Tại Sao Bybit Bị Hack? Giải Mã Vụ Tấn Công 1.5 Tỷ USD & Bài Học Bảo Mật

5/5 - (1 bình chọn)

Bạn còn nhớ vụ “động đất” Bybit gần đây không? Một sự kiện làm rúng động cộng đồng tiền điện tử khi một trong những sàn lớn nhất bị tấn công và thiệt hại tới 1.5 tỷ USD. Con số này không chỉ khủng khiếp mà còn khiến nhiều người hoang mang, tự hỏi: Rốt cuộc chuyện gì đã xảy ra vậy?

Tại sao một sàn giao dịch lớn và được tin cậy như Bybit lại có thể bị “sờ gáy” một cách trắng trợn đến vậy? Tiền của người dùng có an toàn không? Và quan trọng nhất, chúng ta có thể rút ra bài học gì để tự bảo vệ tài sản số của mình? Cùng Ema Crypto “giải mã” vụ việc này nhé.

Nội dung bài viết

Tổng quan vụ hack Bybit 1.5 tỷ USD

Cuối tháng 2 năm 2025, cả thế giới crypto bỗng chấn động bởi thông tin Bybit, một trong những sàn giao dịch lớn nhất, đã trở thành nạn nhân của một vụ tấn công mạng quy mô chưa từng có. Ước tính thiệt hại ban đầu lên tới 1.4 – 1.5 tỷ USD, chủ yếu là Ethereum (ETH) và stETH. Con số khổng lồ này đã khiến nhiều người choáng váng, biến đây thành một trong những vụ trộm kỹ thuật số lớn nhất lịch sử.

Người dùng tháo chạy khỏi sàn Bybit sau vụ tấn công chấn động

Ngay sau sự việc ngày 21 tháng 2 năm 2025, Bybit lập tức trấn an người dùng. Dù vậy, thông tin về vụ trộm đã tạo ra làn sóng hoang mang cực lớn, kích hoạt một “bank run” khi người dùng ồ ạt rút ra hơn 5.5 tỷ USD khỏi sàn chỉ trong một ngày. Theo dữ liệu từ DeFiLlama, tài sản trong ví của Bybit đã giảm từ 16.9 tỷ USD xuống còn 11.2 tỷ USD sau vụ tấn công.

CEO Bybit, Ben Zhou, khẳng định đội ngũ đã tập trung cao độ để xử lý các yêu cầu rút tiền. Trong 10 giờ đầu tiên, 99.9% trong số hơn 350.000 yêu cầu đã được hoàn tất, và tổng cộng hơn 580.000 yêu cầu đã được xử lý thành công.

Để bạn dễ hình dung, đây là bảng tóm tắt những thông tin chính về vụ hack này:

Thông tin	Chi tiết
Thời gian	Khoảng cuối tháng 2 năm 2025 (cụ thể 21/02/2025)
Sàn giao dịch	Bybit
Tài sản bị ảnh hưởng	Chủ yếu là Ethereum (ETH) và stETH
Số tiền thiệt hại	Ước tính 1.4 – 1.5 tỷ USD
Phản ứng ban đầu	Bybit trấn an người dùng, cam kết bồi thường đầy đủ, nhưng vẫn xảy ra làn sóng rút tiền dữ dội
Hậu quả tức thời	Người dùng rút hơn 5.5 tỷ USD khỏi sàn trong 24 giờ

Vụ tấn công Bybit đánh dấu một trong những vụ trộm kỹ thuật số lớn nhất lịch sử

Giải mã cơ chế tấn công Supply Chain

Khi nghe tin Bybit bị hack, nhiều người sẽ nghĩ ngay đến việc “ví lạnh” bị tấn công trực tiếp. Nhưng không phải vậy đâu bạn ạ, đây là một câu chuyện tinh vi hơn nhiều, liên quan đến một cuộc tấn công chuỗi cung ứng (supply chain attack) nhắm vào một bên thứ ba mà Bybit sử dụng.

Đầu tiên, điều quan trọng cần làm rõ là: khóa riêng tư (private key) của ví lạnh Bybit không hề bị lộ. Kẻ tấn công không trực tiếp đột nhập vào “két sắt” chứa tiền. Thay vào đó, chúng đã tìm cách “lừa” những người quản lý két sắt thông qua một lỗ hổng ở bên ngoài.

Điểm khởi đầu của cuộc tấn công không phải trực tiếp vào hệ thống của Bybit, mà là thông qua Safe{Wallet} (trước đây là Gnosis Safe) – nền tảng ví đa chữ ký mà Bybit sử dụng để quản lý việc chuyển tiền từ ví lạnh (cold wallet) sang ví ấm (warm wallet).

Tin tặc đã sử dụng phương pháp tấn công tinh vi để chiếm đoạt tài sản

Cụ thể, vào đầu tháng 2 năm 2025:

Một nhà phát triển của Safe{Wallet} đã rơi vào bẫy của một cuộc tấn công kỹ thuật xã hội (social engineering attack).
Máy trạm của nhà phát triển này bị xâm nhập, giúp kẻ tấn công đánh cắp các mã thông báo phiên AWS (AWS session tokens) – những “chìa khóa” tạm thời để truy cập vào tài khoản AWS của Safe{Wallet}.
Bằng cách chiếm quyền kiểm soát các mã thông báo đang hoạt động, kẻ tấn công đã vượt qua các biện pháp xác thực đa yếu tố (MFA) và giành quyền truy cập vào tài khoản AWS của Safe{Wallet}, hoạt động trong tài khoản này từ ngày 5 đến ngày 21 tháng 2 năm 2025.

Cơ chế tấn công Multisig và Giao diện người dùng (UI):

Khi đã có quyền truy cập vào hệ thống của Safe{Wallet}, tin tặc đã thao túng giao diện người dùng (UI) mà nhân viên Bybit dùng để phê duyệt giao dịch. Chúng chèn một đoạn mã JavaScript độc hại vào tài nguyên lưu trữ trên AWS S3 của Safe{Wallet}. Mã độc này đã thay thế mã JavaScript hợp lệ, với mục đích chuyển hướng các giao dịch ETH từ địa chỉ đích dự kiến sang các ví của hacker.

Điều này có nghĩa là, khi nhân viên Bybit – những người chịu trách nhiệm ký lệnh (Multisig) để chuyển tiền từ ví lạnh sang ví ấm – nhìn thấy lệnh chuyển tiền để phê duyệt, giao diện đã bị thao túng để hiển thị một giao dịch hợp lệ. Tuy nhiên, thực chất, họ lại vô tình ký lệnh chuyển tiền đến địa chỉ của hacker.

Cụ thể, cuộc tấn công đã thực hiện một ExecTransaction trên hợp đồng proxy multisig của Gnosis Safe. Kẻ tấn công đã lợi dụng tính năng gọi ủy quyền (delegate call) để thay thế việc triển khai hợp đồng bằng một phiên bản độc hại. Điều này đã giúp chúng có khả năng kiểm soát logic của ví đa chữ ký Bybit, bổ sung các chức năng sweepETH và sweepERC20 để tự động chuyển tiền mà không cần phê duyệt bổ sung nào nữa.

Tóm lại, lỗ hổng của Multisig không nằm ở bản thân cơ chế mã hóa, mà nằm ở giao diện người dùng và quy trình phê duyệt của bên thứ ba (Safe{Wallet}) bị thao túng qua kỹ thuật JS injection. Điều này đã giúp tin tặc lừa gạt những người ký Multisig, khiến họ vô tình phê duyệt một giao dịch độc hại. Đây chính là một cuộc tấn công kỹ thuật xã hội phức tạp thông qua thao túng giao diện người dùng.

Để hiểu rõ hơn về kỹ thuật tấn công này, bạn có thể tham khảo bài phân tích chuyên sâu từ NCCGroup.

