Black Swan đã đến: Theo dõi chi tiết vụ trộm ETH gần 1,5 tỷ đô la từ Bybit

Tác giả: Spirit

Tổng quan sự kiện

Vào ngày 21 tháng 2 năm 2025, sàn giao dịch tiền điện tử Bybit tiết lộ rằng ví lạnh đa chữ ký Ethereum của họ đã bị tấn công trái phép, dẫn đến việc mất cắp gần 1,5 tỷ đô la tài sản ETH và stETH. Phân tích sơ bộ cho thấy tin tặc đã sử dụng một cuộc tấn công được lên kế hoạch cẩn thận, sử dụng các biện pháp kỹ thuật phức tạp như ngụy trang giao diện giao dịch và thay thế hợp đồng thông minh để kiểm soát thành công ví lạnh ETH của Bybit và chuyển tiền. Sau sự cố, Bybit đã nhanh chóng đưa ra tuyên bố, mở cuộc điều tra và tìm kiếm sự hỗ trợ tài chính bên ngoài để ứng phó với làn sóng rút tiền của người dùng. Vụ việc này là vụ trộm lớn nhất trong lịch sử tiền điện tử, gây ra sự hỗn loạn trên thị trường và làm dấy lên lo ngại về tính bảo mật của các sàn giao dịch tập trung.

Dòng thời gian sự kiện (HKT, UTC+8)

Dòng thời gian sau đây dựa trên thông tin công khai và theo Giờ Hồng Kông (HKT, UTC+8):

Ngày 19 tháng 2 năm 2025 15:15 HKT (UTC 07:15): Hợp đồng độc hại đã được triển khai (địa chỉ hợp đồng: `0xbDd077f651EBe7f7b3cE16fe5F2b025BE2969516`). Phân tích của nhóm SlowMist cho thấy hợp đồng độc hại là bước triển khai trước trong cuộc tấn công này.

Ngày 21 tháng 2 năm 2025 14:13 HKT (UTC 06:13): Tin tặc đã sử dụng ba chữ ký Chủ sở hữu để khởi tạo giao dịch (băm giao dịch: `0x46deef0f52e3a983b67abf4714448a41dd7ffd6d32d32da69d62081c68ad7882`) để thay thế hợp đồng triển khai An toàn của ví lạnh đa chữ ký Bybit bằng hợp đồng độc hại nêu trên. Đây được cho là bước quan trọng trong vụ tấn công, mở đường cho hành vi trộm cắp tiền sau đó.

Khoảng 23:30 giờ HKT ngày 21 tháng 2 năm 2025: Đã xảy ra chuyển tiền bất thường trong ví lạnh Ethereum của Bybit và khoảng 1,5 tỷ đô la Mỹ trong ETH và stETH đã bị đánh cắp. Người dùng X (trước đây là Twitter) @OrdzWorld là người đầu tiên phát hiện ra các giao dịch chuyển tiền bất thường từ ví lạnh sang ví ấm của Bybit.

Ngày 21 tháng 2 năm 2025 23:48 HKT: Giám đốc điều hành Bybit Ben Zhou đã đăng trên mạng xã hội, thừa nhận rằng đã xảy ra một vụ chuyển tiền ETH trái phép vào ví lạnh và ban đầu cho rằng đó là một "cuộc tấn công giả mạo giao diện người dùng bị chặn" và nhấn mạnh rằng các ví lạnh khác vẫn an toàn và việc rút tiền diễn ra bình thường.

Ngày 21 tháng 2 năm 2025 23:51 HKT: Tài khoản chính thức của Bybit @Bybit\_Official đã đưa ra tuyên bố chính thức trên nền tảng X, xác nhận rằng các hoạt động trái phép của ví lạnh đa chữ ký ETH đã bị phát hiện và tuyên bố rằng kẻ tấn công đã thao túng giao dịch thông qua một cuộc tấn công phức tạp ngụy trang giao diện chữ ký. Bybit tuyên bố rằng họ đã mở cuộc điều tra và nhấn mạnh rằng tiền của người dùng vẫn an toàn.

Ngày 22 tháng 2 năm 2025 00:11 HKT: Giám đốc điều hành Bybit Ben Zhou đã viết lại, nhấn mạnh rằng Bybit có khả năng thanh toán và tài sản của người dùng được đảm bảo theo tỷ lệ 1:1.

