FBI xác định Triều Tiên chịu trách nhiệm cho vụ hack sàn Bybit, gắn nhãn hoạt động là “TraderTraitor”

Updated: 27/02/2025 at 17:00

Cục Điều tra Liên bang Hoa Kỳ (FBI) vào ngày thứ Tư đã chính thức công bố Triều Tiên là quốc gia đứng sau vụ tấn công mạng nhằm vào sàn giao dịch Bybit, dẫn đến thiệt hại lên tới 1,5 tỷ USD. Hoạt động tấn công này được FBI đặt tên là “TraderTraitor.”

FBI xác định Triều Tiên chịu trách nhiệm cho vụ hack sàn Bybit

Vụ việc diễn ra vào ngày 21 tháng 2, đã được ghi nhận là vụ hack tiền điện tử lớn nhất từng được công khai. Nhóm Lazarus, tổ chức hacker khét tiếng của Triều Tiên, được xác định là thủ phạm thực hiện cuộc xâm nhập mạng quy mô lớn này.

Theo FBI, các tác nhân TraderTraitor đã nhanh chóng chuyển đổi số tài sản bị đánh cắp sang Bitcoin và các loại tài sản kỹ thuật số khác, đồng thời phân tán chúng qua hàng nghìn địa chỉ trên nhiều blockchain. Cơ quan này dự đoán rằng các tài sản này sẽ tiếp tục được rửa trước khi được chuyển đổi thành tiền fiat.

FBI cũng kêu gọi các tổ chức thuộc khu vực tư nhân, bao gồm các nhà vận hành node RPC, sàn giao dịch, cầu nối blockchain, các công ty phân tích blockchain, dịch vụ DeFi và các nhà cung cấp dịch vụ tài sản ảo khác, thực hiện các biện pháp ngăn chặn giao dịch liên quan đến các địa chỉ có liên kết với nhóm TraderTraitor.

Để hỗ trợ, FBI đã công bố danh sách 48 địa chỉ Ethereum được xác định đang nắm giữ hoặc từng nắm giữ tài sản từ vụ trộm, đồng thời khẳng định rằng các địa chỉ này được vận hành bởi hoặc có liên hệ chặt chẽ với các tác nhân TraderTraitor của Triều Tiên.

Nguyên nhân dẫn đến vụ hack sàn Bybit

Cùng ngày, Bybit đã công bố báo cáo điều tra tạm thời về vụ tấn công. Theo báo cáo pháp y ban đầu từ Bybit, cuộc tấn công được thực hiện thông qua bucket AWS S3 của Safe, cho phép kẻ tấn công lợi dụng để thao túng giao diện ví. Trong một báo cáo riêng công bố ngày 26/2, Safe cho biết các hacker đã sử dụng một máy tính bị xâm nhập để gửi một đề xuất giao dịch độc hại được ngụy trang, chèn mã JavaScript độc hại vào các tài nguyên quan trọng, từ đó thao túng các giao dịch.

Cuộc điều tra pháp y do Bybit phối hợp cùng các công ty bảo mật blockchain Sygnia và Verichains thực hiện đã đưa ra kết luận tương tự như báo cáo của Safe.

Phương thức tấn công và phát hiện pháp y

Báo cáo của Safe chỉ rõ rằng hacker đã thiết kế mã độc để sửa đổi nội dung giao dịch trong quá trình ký, làm thay đổi hoàn toàn kết quả thực thi dự kiến.

Phân tích lịch sử web công khai và dấu thời gian cho thấy mã độc được chèn trực tiếp vào bucket S3 – một dịch vụ lưu trữ đám mây công cộng của Amazon Web Services (AWS), nơi quản lý dữ liệu trong các đơn vị riêng biệt.

Qua phân tích mã JavaScript độc hại, các chuyên gia phát hiện điều kiện kích hoạt của mã này liên quan đến các địa chỉ hợp đồng cụ thể, bao gồm địa chỉ hợp đồng của Bybit và một địa chỉ không xác định bị nghi ngờ thuộc quyền kiểm soát của kẻ tấn công. Điều này cho thấy đây là một cuộc tấn công có mục tiêu thay vì một chiến dịch tấn công diện rộng.

Ngay sau khi giao dịch độc hại được thực hiện và công khai, Safe đã cập nhật tài nguyên JavaScript trên cơ sở hạ tầng AWS của mình, loại bỏ mã độc nhằm xóa bỏ dấu vết của cuộc tấn công. Tuy nhiên, các nhà điều tra pháp y đã xác định được vector tấn công và liên kết nó với chiến thuật của nhóm hacker Lazarus – một nhóm tấn công mạng khét tiếng được cho là có liên quan đến Triều Tiên. Lazarus được biết đến với việc sử dụng kỹ thuật xã hội và khai thác lỗ hổng zero-day để nhắm vào thông tin đăng nhập của các nhà phát triển.

