Giới thiệu

Vào tối ngày 21 tháng 2 năm 2025, sàn giao dịch tiền điện tử toàn cầu Bybit đã trải qua vụ hack lớn nhất trong lịch sử ngành công nghiệp tiền điện tử. Trong thời gian xâm nhập, hơn 500.000 ETH, stETH và mETH đã bị rút khỏi ví của Bybit, với tổng thiệt hại vượt quá 1,46 tỷ đô la dựa trên giá thị trường ngày đó. Các tài sản bị đánh cắp đã nhanh chóng được chuyển đến địa chỉ ví không xác định. Vụ tấn công này vượt qua vụ xâm nhập Poly Network năm 2021, khiến cho số tiền bị đánh cắp lên đến 611 triệu đô la, trở thành vụ trộm tiền điện tử quan trọng nhất.

Nguồn:https://www.ic3.gov/PSA/2025/PSA250226

Nguồn:https://x.com/benbybit/status/1894768736084885929

Được thành lập vào năm 2018, Bybit là một trong những sàn giao dịch tiền điện tử lớn nhất thế giới, với khối lượng giao dịch trung bình hàng ngày vượt quá 36 tỷ USD. Theo CoinMarketCap, Bybit nắm giữ khoảng 16,2 tỷ đô la tài sản trước vụ hack, có nghĩa là Ethereum bị đánh cắp chiếm khoảng 9% tổng số cổ phần của nó.

Nhà phân tích trên chuỗi ZachXBT cung cấp bằng chứng cho thấy cuộc tấn công có thể đã được thực hiện bởi nhóm hacker Lazarus Group liên kết với Bắc Triều Tiên. Anh nhận được $30,000 tiền thưởng cho cuộc điều tra về lỗ hổng.

Nguồn:https://www.chainabuse.com/report/b87c8824-8f5c-434a-a595-b7b916f641ad

Dòng thời gian sự cố

Cuộc tấn công

Kẻ tấn công đã sử dụng một giao diện người dùng (UI) giả mạo để xâm nhập vào máy tính của một nhân viên của Safe (nhà cung cấp ví) nhằm mục tiêu cụm trước của hệ thống Safe của Bybit. Bằng cách bắt chước một giao diện người dùng hợp lệ, các hacker có thể đe dọa ví lạnh đa chữ ký ETH của Bybit. Các hacker một cách lén lút thay đổi nội dung giao dịch trong quá trình giao dịch có vẻ như là một quá trình giao dịch bình thường.

Vì các người ký tin rằng họ đang cho phép một giao dịch hợp lệ, họ đã không phát hiện ra rằng nó đã bị thay thế bằng một hợp đồng độc hại. Điều này dẫn đến việc chuyển $1.46 tỷ USD giá trị ETH mà không được ủy quyền đến các địa chỉ không rõ do các kẻ tấn công kiểm soát.

Luồng công việc tấn công, phương pháp và phòng thủ:

Di chuyển quỹ và rửa tiền

Từ 15:00 đến 16:30 ngày 21 tháng 2 năm 2025, các hacker đã hoàn thành phần lớn các giao dịch chuyển tiền. Sau vụ tấn công, chỉ còn khoảng $3 triệu USD giá trị ETH còn lại trong ví chính. ETH bị đánh cắp đã được chia thành 40 giao dịch mỗi giao dịch 10.000 ETH, trong khi stETH và mETH đã được phân phối đến nhiều ví tiền điện tử khác nhau để làm mờ dấu vết về nguồn tiền. Sau đó, các hacker đã sử dụng các sàn giao dịch phi tập trung (DEXs) để phân mảnh và rửa tiền thêm, nhằm mục đích xóa sổ tất cả các dấu vết.

Nguồn:https://www.lazarusbounty.com/en?utm_source=Sailthru&utm_medium=email&utm_campaign=the%20node%20feb%2025%202025&utm_term=The%20Node

Tác động đến thị trường

Ngay trước khi Bybit chính thức xác nhận vụ hack, cả giá BTC và ETH đã bắt đầu giảm. Trong vài giờ sau khi thông báo, Bitcoin giảm 3%, trong khi Ethereum giảm 7%.

Cuối tuần vừa qua, ETH đã phục hồi lên $2,800 sau một cuộc mua lại được khởi xướng bởi Bybit, nhưng sau đó lại giảm vào thứ Hai. Hacker hiện đã trở thành chủ sở hữu ETH lớn thứ 14, và sự tập trung quá mức vốn có thể tạo áp lực giảm cho triển vọng thị trường Ethereum.

Nguồn:https://x.com/Bybit_Official/status/1893585578706227545

Tranh cãi về giao thức Cross-Chain

Nhóm Lazarus thường xuyên sử dụng giao protocôls trao đổi qua chuỗi như THORChain để chuyển đổi tài sản bị đánh cắp thành Bitcoin. THORChain giúp việc trao đổi trực tiếp giữa các chuỗi khác nhau, chẳng hạn như ETH sang BTC, mà không thông qua các sàn giao dịch trung tâm.

Theo Trình duyệt THORChain, khối lượng giao dịch trong 24 giờ của giao thức vào ngày 5 tháng 3 đạt 93 triệu đô la. Những nhà phát triển đằng sau giao thức đã phải đối mặt với lời chỉ trích gay gắt vì được cho là đã cho phép các giao dịch bất hợp pháp bởi hacker Triều Tiên.

Nguồn:https://thorchain.net/dashboard

Nhóm Lazarus là gì?

Nhóm Lazarus là một trong những tổ chức hack nổi tiếng và hoạt động mạnh nhất trên toàn cầu. Tên "Lazarus" xuất phát từ hình tượng trong Kinh thánh được hồi sinh, tượng trưng cho sự kiên cường và tái sinh.

Được gọi là “Guardians,” “Peace,” hoặc “Whois Team,” thành viên và cấu trúc nội bộ của nhóm vẫn chưa rõ ràng. Tuy nhiên, nó được tin rằng hoạt động dưới sự kiểm soát trực tiếp của chính phủ Bắc Triều Tiên. Ban đầu hoạt động như một băng cybercriminal, Lazarus đã phát triển theo thời gian do quy mô và sự tinh vi của các cuộc tấn công của nó. Hiện nay, nó được xem là một nhóm Đe dọa Tồn tại Nâng cao (APT).

Các tổ chức khác nhau đề cập đến Lazarus bằng các tên khác nhau:

• Bộ Nội vụ Mỹ gọi nó là “Hidden Cobra”
• Microsoft gọi nó là “ZINC” hoặc “Diamond Sleet”

Theo cựu sĩ quan tình báo Bắc Triều Tiên Kim Kuk-song, nhóm này được biết đến nội bộ tại Bắc Triều Tiên dưới tên gọi Văn phòng Liên lạc 414.

Bộ Tư pháp Hoa Kỳ đã tuyên bố rằng Nhóm Lazarus hoạt động như một phần mở rộng của nhà nước Triều Tiên. Các hoạt động của họ vượt ra ngoài sự cản trở mạng và bao gồm nỗ lực để vượt qua các biện pháp trừng phạt quốc tế và tạo ra doanh thu bất hợp pháp. Bằng cách thực hiện các cuộc tấn công mạng chi phí thấp, tác động lớn, Triều Tiên có thể triển khai các nhóm hacker nhỏ mà đe dọa đáng kể đến hệ thống tài chính toàn cầu và cơ sở hạ tầng quan trọng, đặc biệt là ở Hàn Quốc và các nước phương Tây.

Nguồn:https://en.wikipedia.org/wiki/Nhóm_Lazarus

Cấu trúc tổ chức

Nhóm Lazarus chủ yếu bao gồm hai nhánh:

1. BlueNorOff

Còn được biết đến với tên APT38, Stardust Chollima hoặc BeagleBoyz, BlueNorOff tập trung vào tội phạm mạng về tài chính, thường liên quan đến giao dịch SWIFT gian lận để chuyển tiền một cách bất hợp pháp. Nhóm này đã nhắm vào các tổ chức tài chính ở các quốc gia khác nhau, với khoản tiền bị đánh cắp được tin là hỗ trợ cho các chương trình tên lửa và vũ khí hạt nhân của Bắc Triều Tiên.