Ngày 22 tháng 2 năm 2025 01:00 HKT: Nhóm SlowMist @SlowMist\_Team đã tiết lộ thêm thông tin chi tiết kỹ thuật về nền tảng X, chỉ ra rằng hợp đồng độc hại đã được triển khai từ ngày 19 tháng 2 và kẻ tấn công đã sử dụng các chức năng cửa sau `sweepETH` và `sweepERC20` và logic `DELEGATECALL` để thực hiện hành vi trộm cắp.

Ngày 22 tháng 2 năm 2025, 01:07 giờ HKT:Người dùng X @web3golder báo cáo rằng Bybit đang phải đối mặt với làn sóng người dùng rút tiền và một số tài sản bị đánh cắp đã được đổi lấy ETH trên các sàn giao dịch phi tập trung (DEX), làm trầm trọng thêm những lo ngại của thị trường.

Ngày 22 tháng 2 năm 2025, 01:24 HKT: Người sáng lập BitMart, Sheldon, đã đăng trên nền tảng X rằng BitMart đã đóng băng các địa chỉ liên quan và sẽ hỗ trợ Bybit thu hồi tài sản.

Ngày 22 tháng 2 năm 2025, 01:39 HKT: Nhóm bảo mật Beosin đã phân tích và chỉ ra rằng số tiền phí giao dịch của địa chỉ tấn công ban đầu của tin tặc đến từ sàn giao dịch Binance.

Ngày 22 tháng 2 năm 2025, 05:23 HKT: Thám tử chuỗi ZachXBT (@ZachXBT) đã đăng lên nền tảng X và gửi báo cáo bằng chứng, xác nhận sơ bộ rằng cuộc tấn công được tổ chức tin tặc Triều Tiên Lazarus Group lên kế hoạch. Arkham Intelligence đã chuyển tiếp thông tin.

Ngày 22 tháng 2 năm 2025, 07:27 HKT: Nền tảng X chính thức của Bybit đã đưa ra tuyên bố cho biết họ đã báo cáo vụ việc cho các cơ quan có thẩm quyền và đang làm việc với các nhà cung cấp phân tích chuỗi để xác định và cô lập các địa chỉ liên quan và ngăn chặn tin tặc bán ETH.

Ngày 22 tháng 2 năm 2025, 09:09 HKT: Nhà phân tích dữ liệu trên chuỗi Ember (@EmberCN) đã theo dõi rằng Bitget đã hỗ trợ khoản vay 40.000 ETH từ Bybit để giảm bớt áp lực rút tiền.

Ngày 22 tháng 2 năm 2025, 09:14 HKT:Giám đốc điều hành Bitget, Gracy Chen, đã đăng một thông điệp trên nền tảng X để hỗ trợ Bybit, nói rằng ông tin rằng tiền của khách hàng Bybit an toàn và không cần phải hoảng sợ.

Ngày 22 tháng 2 năm 2025, 09:21 HKT: Cơ quan kiểm toán Web3 Hacken đã phát hành bản cập nhật cho bằng chứng dự trữ, nêu rõ rằng dự trữ của Bybit vẫn vượt quá các khoản nợ phải trả và tiền của người dùng được bảo đảm đầy đủ. Tổng giám đốc điều hành Bybit Ben Zhou trả lời rằng cuộc kiểm toán của Hacken đã chứng minh Bybit có khả năng bồi thường thiệt hại cho khách hàng.

Ngày 22 tháng 2 năm 2025, 09:28 HKT: Giám đốc điều hành KuCoin, BC Wong, bày tỏ sự ủng hộ đối với Bybit và cho biết KuCoin đã hỗ trợ theo dõi dòng tiền và đóng băng các tài sản đáng ngờ.

Ngày 22 tháng 2 năm 2025, 09:30 giờ HKT: Nhà sáng lập Binance Changpeng Zhao (CZ) đã trả lời trên mạng xã hội rằng các quan chức của Binance vẫn chưa vay tiền từ Bybit và việc chuyển tiền có liên quan có thể là hành vi cá nhân của một cá voi.