Thủ phạm đằng sau vụ hack

Dù Bybit chưa công bố danh tính chính thức của thủ phạm, nhiều chuyên gia bảo mật và các cơ quan truyền thông uy tín đã đồng loạt chỉ mặt đặt tên: Lazarus Group. Đây là một nhóm hacker khét tiếng được cho là có liên hệ với Triều Tiên.

Lazarus Group là nhóm tin tặc khét tiếng bị nghi ngờ đứng sau nhiều vụ tấn công tiền điện tử lớn.

Lazarus Group không phải là cái tên xa lạ trong giới tội phạm mạng. Chúng nổi tiếng với hàng loạt vụ tấn công mạng quy mô lớn nhằm vào các tổ chức tài chính và sàn giao dịch crypto trên khắp thế giới. Mục đích chính của nhóm này thường là rửa tiền và tài trợ cho các hoạt động của chính phủ Triều Tiên.

Sau khi thực hiện vụ trộm, Lazarus Group đã sử dụng một chiến lược rửa tiền phức tạp và đa diện để che giấu dấu vết của số tiền bị đánh cắp từ Bybit. Ước tính khoảng 160 triệu USD đã được rửa trong vòng 48 giờ đầu tiên của cuộc tấn công, và tổng cộng gần 500.000 ETH (trị giá 1,39 tỷ USD) đã được rửa chỉ trong mười ngày đầu tháng 3 năm 2025.

Quy trình rửa tiền của Lazarus Group:

Chuyển tiền ban đầu và phân chia nhỏ: Ngay sau khi đánh cắp tài sản (khoảng 1.5 tỷ USD ETH), chúng nhanh chóng phân tán số tiền này trên 39 địa chỉ khác nhau. Chainalysis đã theo dõi các ví này.
Chuyển đổi tài sản (Chain Hopping):
- Lazarus Group thường sử dụng các sàn giao dịch phi tập trung (DEX) để hoán đổi các token bị đánh cắp lấy các loại tiền điện tử khác, thường là Bitcoin (BTC), để gây khó khăn cho việc truy vết.
- Họ chuyển tiền qua các chuỗi khối khác nhau (cross-chain) bằng cách sử dụng các cầu nối xuyên chuỗi (cross-chain bridges). Ví dụ, một phần Ethereum bị đánh cắp ban đầu được chuyển qua các mạng như Binance Smart Chain và Solana.
- Họ đã sử dụng các dịch vụ như Chainflip và THORChain để hoán đổi một lượng lớn ETH sang BTC. Đáng chú ý, ít nhất 605 triệu USD đã được xử lý qua nền tảng THORChain chỉ trong một ngày.
- Sau đó, WETH được cầu nối sang blockchain Avalanche, hoán đổi thành WBTC và tiếp tục cầu nối sang blockchain Bitcoin. Bằng cách phân phối BTC đến hàng nghìn địa chỉ mới, chúng đã phá vỡ dấu vết điều tra.
Sử dụng dịch vụ trộn coin (Mixers) và dịch vụ ẩn danh: Lazarus Group đã sử dụng các dịch vụ trộn tiền điện tử như Tornado Cash và Sinbad.io để che giấu lịch sử giao dịch. Các dịch vụ này gộp tiền từ nhiều người dùng và phân phối lại, cắt đứt mối liên kết. Ngoài ra, họ còn dựa vào các sàn giao dịch không yêu cầu KYC (Know Your Customer) như eXch, nơi hoạt động như các bộ trộn bằng cách cho phép hoán đổi tài sản ẩn danh.
Chiến thuật “làm ngập lụt” (Flooding): Nhóm này thực hiện hàng nghìn giao dịch, cả qua DEX và chuyển ví-sang-ví, nhằm mục đích làm nhiễu loạn các nhà phân tích tuân thủ, cơ quan thực thi pháp luật và nhà phân tích blockchain.
Trì hoãn chiến lược và rút tiền: Thay vì rút tiền mặt ngay lập tức, Lazarus thường chờ đợi vài tuần hoặc vài tháng, cho phép sự chú ý của pháp y giảm dần trước khi gửi tiền đến các nhà môi giới OTC hoặc sử dụng các nhà cung cấp ngang hàng (P2P) để chuyển đổi sang tiền pháp định.