Lỗ hổng trong quản lý bảo mật

Ông Yu Xian, nhà sáng lập SlowMist, nhận định rằng vẫn chưa rõ cách các hacker có thể thao túng giao diện người dùng. Ông cảnh báo rằng bất kỳ ai sử dụng dịch vụ đa chữ ký của Safe đều có thể đối mặt với nguy cơ tương tự.

Yu Xian nhấn mạnh: “Điều đáng lo ngại là tất cả các dịch vụ tương tác với người dùng như giao diện, API, v.v. đều có thể trở thành mục tiêu. Đây là một cuộc tấn công chuỗi cung ứng điển hình. Mô hình quản lý bảo mật cho các tài sản lớn cần được nâng cấp đáng kể.”

Ngoài ra, ông cho rằng nếu Safe áp dụng cơ chế xác minh tính toàn vẹn tài nguyên phụ (SRI – Subresource Integrity), cuộc tấn công đã có thể được ngăn chặn, ngay cả khi mã JavaScript bị chỉnh sửa. Đây là một chi tiết bảo mật nhỏ nhưng mang ý nghĩa lớn.

SRI là một tính năng bảo mật cho phép trình duyệt xác minh rằng các tài nguyên tải xuống không bị thay đổi bất thường bằng cách so sánh với một hash mật mã đã được xác định trước.

Phản hồi và biện pháp khắc phục từ Safe

Safe cho biết họ đã tiến hành một cuộc điều tra toàn diện để đánh giá mức độ xâm phạm. Kết quả điều tra pháp y không phát hiện bất kỳ lỗ hổng nào trong hợp đồng thông minh, mã nguồn giao diện hoặc các dịch vụ back-end của Safe.

Để giảm thiểu rủi ro trong tương lai, Safe đã hoàn toàn xây dựng lại và tái cấu hình cơ sở hạ tầng, đồng thời thay đổi toàn bộ thông tin đăng nhập. Nền tảng đã được khôi phục trên mainnet của Ethereum thông qua một lộ trình triển khai từng giai đoạn, tích hợp các biện pháp bảo mật nâng cao.

Mặc dù giao diện Safe đã hoạt động trở lại, báo cáo khuyến nghị người dùng cần thận trọng hơn khi ký kết giao dịch.

Ngoài ra, Safe cam kết sẽ dẫn đầu một sáng kiến toàn ngành nhằm tăng cường khả năng xác minh giao dịch. Sáng kiến này tập trung vào việc giải quyết các thách thức bảo mật trong hệ sinh thái DeFi, đề cao tính minh bạch và quyền tự quản.

Bài học từ sự cố

Mặc dù các báo cáo từ Safe và Bybit khẳng định rằng cơ sở hạ tầng của sàn giao dịch không bị xâm phạm, Hasu – trưởng nhóm chiến lược tại Flashbots – cho rằng Bybit vẫn cần phải chịu trách nhiệm.

Ông chỉ trích rằng cơ sở hạ tầng của Bybit chưa đủ mạnh để phát hiện “một vụ hack khá đơn giản” và không có lý do gì để không thực hiện xác minh tính toàn vẹn của thông điệp khi quản lý số tiền hơn 1 tỷ USD.

Hasu nhấn mạnh: “Nếu chúng ta đổ lỗi hoàn toàn cho Safe thay vì Bybit trong sự cố này, chúng ta đang rút ra bài học sai lầm. Giao diện người dùng luôn phải được giả định là có thể bị xâm phạm. Nếu quy trình ký giao dịch không tính đến điều đó, trách nhiệm cuối cùng vẫn thuộc về bạn.”

Jameson Lopp, đồng sáng lập và giám đốc bảo mật tại Casa, cho rằng bài học lớn nhất từ sự cố này là không nhà phát triển nào nên lưu giữ khóa sản xuất trên máy tính cá nhân. Ông đề xuất rằng việc triển khai mã sản xuất cần trải qua quá trình đánh giá ngang hàng và có sự tham gia của nhiều nhân viên để đảm bảo tính bảo mật.

Mudit Gupta, giám đốc an ninh thông tin tại Polygon Labs, cũng chỉ trích việc chỉ một nhà phát triển có quyền truy cập để gửi thay đổi lên trang web sản xuất của Safe. Ông đặt câu hỏi tại sao các thay đổi trong tài nguyên không được giám sát chặt chẽ hơn.