Ngày 22 tháng 2 năm 2025, 09:35 HKT: Giao thức ví đa chữ ký Safe đã chính thức đưa ra tuyên bố rằng không phát hiện rò rỉ cơ sở mã nào và chức năng Safe đã bị tạm dừng để kiểm tra kỹ lưỡng.

Ngày 22 tháng 2 năm 2025, 09:38 HKT:  Theo dõi trên chuỗi cho thấy ví nóng MEXC đã chuyển 12.600 stETH vào ví lạnh Bybit, cung cấp thêm hỗ trợ thanh khoản.

22 tháng 2 năm 2025 09:55 HKT: Giám đốc điều hành Bybit Ben Zhou cho biết Bybit đang chuyển 2,95 tỷ USDT từ ví lạnh sang ví nóng. Đây là một chiến lược đã được lên kế hoạch chứ không phải là một vụ hack khác.

Hỗ trợ từ tất cả các bên và phản ứng về thanh khoản

Bybit đã hành động nhanh chóng sau sự cố và tìm kiếm sự hỗ trợ từ nhiều bên để đối phó với cuộc khủng hoảng thanh khoản tiềm ẩn và cuộc khủng hoảng lòng tin của người dùng:

• Khoản vay ETH của Bitget: Bitget đã cho Bybit vay gấp 40.000 ETH (khoảng 105,9 triệu đô la Mỹ), số tiền này được chuyển trực tiếp đến địa chỉ ví lạnh Bybit để giảm bớt áp lực rút tiền của người dùng. Khoản vay này thể hiện tinh thần tương trợ lẫn nhau giữa các sàn giao dịch cùng ngành.

• Khoản vay bắc cầu: Giám đốc điều hành Bybit Ben Zhou tiết lộ rằng ông đã đạt được thỏa thuận vay bắc cầu với các đối tác của mình, với số tiền tương đương khoảng 80% giá trị số ETH bị đánh cắp (khoảng 1,12 tỷ đô la Mỹ). Nguồn gốc cụ thể của khoản vay này chưa được tiết lộ, nhưng có thể bao gồm khoản vay từ Bitget. Là một công cụ tài trợ ngắn hạn, các khoản vay bắc cầu được thiết kế để nhanh chóng bổ sung thanh khoản và tránh nhu cầu Bybit phải mua ngay một lượng lớn ETH trên thị trường, gây ra thêm biến động cho thị trường.

• KuCoin hỗ trợ giám sát và đóng băng: CEO của KuCoin cho biết họ đã hỗ trợ Bybit giám sát dòng tiền bị đánh cắp và đóng băng các tài sản đáng ngờ nhằm mục đích giảm thiểu tổn thất.

• Kiểm toán tài chính và Bằng chứng về khả năng thanh toán: Hacken, công ty kiểm toán Web3 mà Bybit hợp tác, đã phát hành bản cập nhật về bằng chứng về dự trữ. Dự trữ của Bybit vẫn vượt quá các khoản nợ phải trả và tiền của người dùng có thể được hỗ trợ đầy đủ. Tổng giám đốc điều hành Bybit Ben Zhou cũng tuyên bố rằng Bybit có khả năng thanh toán và tài sản của người dùng được đảm bảo 1:1. Ngay cả khi tổn thất từ ​​sự cố hack không thể phục hồi, Bybit vẫn có thể bồi thường cho người dùng về tổn thất của họ.

Xử lý yêu cầu rút tiền của người dùng: Tổng giám đốc điều hành Bybit tuyên bố rằng chức năng rút tiền của nền tảng đang hoạt động bình thường và nhấn mạnh rằng 99,994% yêu cầu rút tiền đã được hoàn thành, nhưng thừa nhận rằng có thể có sự chậm trễ trong việc xử lý số lượng lớn yêu cầu rút tiền.

Bối cảnh của sự kiện vàSự tiết lộXu hướng của ngành

Tổng quan về Bybit Exchange: Bybit được thành lập vào năm 2018 và có trụ sở chính tại Singapore. Đây là một sàn giao dịch tiền điện tử chủ yếu tham gia vào giao dịch phái sinh. Sàn có hơn 10 triệu người dùng và có ảnh hưởng nhất định trong ngành.