Bạn có thể tìm hiểu thêm về nhóm hacker đáng sợ này qua video từ Spiderum:

Bybit đã xử lý khủng hoảng thế nào?

Ngay sau vụ tấn công, Bybit đã nhanh chóng hành động để kiểm soát tình hình và trấn an cộng đồng.

Về cam kết bồi thường:

Bybit đã cam kết hoàn trả đầy đủ cho tất cả người dùng bị ảnh hưởng bởi vụ tấn công. CEO Ben Zhou xác nhận sàn giao dịch đang quản lý khoảng 20 tỷ USD tài sản của khách hàng và cam kết sẽ bù đắp đầy đủ mọi khoản tiền không thể phục hồi bằng kho bạc của công ty hoặc một khoản vay bắc cầu từ các đối tác.
Để thể hiện cam kết này, Bybit đã phát động chương trình “tiền thưởng phục hồi” (Recovery Bounty Program) với mức thưởng 10% số tiền được phục hồi, có thể lên tới 140 triệu USD nếu toàn bộ số tiền bị đánh cắp được thu hồi. Họ kêu gọi sự hỗ trợ từ các chuyên gia an ninh mạng trên toàn cầu. VTV.vn cũng đã đưa tin về nỗ lực này.

CEO Bybit Ben Zhou đã có những phát biểu trấn an người dùng sau vụ việc.

Các biện pháp bảo mật và lấy lại niềm tin:

Điều tra pháp y: Bybit đã công bố hai cuộc điều tra pháp y, cung cấp thông tin chi tiết kỹ thuật về vector tấn công cụ thể.
Chuyển đổi giải pháp lưu ký: Sau vụ tấn công, Bybit đã chuyển một phần lớn tiền của mình ra khỏi ví lạnh Safe{Wallet} và đang xem xét các giải pháp lưu ký thay thế để tăng cường bảo mật.
Minh bạch và bằng chứng dự trữ (Proof-of-Reserves): Bybit đã tăng cường minh bạch, bao gồm các đợt chứng minh dự trữ mới nhất, và đã nỗ lực khôi phục uy tín. Bằng chứng là vào tháng 3, họ đã đạt vị trí số 1 về dòng vốn vào trong số các sàn giao dịch tập trung (CEX).
Hợp tác quốc tế: Bybit đã hợp tác với các cơ quan thực thi pháp luật quốc tế, bao gồm chính quyền Singapore và Interpol, cùng các công ty phân tích blockchain như Chainalysis để theo dõi và thu hồi tài sản bị đánh cắp.
Ổn định thanh khoản: Bybit đã khôi phục hoàn toàn việc dự phòng tài sản của khách hàng 1:1 và ổn định thanh khoản, với hoạt động nạp tiền có phần vượt quá lượng rút tiền, cho thấy sự cải thiện về niềm tin thị trường.

Tuy nhiên, dù Bybit đã cố gắng, vụ hack này vẫn đặt ra nhiều câu hỏi lớn. Một số người dùng đã hy vọng vào việc “rollback” Ethereum (hoàn tác giao dịch trên blockchain), giống như vụ TheDAO năm 2016. Nhưng thực tế, việc này cực kỳ phức tạp và gần như không thể thực hiện được ở thời điểm hiện tại, bởi nó sẽ ảnh hưởng đến tính toàn vẹn của cả mạng lưới Ethereum.

Vụ việc đã ảnh hưởng không nhỏ đến uy tín của Bybit. Làn sóng rút tiền cho thấy sự lo ngại sâu sắc từ cộng đồng. Sau sự cố này, chắc chắn Bybit cũng như các sàn giao dịch khác sẽ phải xem xét và nâng cấp mạnh mẽ hơn nữa hệ thống bảo mật của mình để lấy lại niềm tin từ người dùng.