Bybit khẳng định họ đang tích cực theo dõi và phối hợp để thu hồi số tiền bị đánh cắp. Sàn giao dịch cam kết sẽ công bố các thông tin cập nhật mới nhất ngay khi có thêm tiến triển trong quá trình điều tra.

Disclaimer: Bài viết chỉ có mục đích thông tin, không phải lời khuyên đầu tư. Nhà đầu tư nên tìm hiểu kỹ trước khi ra quyết định. Chúng tôi không chịu trách nhiệm về các quyết định đầu tư của bạn. 

Tham gia Telegram: https://t.me/tapchibitcoinvn

Twitter (X): https://twitter.com/tapchibtc_io

Tiktok: https://www.tiktok.com/@tapchibitcoin

Youtube: https://www.youtube.com/@tapchibitcoinvn

Ông Giáo

Được đề cập trong bài viết
Bình luận
Mới cập nhật

Một báo cáo gần đây của CoinGecko cho thấy tính thanh khoản của XRP tập trung phần lớn trên 3 sàn giao dịch, Bitget, Binance và Coinbase. Cùng nhau, các nền tảng này kiểm soát khoảng 67% mọi hoạt động giao dịch gần với giá thị trường của XRP. Điều... ...

Thị trường tiền điện tử khởi động tuần mới với nhịp phục hồi nhẹ, sau cú điều chỉnh sâu vào tuần trước. Sự lạc quan đang dần trở lại, khi một số đồng tiền số có nguồn gốc từ Mỹ bắt đầu phát đi những tín hiệu tích cực. Những... ...

Bitcoin (BTC) đóng cửa phiên giao dịch thứ Hai với mức tăng mạnh 4,34% trong ngày, hình thành nến engulfing tăng giá, đảo ngược hoàn toàn hành động giảm điểm của 2 ngày trước đó. Mô hình này, cùng với việc BTC duy trì hỗ trợ trên mức $105.000 trong... ...

Công ty quản lý tài sản Bitwise vừa điều chỉnh đề xuất quỹ ETF Dogecoin và Aptos để bổ sung cơ chế đổi ngang (in-kind redemption), theo hồ sơ nộp lên SEC hôm thứ Năm. Động thái này diễn ra trong bối cảnh các cuộc thảo luận về ETF altcoin... ...

Bitcoin đã tăng 3% trong 24 giờ qua, giao dịch ở mức 107.494 đô la vào ngày 26/6, rũ bỏ tâm lý hoảng loạn ngắn hạn. Tuy nhiên, các chỉ số chuyên sâu hơn lại cho thấy một bức tranh thận trọng. Nỗi sợ hãi Bitcoin tan biến, nhưng chưa... ...

Bitcoin đã hạ nhiệt đà tăng tại thời điểm Phố Wall mở phiên giao dịch ngày 25/6 khi 108.000 đô la trở thành mức cần thiết đột phá quan trọng đối với phe bò. Bitcoin tạm dừng khi cá voi tăng thêm mức độ tiếp xúc Dữ liệu từ TradingView... ...

Các nhà đầu tư Phố Wall đã rót hơn 1 tỷ đô la vào các quỹ Bitcoin ETF giao ngay trong tuần này, trùng thời điểm với đà suy yếu kéo dài của đồng đô la Mỹ. 1 tỷ đô la đổ vào Bitcoin ETF Tính đến thứ 4, các... ...

Kể từ khi đạt đỉnh cục bộ ở mức 0,0000135 đô la cách đây hai tuần, Pepe (PEPE) đã đảo chiều mạnh, giảm gần 36% trong vòng một tháng. Memecoin này đã rơi vào mô hình kênh giảm giá, mà gần đây bật lại từ vùng đáy cục bộ quanh... ...

Mặc dù giá Bitcoin đạt mức cao kỷ lục, thợ đào vẫn không ngừng tích lũy thêm 4.000 BTC kể từ tháng 4, theo nghiên cứu mới nhất từ nền tảng phân tích on-chain CryptoQuant, công bố ngày 26 tháng 6. Báo cáo này cũng chỉ ra rằng doanh số... ...

Fartcoin (FARTCOIN) đang dần hụt hơi, khi ghi nhận mức giảm 1% vào thời điểm bài viết được thực hiện trong ngày thứ Năm, mở ra nguy cơ hình thành cây nến đỏ thứ ba liên tiếp trên biểu đồ hàng ngày. Trong khi làn sóng thảo luận về token... ...

Xem thêm bài viết
Chọn chế độ hiển thị:
Bình thường Bảo vệ mắt Dark Mode