Các vụ trộm tiền điện tử thường xuyên: Trong những năm gần đây, các sàn giao dịch tập trung đã trở thành mục tiêu có giá trị cao cho các cuộc tấn công của tin tặc do lượng tiền tập trung của họ. Năm 2024, số tiền điện tử bị đánh cắp trên toàn thế giới đã lên tới 2,3 tỷ đô la Mỹ và số tiền bị đánh cắp từ Bybit trong sự cố này đã vượt quá 60% số tiền bị đánh cắp trong ngành vào năm ngoái, điều này làm nổi bật mức độ nghiêm trọng của tình hình an ninh trong ngành. Trước đây, các dự án nổi tiếng như Ronin Network cũng đã bị đánh cắp trên diện rộng, cho thấy các kỹ thuật tấn công của tin tặc liên tục phát triển và các nền tảng tập trung phải đối mặt với những thách thức bảo mật liên tục.

Cảnh báo sớm và lập kế hoạch dài hạn: Cơ quan an ninh SlowMist tiết lộ rằng hợp đồng độc hại đã được triển khai từ ngày 19 tháng 2, cho thấy cuộc tấn công không phải là cuộc tấn công tạm thời mà là kết quả của một thời gian dài lập kế hoạch và chuẩn bị cẩn thận.

Phân tích nguyên nhân gây ra sự cố

Lỗ hổng kỹ thuật và các cuộc tấn công kỹ thuật xã hội:

Phân tích sơ bộ cho thấy kẻ tấn công có thể đã khai thác lỗ hổng quy trình chữ ký của ví lạnh đa chữ ký của Bybit và lừa Chủ sở hữu đa chữ ký ký một giao dịch độc hại bằng cách ngụy trang giao diện giao dịch và thay thế hợp đồng triển khai An toàn.

Kẻ tấn công có thể đã kết hợp các kỹ thuật kỹ thuật xã hội (tham khảo cuộc tấn công vào tháng 10 năm ngoái), chẳng hạn như xâm nhập vào máy tính của người ký hoặc các liên kết truyền thông trung gian, thay thế các yêu cầu giao dịch bình thường bằng các giao dịch độc hại và làm giảm sự cảnh giác của người ký.

Lệnh DELEGATECALL đã bị khai thác trong một hợp đồng độc hại, có khả năng cho phép mã độc thực thi trong bối cảnh của ví đa chữ ký, do đó sửa đổi logic hợp đồng và chuyển tiền.

Rủi ro cố hữu của các sàn giao dịch tập trung:

Là đơn vị lưu ký tập trung của tiền người dùng, các sàn giao dịch tập trung đương nhiên có nguy cơ "hỏng hóc tại một điểm" và dễ bị tin tặc tấn công. CEO của Bybit, Ben Zhou đã công khai thừa nhận lỗ hổng cố hữu này của CEX ngay từ năm 2020.

Các yếu tố môi trường bên ngoài:

Vào tháng 2 năm 2025, thị trường tiền điện tử nói chung đã phục hồi và giá ETH tăng, điều này có thể đã kích thích động lực đánh cắp của tin tặc.

Các nền tảng tiền điện tử khác (như ZkLend) cũng đã bị tấn công gần đây, phản ánh rằng môi trường bảo mật chung trong ngành có thể đang xấu đi.

Tác động của sự cố

Tác động trực tiếp đến Bybit:

Thiệt hại tài chính khổng lồ: 1,5 tỷ đô la tài sản đã bị đánh cắp, chiếm tỷ trọng lớn trong tiền gửi ETH của Bybit (khoảng 75%), gây ra thiệt hại kinh tế trực tiếp cho sàn giao dịch.

Khủng hoảng lòng tin của người dùng và làn sóng rút tiền: Các vụ trộm cắp quy mô lớn có thể gây ra khủng hoảng lòng tin vào tính bảo mật của nền tảng Bybit, dẫn đến tình trạng người dùng tập trung rút tiền và gây áp lực rất lớn lên tính thanh khoản của nền tảng.

Biến động giá ETH trong ngắn hạn: Sau sự cố, giá ETH đã giảm khoảng 3% trong ngắn hạn, phản ánh tâm lý tiêu cực của thị trường đối với sự cố.