Bài học đắt giá từ vụ hack Bybit

Vụ hack Bybit là một lời cảnh tỉnh đắt giá cho tất cả chúng ta, những người đang tham gia vào thị trường tiền điện tử. Dù là sàn lớn đến đâu, rủi ro vẫn luôn tiềm ẩn. Các cuộc tấn công như tiêm JavaScript hoặc tấn công chuỗi cung ứng thường khó bị phát hiện hơn so với tấn công trực tiếp vào ví lạnh hay hợp đồng thông minh. Lý do là chúng nhắm vào việc thao túng quá trình tương tác của người dùng hoặc thành phần bên thứ ba, thay vì phá vỡ trực tiếp các giao thức cốt lõi.

Vậy, chúng ta có thể làm gì để tự bảo vệ tài sản của mình?

Đây là một vài lời khuyên từ Ema Crypto để bạn luôn an toàn hơn:

Hiểu rõ cơ chế của sàn giao dịch: Hãy tìm hiểu về cách ví nóng (hot wallet) và ví lạnh (cold wallet) hoạt động, cũng như các quy trình bảo mật của sàn bạn đang dùng. Việc hiểu biết giúp bạn nhận diện các rủi ro tốt hơn.
Cực kỳ thận trọng khi giao dịch: Luôn luôn kiểm tra thật kỹ địa chỉ ví đích, số lượng tiền trước khi xác nhận bất kỳ giao dịch nào. Đừng bao giờ vội vàng và hãy cảnh giác với bất kỳ giao diện nào có vẻ bất thường.
Sử dụng xác thực hai yếu tố (2FA) mạnh mẽ: Đừng chỉ dựa vào SMS 2FA. Hãy ưu tiên dùng các ứng dụng xác thực như Google Authenticator, hoặc tốt hơn nữa là các thiết bị phần cứng như YubiKey để tăng cường bảo mật.
Cân nhắc sử dụng ví cứng (hardware wallet) cho tài sản lớn: Đối với số tiền lớn, việc tự mình giữ quyền kiểm soát khóa riêng tư bằng ví cứng là cách an toàn nhất. “Your keys, not your coins” – nếu bạn không giữ khóa, bạn không thực sự sở hữu tiền.
Đa dạng hóa tài sản: Tránh “bỏ tất cả trứng vào một giỏ”. Thay vì giữ toàn bộ tài sản trên một sàn, hãy phân bổ chúng vào nhiều sàn hoặc ví khác nhau.
Luôn theo dõi tin tức và cảnh báo bảo mật: Hãy cập nhật thông tin từ các nguồn uy tín để biết về các chiêu trò tấn công mới và cách phòng tránh.
Cảnh giác với lừa đảo (phishing, social engineering): Hacker không chỉ tấn công hệ thống mà còn nhắm vào yếu tố con người. Đừng click vào link lạ, đừng tiết lộ thông tin cá nhân.

Kết luận

Vụ hack Bybit một lần nữa minh chứng rõ ràng cho sự biến động và rủi ro luôn tiềm ẩn của thị trường tiền điện tử. Dù các sàn giao dịch không ngừng nâng cấp hệ thống bảo mật, tin tặc luôn tìm ra những lỗ hổng mới, đặc biệt là thông qua việc khai thác yếu tố quy trình, giao diện người dùng và các lỗ hổng trong chuỗi cung ứng.

Việc hiểu rõ “tại sao Bybit bị hack” không chỉ là để biết một sự kiện đã qua, mà còn là bài học sống còn để mỗi cá nhân tự nâng cao cảnh giác và bảo vệ tài sản số của mình trong tương lai. Hãy luôn ưu tiên bảo mật và tỉnh táo trước mọi rủi ro tiềm ẩn bạn nhé!