Hoạt động khét tiếng nhất của họ xảy ra vào năm 2016, khi họ cố gắng đánh cắp gần 1 tỷ USD thông qua mạng SWIFT. Một lỗi chính tả trong một trong các hướng dẫn đã ngăn Ngân hàng Dự trữ Liên bang New York hoàn thành một phần chuyển khoản. BlueNorOff sử dụng các chiến thuật như lừa đảo, cửa hậu, khai thác và phần mềm độc hại (ví dụ: DarkComet, WannaCry). Họ cũng hợp tác với các nhóm tội phạm mạng khác để mở rộng các kênh kiếm tiền bất hợp pháp, làm tăng rủi ro an ninh mạng toàn cầu.

2. Andariel

Còn được biết đến với tên gọi là “Chollima yên lặng,” “Seoul đen,” “Súng trường,” và “Wassonite,” Andariel chuyên về các cuộc tấn công mạng nhắm vào Hàn Quốc, và nổi tiếng với các hoạt động tinh vi. Theo báo cáo năm 2020 từ Lục quân Hoa Kỳ, nhóm này bao gồm khoảng 1.600 thành viên chịu trách nhiệm về tìm kiếm mạng mục tiêu, đánh giá lỗ hổng, và ánh xạ cấu trúc mạng của địch để chuẩn bị cho các cuộc tấn công trong tương lai.

Ngoài việc nhắm mục tiêu vào Hàn Quốc, Andariel cũng đã tiến hành các cuộc tấn công vào các cơ quan chính phủ, cơ sở hạ tầng quan trọng và các tập đoàn tại các quốc gia khác.

Nguồn:https://home.treasury.gov/news/press-releases/sm774

Các Hoạt Động Trước Đây

Suốt những năm qua, Nhóm Lazarus đã tiến hành một loạt các cuộc tấn công mạng trên toàn cầu. Bắt đầu bằng các chiến dịch DDoS sớm như Chiến dịch Troy (2009) và Mười Ngày Mưa (2011), họ đã phát triển thành các hoạt động phức tạp hơn liên quan đến:

• Xoá dữ liệu (ví dụ, Hoạt động Seoul Đen, 2013)
• Lấy cắp dữ liệu (ví dụ, Hack Hãng phim Sony, 2014)
• Cướp tiền tài chính (bắt đầu từ năm 2015)

Kể từ năm 2017, nhóm đã nhắm mục tiêu mạnh vào lĩnh vực tiền điện tử, phát động các cuộc tấn công vào:

• Sàn giao dịch như Bithumb, Youbit, Ví Atomic và WazirX
• Các cầu nối giữa chuỗi như Cầu Horizon
• Các trò chơi blockchain như Axie Infinity

Các chiến dịch của họ đã đánh cắp hàng tỷ đô la giá trị của tài sản số của điện tử.

Trong những năm gần đây, Lazarus đã tiếp tục mở rộng vào các ngành mới, bao gồm chăm sóc sức khỏe, an ninh mạng và cờ bạc trực tuyến. Chỉ trong năm 2023, nhóm này gây ra khoảng 300 triệu đô la thiệt hại, chiếm 17,6% tổng số thiệt hại của hacker trên toàn cầu.

Nguồn:https://x.com/Cointelegraph/status/1894180646584516772

Cách các Nền tảng Phản ứng trước Các cuộc tấn công của Hacker

Các sàn giao dịch tiền điện tử thường áp dụng một chiến lược bảo mật toàn diện dựa trên bốn trụ cột chính: ngăn chặn, phát hiện, ứng phó sự cố, và phục hồi.