Ảnh hưởng đến danh tiếng: Mặc dù Bybit đã phản hồi tích cực và nhấn mạnh khả năng thanh toán của mình, nhưng sự cố này chắc chắn đã có tác động tiêu cực nhất định đến danh tiếng của Bybit.

Tác động đến ngành công nghiệp tiền điện tử:

Làm trầm trọng thêm cuộc khủng hoảng niềm tin CEX: Sự cố Bybit càng làm trầm trọng thêm mối lo ngại của người dùng về tính bảo mật của các sàn giao dịch tập trung, điều này có thể khiến một số người dùng chuyển tiền sang các sàn giao dịch phi tập trung (DEX) hoặc lựa chọn các giải pháp lưu ký tài sản an toàn hơn.

Áp lực quản lý có thể tăng lên: Theo truyền thống, các sự cố bảo mật sàn giao dịch quy mô lớn thường thu hút sự chú ý và can thiệp của các cơ quan quản lý. Sự cố Bybit có thể thúc đẩy các cơ quan quản lý ở nhiều quốc gia tăng cường kiểm toán bảo mật và yêu cầu giám sát tuân thủ đối với CEX.

Thúc đẩy nâng cấp bảo mật ngành: Sự cố này có thể trở thành bước ngoặt quan trọng trong lĩnh vực bảo mật mật mã, thúc đẩy các sàn giao dịch, cơ quan bảo mật và cộng đồng nhà phát triển cùng nhau thúc đẩy nâng cấp toàn diện các cơ chế quản trị và bảo mật kỹ thuật, đồng thời cải thiện mức độ bảo mật chung của ngành.

Có thể thảo luận về Ethereum fork: Giám đốc Coinbase Conor Grogan và nhân vật trong ngành tiền điện tử Arthur Hayes đã công khai thảo luận liệu sự cố này có thể gây ra một cuộc thảo luận về Ethereum fork tương tự như sự cố DAO hay không. Mặc dù lời kêu gọi fork có thể là cực đoan, nhưng nó cũng phản ánh mức độ nghiêm trọng của sự cố và khả năng cân nhắc các tình huống cực đoan của ngành.

Phản hồi từ nhiều bên trong ngành

Bybit Official: Tổng giám đốc điều hành Bybit Ben Zhou đã nhanh chóng tiết lộ thông tin chi tiết về sự cố sau khi nó xảy ra và trao đổi với người dùng thông qua mạng xã hội, phát sóng trực tiếp, v.v., nhấn mạnh đến khả năng thanh toán và hoạt động bình thường của nền tảng, đồng thời cố gắng lấy lại lòng tin của người dùng thông qua tính minh bạch và giao tiếp tích cực. Bybit chính thức tuyên bố rằng họ đã báo cáo vụ việc với các cơ quan chức năng có liên quan và đang hợp tác với các cơ quan an ninh để tiến hành điều tra và theo dõi tiền.

Kiểm toán các cơ quan an ninh: Các công ty an ninh blockchain như SlowMist và Beosin đã nhanh chóng can thiệp sau sự cố, phân tích các chi tiết kỹ thuật của cuộc tấn công, hỗ trợ Bybit theo dõi số tiền bị đánh cắp và đưa ra cảnh báo an ninh cho ngành.

Các sàn giao dịch tập trung (CEX): Bitget, KuCoin, MEXC và Jucoin đã công khai bày tỏ sự ủng hộ của họ đối với Bybit và cung cấp hỗ trợ tài chính và kỹ thuật. BitMart hứa sẽ đóng băng các địa chỉ đáng ngờ và nhà sáng lập Binance Changpeng Zhao cũng cho biết Binance sẵn sàng hỗ trợ nếu cần thiết. Sự hỗ trợ chung và giúp đỡ lẫn nhau của các sàn giao dịch hàng đầu trong ngành chứng tỏ thái độ của họ trong việc giải quyết các rủi ro về an ninh trong ngành.

