Lỗ hổng SafeWallet đã tạo cơ hội cho vụ hack của Bybit

Vụ hack Bybit bắt nguồn từ lỗ hổng trong Safe(Wallet), không phải lỗi nội bộ của sàn. Hacker đã lợi dụng điểm yếu này để thao túng giao dịch, làm dấy lên lo ngại về bảo mật trong các nền tảng multisig và lưu ký tập trung.

By Tiến Đạt

Published 27/02/2025

Lỗ hổng SafeWallet đã tạo cơ hội cho vụ hack của Bybit

Theo báo cáo điều tra mới công bố bởi CEO Bybit Ben Zhou về vụ hack Bybit, sự cố không xuất phát từ hệ thống bảo mật của Bybit, mà bắt nguồn từ lỗ hổng trong hạ tầng của Safe{Wallet}.

Bybit Hack Forensics Report
As promised, here are the preliminary reports of the hack conducted by @sygnia_labs and @Verichains
Screenshotted the conclusion and here is the link to the full report: https://t.co/3hcqkXLN5U pic.twitter.com/tlZK2B3jIW
— Ben Zhou (@benbybit) February 26, 2025

Nhóm dự án Safe{Wallet} cũng đã đăng bài xác nhận vụ tấn công Bybit của Lazarus xuất phát từ mình .

Đồng thời, dự án cũng giải thích cách nhóm hacker Lazarus đã thực hiện vụ tấn công:

Xâm nhập thiết bị của một thành viên Safe, qua đó chiếm quyền truy cập vào hệ thống AWS S3.
Chèn mã JavaScript độc hại vào Safe, nhắm thẳng vào Bybit, tạo ra giao dịch giả mạo đánh lừa người ký.
Rút trót lọt 1,46 tỷ USD khỏi Bybit, chỉ trong một giao dịch.

Điều tra của Sygnia cũng chỉ ra rằng mã độc này chỉ hoạt động khi giao dịch đến từ địa chỉ ví Bybit, chứng tỏ Lazarus đã có kế hoạch tấn công có chủ đích từ trước.

Safe tái cấu trúc toàn bộ hệ thống

Sau cuộc tấn công, Safe{Wallet} đã thực hiện kiểm tra toàn diện, tái cấu trúc toàn bộ hạ tầng và thay đổi toàn bộ thông tin xác thực. Safe cũng cam kết nâng cao khả năng xác minh giao dịch trên toàn bộ hệ sinh thái, đồng thời khuyến cáo người dùng kiểm tra kỹ khi ký giao dịch để tránh bị đánh lừa bởi các giao dịch giả mạo.

Safe{Wallet} trên Ethereum mainnet hiện đã được khôi phục với các biện pháp bảo mật tăng cường theo từng giai đoạn.

Ngoài ra, đội ngũ Safe hứa sẽ công bố báo cáo chi tiết về vụ việc sau khi có kết quả điều tra cuối cùng.

safewl tai cau trau — Safe thông báo tái cấu trúc hệ thống

Lo ngại về các cuộc tấn công tương tự

Tổng giá trị tài sản sử dụng giải pháp multisig của Safe hiện đang đạt 71,44 tỷ USD. Vì vậy, cộng đồng lo ngại rằng nếu lỗ hổng tương tự xảy ra, không chỉ Bybit mà nhiều dự án khác cũng có thể bị ảnh hưởng.

tong tai san safe — Tổng giá trị tài sản cảu Safe hiện đang đạt 71,44 tỷ USD – Nguồn Dune

Tuy nhiên, điều quan trọng là không có lỗ hổng nào trong hợp đồng thông minh hay mã nguồn của Safe. Hacker chỉ chỉnh sửa mã JavaScript để tấn công giao dịch duy nhất của Bybit, chứ không xâm nhập vào hệ thống lõi của Safe.

Vì vậy, một số ý kiến cho rằng Safe không phải vấn đề cốt lõi, mà đây là lời cảnh báo chung cho toàn bộ hệ sinh thái. Các nền tảng bảo mật, đặc biệt là những dự án sử dụng ví multisig và lưu ký tập trung, cần nâng cao cảnh giác và thường xuyên kiểm tra hệ thống để ngăn chặn những rủi ro tương tự.

Bybit cương quyết chống lại nhóm hacker

Ngay sau sự cố, Bybit cam kết người dùng không chịu thiệt hại và đã treo thưởng chống lại nhóm hacker Lazarus:

Treo thưởng 10% giá trị quỹ cho ai thu hồi được số tiền bị đánh cắp.
Thưởng 5% cho các sàn hoặc tổ chức hỗ trợ đóng băng tài sản của hacker.

Hiện Bybit đã thu hồi thành công 100 triệu USD, bao gồm 43 triệu USD mETH. Ngoài ra, sàn còn vay cầu nối (bridge loan) để duy trì tỷ lệ 1:1 trên tài sản khách hàng.

“Chúng tôi sẽ không dừng lại cho đến khi Lazarus bị loại bỏ” – CEO Bybit Ben Zhou tuyên bố.

Tổng kết

Báo cáo điều tra đã giải đáp phần lớn khúc mắc của cộng đồng, xác nhận rằng Bybit không có lỗi trong vụ hack, mà lỗi đến từ Safe{Wallet}. Nhóm Lazarus đã khai thác lỗ hổng này để nhắm mục tiêu trực tiếp vào Bybit, bằng cách chèn mã độc vào hệ thống Safe.

Bybit đang nỗ lực thu hồi tài sản và truy vết hacker, trong khi Safe tái cấu trúc toàn bộ hạ tầng để đảm bảo an toàn cho người dùng. Dù vậy, vụ việc vẫn là hồi chuông cảnh báo lớn về bảo mật trong Crypto, đặc biệt với các dự án sử dụng ví multisig và nền tảng lưu ký tập trung.

Có thể bạn quan tâm: