, là câu thần chú giả chỉ hoạt động khi người bị hại dùng két sắt.
– Khi mở két sắt bằng câu thần chú, họ nghĩ họ đang gửi tiền vào túi của mình, nhưng thực ra tiền đang chảy vào túi kẻ gian.
– Trên màn hình máy tính, mọi thứ vẫn hiển thị bình thường, nên không ai biết chuyện gì đang xảy ra.
Công đoạn 2: Rút tiền bằng lỗ hổng đã tạo
Thay vì dùng yêu cầu quy chuẩn call (operation=0), mã độc hướng giao dịch sang delegatecall (operation=1), cho phép hợp đồng tấn công (sga) thực thi logic chuyển tiền mới để về tay kẻ gian. Check Point Research và Safe.global đồng thời khẳng định lỗ hổng nằm ở giao diện, không phải hợp đồng thông minh.
Với logic bị thay đổi, hacker kích hoạt hai hàm “sweepETH” và “sweepERC20”, lập tức rút 401.347 Ether và nhiều tài sản số khác. Chainalysis cho hay tài sản đã được phân tán qua nhiều ví.
Ngay sau vụ việc, CEO Ben Zhou đã livestream trên X để trấn an người dùng – Ảnh chụp màn hình.
Giải thích một cách dễ hiểu hơn, với cách so sách như đã thực hiện ở công đoạn một:
4. Câu thần chú đã bị thay đổi
– Tên trộm xây thêm một cánh cửa bí mật vào két sắt, dẫn thẳng đến túi của hắn, sử dụng một câu lệnh có tên “delegatecall” để làm việc đó.
5. Lấy tiền và tẩu thoát
– Với cánh cửa bí mật, tên trộm tài sản trong két rồi chia nhỏ ra để giấu ở nhiều chỗ. Sau đó, hắn xóa hết dấu vết để không ai tìm ra.
Kết luận của Verichains
Tệp JavaScript lành tính của app.safe.global dường như đã bị thay thế bằng mã độc vào ngày 19/02/2025, lúc 15:29:25 UTC, nhắm cụ thể vào ví Lạnh đa chữ ký Ethereum của Bybit (địa chỉ: 0x1Db92e2EeBC8E0c075a02BeA49a2935BcD2dFCF4).
Cuộc tấn công được thiết kế để kích hoạt trong giao dịch tiếp theo của Bybit, và nó đã diễn ra vào ngày 21/02/2025, lúc 14:13:35 UTC.
Dựa trên kết quả điều tra từ máy tính đã ký vào giao dịch và nội dung file JavaScript độc hại được lưu trong thư viện Wayback Archive, Verichains kết luận rằng tài khoản AWS S3 hoặc CloudFront/API Key của Safe.Global có khả năng đã bị rò rỉ hoặc xâm phạm.
Verichains khẳng định cần tiến hành điều tra thêm để xác thực kết quả và nguyên nhân vấn đề.
Nguồn tin: https://genk.vn/giai-thich-vu-hack-bybit-mot-cach-de-hieu-den-hoc-sinh-tieu-hoc-cung-tiep-thu-duoc-2025022817154713.chn
