"Giải phẫu" nguyên nhân vụ hack Bybit: Khi cha chung không ai khóc

50% tài sản bị rút và nguy cơ bank run

Gần 1.5 tỷ USD bị đánh cắp khỏi sàn giao dịch tiền mã hóa Bybit vào tối 21/2/2025. Đây được ghi nhận là vụ tấn công lớn nhất lịch sử 15 năm của ngành crypto.

Nhóm hacker Lazarus Group - được cho đứng sau vụ tấn công, đã lợi dụng lỗ hổng bảo mật để xâm nhập hệ thống ví lạnh của Bybit và đánh cắp khoảng 70% tổng lượng Ethereum (ETH) sàn đang nắm giữ.

Dữ liệu từ công ty phân tích blockchain Cyvers cho thấy, giá trị tiền mã hóa bị đánh cắp trong sự cố này vượt quá 60% tổng giá trị tài sản số bị thất thoát do tất cả hình thức tấn công mạng trong năm 2024 cộng lại.

Đọc thêm: Bybit "ByeETH" trong vụ hack 1.5 tỷ USD lớn nhất crypto

Chỉ trong vòng mười tiếng sau vụ hack đã có hơn 350,000 yêu cầu rút tiền từ Bybit. Ben Zhou - CEO Bybit, cho biết stablecoin bị rút nhiều nhất trong giai đoạn này, chứ không phải ETH. Nguyên do có thể đến từ việc stablecoin mang đến cảm giác an toàn trong bối cảnh thị trường biến động và lo ngại về rủi ro bảo mật gia tăng.

Bybit khẳng định có đủ tài sản dự trữ để đáp ứng yêu cầu rút tiền. Tuy nhiên, tình hình trở nên phức tạp khi Safe (trước đây là Gnosis Safe) - nhà cung cấp giao thức ví hợp đồng thông minh tích hợp cho ví lạnh multisig (đa chữ ký) của Bybit, quyết định tạm ngừng một số chức năng để tiến hành rà soát an ninh.

Việc Safe tạm ngừng hoạt động vô tình "đóng băng" khoảng 3 tỷ USD giá trị USDT dự trữ của Bybit - số tài sản do Safe quản lý hiện tại. Trong khi đội ngũ Bybit và Safe nỗ lực tìm giải pháp để giải phóng lượng stablecoin "mắc kẹt", sàn giao dịch đang đối mặt áp lực rút tiền ngày càng tăng.

Theo DeFiLlama, tổng giá trị tài sản được theo dõi trên các ví liên kết với Bybit đã giảm mạnh từ khoảng 16.9 tỷ USD xuống 11.2 tỷ USD. Có thể thấy, sàn giao dịch đang rơi vào nguy cơ "bank run", khi gần 50% tổng tài sản trên sàn đã bị rút đi, nâng tổng thiệt hại lên đến 5.5 tỷ USD.

Để ứng phó tình trạng trên, Bybit được cho là đang vay ETH từ các nguồn bên ngoài để bù đắp lượng tài sản bị thất thoát và đáp ứng yêu cầu rút tiền của người dùng. Kịch bản xấu nhất là nếu Bybit không thể nhanh chóng mua lại lượng ETH đã vay để hoàn trả và giá ETH trên thị trường tăng mạnh, khoản thiệt hại của Bybit sẽ tăng theo cấp số nhân.

"Giải phẫu" vụ hack Bybit

Khi lỗi thuộc về ai?

Vụ hack Bybit nhanh chóng khơi mào một cuộc "giải phẫu kỹ thuật" từ giới chuyên gia. Tại sao Bybit với hệ thống bảo mật nghiêm ngặt lại có thể trở thành nạn nhân của một vụ hack kỷ lục?

Theo nhận định ban đầu từ Meir Dolev - đồng sáng lập kiêm Giám đốc Kỹ thuật (CTO) của Cyvers, vụ hack Bybit có điểm tương đồng với vụ tấn công 230 triệu USD nhắm vào sàn WazirX và vụ khai thác 58 triệu USD vào giao thức Radiant Capital.