1. Biện pháp phòng ngừa (Phòng thủ tích cực)

• Tăng cường Kiến trúc Bảo mật: Thực hiện phân tách ví lạnh và ví nóng, lưu trữ hầu hết tài sản trong các ví lạnh ngoại tuyến, và sử dụng cơ chế ủy quyền đa chữ ký (multi-sig).
• Kiểm soát truy cập nghiêm ngặt: Hạn chế quyền truy cập của nhân viên vào dữ liệu nhạy cảm và áp dụng mô hình bảo mật Zero Trust để giảm thiểu các mối đe dọa từ bên trong hoặc các hệ thống nội bộ bị đe dọa.
• Nâng cao An ninh Hợp đồng Thông minh: Tiến hành kiểm tra kỹ lưỡng hợp đồng thông minh để tránh các lỗ hổng như tấn công tái nhập và tràn số nguyên.
• Xác thực đa yếu tố (MFA): Yêu cầu tất cả các quản trị viên và người dùng kích hoạt 2FA (Xác thực hai yếu tố) để giảm nguy cơ bị chiếm quyền tài khoản.
• Bảo vệ DDoS: Sử dụng Mạng phân phối nội dung (CDN) và các proxy ngược để bảo vệ khỏi các cuộc tấn công từ chối dịch vụ phân tán (DDoS), đảm bảo sẵn có của nền tảng.

2. Phát hiện Thời gian thực (Xác định Mối đe dọa Nhanh chóng)

• Giám sát bất thường: Tận dụng trí tuệ nhân tạo và học máy để phát hiện các mẫu giao dịch đáng ngờ và đánh dấu các rút tiền hoặc chuyển khoản lớn không bình thường.
• Phân tích On-Chain: Hợp tác với các công ty thông minh blockchain như Chainalysis và Elliptic để theo dõi các địa chỉ bị cấm và chặn luồng tiền bất hợp pháp.
• Nhật ký kiểm toán: Duy trì nhật ký toàn diện của tất cả các hoạt động nhạy cảm (ví dụ: rút tiền, thay đổi quyền) và tiến hành kiểm toán thời gian thực.

Nguồn:demo.chainalysis.com

3. Phản ứng cốcụn (Các giao thức sau tấn công)

• Đóng Băng Tài Khoản Ngay Lập Tức: Khi phát hiện rút tiền đáng ngờ, ngay lập tức đình chỉ tài khoản bị ảnh hưởng và đóng băng chuyển khoản để ngăn chặn thêm thiệt hại.
• Thông báo Đối tác: Cảnh báo nhanh chóng cho các sàn giao dịch khác, các công ty bảo mật blockchain và cơ quan chức năng để theo dõi tài sản bị đánh cắp.
• Khắc phục lỗ hổng: Phân tích ngay lập tức vector tấn công, niêm phong bất kỳ lỗ hổng nào và ngăn chặn tái phát.
• Truyền thông minh bạch với người dùng: Đăng tải thông báo kịp thời để thông báo cho người dùng về sự cố và các bước khắc phục.

4. Khôi phục tài sản (Giảm thiểu tổn thất)

• Hợp tác với cơ quan chức năng: Làm việc với các cơ quan quốc tế như FBI, Interpol và các công ty theo dõi blockchain để khôi phục lại số tiền bị đánh cắp.
• Bồi thường bảo hiểm: Một số nền tảng duy trì chính sách bảo hiểm hack để bồi thường cho người dùng bị ảnh hưởng.

• Quỹ Khẩn Cấp: Thành lập quỹ khẩn cấp như SAFU của Gate.io (Quỹ Tài Sản An Toàn cho Người Dùng) để bảo vệ tài sản người dùng trong những sự cố quan trọng.

  Đến ngày 5 tháng 3 năm 2025, Quỹ dự trữ của Gate.io đạt 10,328 tỷ đô la, nhấn mạnh sức mạnh tài chính và khả năng bảo vệ người dùng của nó.

Nguồn:www.gate.io

Nguồn:https://www.gate.io/safu-user-assets-security-fund

Nền tảng an ninh mạng của một nền tảng tiền điện tử nằm ở nguyên tắc:

“Phòng tránh trước tiên, phát hiện kịp thời, phản ứng hiệu quả và phục hồi mạnh mẽ.”