Cộng đồng và các nhà phân tích: Cộng đồng tiền điện tử và các nhà phân tích trong ngành nhìn chung đều bày tỏ sự quan ngại và lo lắng về sự cố này. Một số người dùng khẳng định sự minh bạch trong giao tiếp của Bybit, nhưng nhiều người dùng khác lại bày tỏ lo ngại chung về tính bảo mật của CEX. Các nhà phân tích chỉ ra rằng sự cố này có thể thúc đẩy CEX xem xét và cải thiện cơ chế đa chữ ký, kiểm toán bảo mật hợp đồng thông minh và quy trình bảo mật nội bộ.

Tóm tắt

Vụ trộm 1,5 tỷ đô la mà Bybit Exchange phải chịu là tổn thất tài chính lớn nhất trong lịch sử ngành công nghiệp tiền điện tử và một lần nữa gióng lên hồi chuông cảnh báo về rủi ro bảo mật của các sàn giao dịch tập trung. Các cuộc tấn công được lên kế hoạch cẩn thận của tin tặc đã khai thác các lỗ hổng kỹ thuật và phương pháp kỹ thuật xã hội để vượt qua nhiều lớp bảo mật của sàn giao dịch, gây ra tổn thất kinh tế lớn và khủng hoảng lòng tin.

Mặc dù Bybit gặp phải sự cố bảo mật bất ngờ, nhưng phản ứng nhanh chóng cùng các phương pháp xử lý tương đối cởi mở và minh bạch của công ty đã làm giảm bớt sự lo lắng của thị trường một cách hiệu quả. Đáng khích lệ hơn nữa là sự hỗ trợ từ những người đồng cấp và sự hỗ trợ tích cực từ các cơ quan an ninh, thể hiện rõ tinh thần đoàn kết giúp đỡ lẫn nhau của cộng đồng tiền điện tử. Trong khi sự cố này nhắc nhở chúng ta về những rủi ro trong ngành, nó cũng cho chúng ta thấy được sự trưởng thành ngày càng tăng và khả năng phục hồi mạnh mẽ của lĩnh vực mã hóa.

Trong tương lai, ngành công nghiệp tiền điện tử có thể sẽ chứng kiến ​​sự nâng cấp toàn diện trong lĩnh vực bảo mật nhờ sự cố này. Các sàn giao dịch tập trung cần tiếp tục tăng đầu tư vào bảo mật kỹ thuật và cải thiện mức độ bảo vệ an ninh trong ví đa chữ ký, hợp đồng thông minh, kiểm soát rủi ro nội bộ, v.v. Các cơ quan quản lý cũng có thể tăng cường hơn nữa việc giám sát tuân thủ CEX để thúc đẩy sự phát triển lành mạnh và có trật tự hơn của ngành. Đối với người dùng, sự cố này một lần nữa nhắc nhở họ rằng bảo mật tài sản luôn là yếu tố được cân nhắc hàng đầu khi tham gia vào thị trường tiền điện tử. Việc phân tán rủi ro hợp lý và lựa chọn các giải pháp lưu ký tài sản an toàn hơn đang ngày càng trở nên quan trọng.

Những diễn biến mới nhất (tính đến 09:55 HKT, ngày 22 tháng 2 năm 2025)

Bybit đã hợp tác với công ty kiểm toán Web3 Hacken để công bố bằng chứng dự trữ nhằm chứng minh khả năng thanh toán của nền tảng.

Các sàn giao dịch như Bitget và MEXC tiếp tục cung cấp các khoản vay ETH và stETH cho Bybit để giảm bớt áp lực thanh khoản.

KuCoin hỗ trợ Bybit trong việc theo dõi dòng tiền và đóng băng các tài sản đáng ngờ.

Safe chính thức tạm dừng chức năng Ví để kiểm tra bảo mật toàn diện.

Nhà sáng lập Binance Zhao Changpeng đã làm rõ rằng Binance không cung cấp khoản vay cho Bybit và việc chuyển tiền có liên quan có thể là hành vi cá nhân của cá voi này.

Thám tử chuyên điều tra tội phạm mạng ZachXBT đã xác nhận rằng Lazarus Group chính là kẻ chủ mưu đứng sau vụ tấn công.

Tin tặc Bybit đã cố gắng hủy lệnh đặt cọc cmETH và lệnh này đã được trả lại theo hợp đồng.
Giám đốc điều hành của Bybit tuyên bố rằng mọi giao dịch rút tiền đã được xử lý và báo cáo sự cố đầy đủ sẽ được công bố.