Các nền tảng có thể tối đa hóa bảo vệ tài sản người dùng bằng cách kết hợp kiến trúc bảo mật tối ưu, phân tích trên chuỗi và cơ chế phản ứng nhanh chóng.

Làm thế nào Người dùng có thể bảo vệ Tài sản Tiền điện tử của họ

Tiền điện tử hoàn toàn là kỹ thuật số và một khi bị mất hoặc bị đánh cắp, việc phục hồi thường là không thể thông qua các phương tiện truyền thống (ví dụ: ngân hàng). Do đó, việc thực hiện các biện pháp phòng ngừa an ninh nghiêm ngặt là điều cần thiết. Dưới đây là các chiến lược cốt lõi để bảo vệ tài sản tiền điện tử của bạn:

1. Chọn phương pháp lưu trữ an toàn

Lưu trữ lạnh:

• Sử dụng ví cứng (như Ledger, Trezor) hoặc ví giấy để lưu trữ hầu hết tài sản ngoại tuyến, xa khỏi các cuộc tấn công dựa trên internet.
• Lưu ý: Xử lý cẩn thận với ví cứng để tránh hỏng hoặc mất vật lý. Luôn xác minh giao dịch một cách cẩn thận trước khi ký—không bao giờ xác nhận mù quáng.

Ví Nóng:

• Chỉ sử dụng để lưu trữ số lượng nhỏ dành cho giao dịch hàng ngày. Tránh lưu trữ số lượng lớn.
• Chọn ví tiền điện tử uy tín (ví như MetaMask, Trust Wallet) và duy trì phần mềm được cập nhật thường xuyên.

Nguồn:https://metamask.io/

2. Bảo vệ các khóa riêng và các cụm từ khóa giống nhau của bạn

• Không Bao Giờ Chia Sẻ: Khóa riêng tư hoặc cụm từ khóa gieo mạch là thông tin đăng nhập duy nhất để truy cập tài sản của bạn—không bao giờ chia sẻ nó với bất kỳ ai.
• Sao lưu an toàn: Ghi lại cụm từ khóa của bạn và lưu trữ nó ở một nơi chống cháy, chống nước (ví dụ, một két an toàn). Tránh lưu trữ trên các thiết bị kết nối internet.
• Lưu trữ phân chia: Cân nhắc chia cụm từ khóa thành các phần và lưu trữ mỗi phần ở các vị trí khác nhau để tăng cường bảo mật.

3. Bảo mật Tài khoản và Sàn giao dịch

• Bật xác thực hai yếu tố (2FA): Sử dụng các ứng dụng như Google Authenticator thay vì 2FA dựa trên SMS, dễ bị tấn công. \
  Google Authenticator trên Cửa hàng Play
• Mật khẩu mạnh: Sử dụng một mật khẩu có ít nhất 12 ký tự, bao gồm chữ in hoa, chữ thường, số và ký tự đặc biệt. Thay đổi mật khẩu thường xuyên.
• Diversify Storage: Đừng lưu trữ tất cả tiền điện tử của bạn trong một ví hoặc sàn giao dịch.
• Chọn Sàn giao dịch An toàn: Chọn các nền tảng với tính năng như bảo vệ DDoS và lưu trữ lạnh, và rút kịp thời số tiền lớn vào ví riêng.
• Vô hiệu hóa Truy cập API không cần thiết: Ngăn chặn trộm cắp thông qua lỗ hổng API.
• Sử dụng Passkeys: Xác thực một cách an toàn với việc phê duyệt dựa trên thiết bị thay vì mật khẩu.

Nguồn:play.google.com

4. Ngăn chặn Các cuộc tấn công mạng

• Cẩn thận với lừa đảo: Luôn kiểm tra kỹ URL trang web và tránh nhấp vào các đường liên kết không rõ nguồn gốc trong email, tin nhắn hoặc mạng xã hội.
• Thiết bị Dành Riêng: Xem xét việc sử dụng một thiết bị riêng biệt chỉ dành cho giao dịch tiền điện tử để tránh tiếp xúc với phần mềm độc hại hoặc các trang web đầy rủi ro.
• Xác minh địa chỉ chuyển khoản: Kiểm tra địa chỉ trước khi gửi tiền để tránh bị lừa đảo bảng ghi tạm.
  Nguồn: Kratikal về Clipboard Hijacking
• Tránh Sử Dụng Wi-Fi Công Cộng: Sử Dụng VPN và tránh thực hiện giao dịch trên các mạng không an toàn.

Nguồn:https://kratikal.com/blog/clipboard-hijacking-can-turn-your-copied-text-into-a-threat/

5. An toàn Hợp đồng Thông minh và DeFi

• Chỉ Sử Dụng Các Hợp Đồng Thông Minh Đáng Tin Cậy: Chỉ tham gia với các hợp đồng được kiểm định bởi các công ty bảo mật nổi tiếng.
  Kiểm toán viên Blockchain hàng đầu của Alchemy Kiểm tra với Số tiền nhỏ: Bắt đầu với giao dịch kiểm tra nhỏ trước khi cam kết số tiền quan trọng.
• Tránh các Chiêu trò Sinh lời Cao: Hãy cẩn trọng với các dự án DeFi, NFT, hoặc dự án nông nghiệp sinh lời mà hứa hẹn mang lại lợi nhuận bất thường cao.

Nguồn:https://www.alchemy.com/best/blockchain-auditing-companies

6. Chiến lược bảo mật dài hạn và kế hoạch khẩn cấp

• Sử dụng Ví Multisig: Yêu cầu nhiều phê duyệt để xác minh giao dịch - lý tưởng cho quản lý tài sản có giá trị cao.
• Kiểm Toán Định Kỳ: Định kỳ xem xét số dư tài sản và lịch sử giao dịch để phát hiện bất kỳ bất thường nào.
• Luật pháp & Quy hoạch tài sản: Bao gồm tiền điện tử trong kế hoạch tài sản hoặc tài liệu tin cậy để tránh mất mát không thể đảo ngược do mất chìa khóa.
• Hãy Giữ Thấp Sự Độc Lập: Đừng khoe sự giàu có từ tiền điện tử của bạn trên mạng xã hội hoặc diễn đàn công cộng để tránh trở thành mục tiêu của hacker.

Nguồn:coindesk.com

Kết thúc

Sự cố này không chỉ gây ra thiệt hại tài chính đáng kể cho Bybit mà còn đặt ra những lo ngại rộng lớn về niềm tin và an ninh trong ngành công nghiệp tiền điện tử. Nhìn vào tương lai, các sàn giao dịch, nhóm dự án và người dùng phải đặt mức độ ưu tiên cao hơn vào các thực hành an ninh mạnh mẽ. Các lĩnh vực chính cần tập trung bao gồm quản lý khóa riêng, triển khai ví đa chữ ký và kiểm tra thông minh hợp đồng kỹ lưỡng.

Khi mối đe dọa mạng ngày càng tinh vi, dự kiến các cơ quan quản lý toàn cầu sẽ đưa ra yêu cầu bảo mật nghiêm ngặt hơn. Tổ chức Hành động Tài chính (FATF), ví dụ, đang đề xuất các biện pháp chống rửa tiền mới nhằm vào các giao thức chéo chuỗi để tăng cường giám sát các nền tảng phi tập trung và tương tác đa chuỗi. Song song, các cơ quan như SEC của Mỹ và các cơ quan quản lý châu Âu có thể tăng cường kiểm tra chuẩn bảo mật trao đổi và ủng hộ các biện pháp tuân thủ KYC và AML chặt chẽ hơn.

Đối với nhà đầu tư cá nhân, việc bảo vệ tài sản kỹ thuật số đòi hỏi một cách tiếp cận tích cực. Điều này bao gồm việc lựa chọn các nền tảng có kỷ lục bảo mật mạnh mẽ, đa dạng hóa phương pháp lưu trữ tài sản và cập nhật thông tin về những rủi ro mới nổi. Khi hệ sinh thái tiền điện tử tiếp tục phát triển, an ninh phải luôn là ưu tiên hàng đầu để đảm bảo sự phát triển bền vững và sự tin tưởng của người dùng.