Dolev phân tích điểm chung của các vụ tấn công này nằm ở phương thức khai thác lỗ hổng tinh vi: xâm phạm ví lạnh multisig Ethereum thông qua một giao dịch lừa đảo.

Về phía Bybit, CEO Ben Zhou cũng đưa ra suy đoán ban đầu về nguồn gốc vụ xâm nhập, tập trung vào giao thức Safe: "Khả năng cao là máy chủ của Safe đã bị tấn công, tuy nhiên tại thời điểm hiện tại, chúng tôi chưa thể khẳng định chắc chắn", ông nói.

Làm sao một hệ thống ví multisig lại có thể bị "qua mặt" và dẫn đến thất thoát lượng tài sản khổng lồ là câu hỏi cộng đồng đặt ra. Sự hoang mang này không phải khó hiểu, bởi ví multisig - đặc biệt là các giải pháp tiên tiến như Safe, được thiết kế với cơ chế bảo mật nghiêm ngặt, yêu cầu đồng thuận của nhiều bên để xác thực bất kỳ giao dịch nào.

Về cơ bản, mọi giao dịch hợp lệ trong ví multisig đều phải tuân thủ quy trình hai bước:

• Khởi tạo giao dịch: Một signer tạo giao dịch, sau đó dữ liệu giao dịch (transaction data) này sẽ được tải lên server của Safe. Người khởi tạo sẽ nhận về một đường link (URL).
• Phê duyệt giao dịch: Các signer khác sẽ truy cập đường link này hoặc vào website của Safe Wallet. Tại đây, họ sẽ thấy thông tin giao dịch và tiến hành kiểm tra (review) dữ liệu giao dịch trước khi phê duyệt (approve) hoặc từ chối (reject).

Quy trình bảo mật này đặt ra câu hỏi: Nếu mọi giao dịch đều bắt nguồn từ một signer hợp lệ, làm thế nào kẻ tấn công có thể xâm nhập hệ thống và bắt đầu giao dịch gian lận ngay từ giai đoạn khởi tạo ban đầu?

Tại thời điểm hiện tại, vẫn chưa có thông tin xác thực về cách giao dịch gian lận được khởi tạo. Hướng điều tra hiện tại tập trung vào:

• Rà soát an ninh thiết bị của các signer: Một trong những hướng tiếp cận được ưu tiên xem xét là khả năng thiết bị đầu cuối (máy tính cá nhân, thiết bị di động) của các signer bị mã độc hoặc tin tặc xâm nhập. Trong trường hợp này, kẻ tấn công có thể đã lợi dụng quyền truy cập trái phép vào thiết bị của signer để khởi tạo giao dịch hack một cách hợp lệ từ bên trong hệ thống, bỏ qua các lớp phòng thủ bên ngoài.
• Kiểm tra lỗ hổng hệ thống Safe Wallet: Hướng thứ hai tập trung vào khả năng hệ thống website hoặc máy chủ (server) của Safe Wallet tồn tại lỗ hổng bảo mật. Kẻ tấn công có thể đã khai thác các lỗ hổng thành công và vượt qua các biện pháp bảo vệ để trực tiếp can thiệp vào quá trình tạo giao dịch trên nền tảng Safe Wallet. Việc này giúp hacker tạo ra các giao dịch gian lận mà không cần xâm nhập vào thiết bị của từng signer.

Câu hỏi tiếp theo đặt ra cho quy trình phê duyệt giao dịch trên ví multisig: Tại sao các signer còn lại vẫn tiến hành phê duyệt giao dịch gian lận?

Trong trường hợp này, điểm mấu chốt nằm ở quy trình "kiểm tra dữ liệu giao dịch" của các signer. Thông thường, các signer sẽ:

• Kiểm tra số lượng tài sản (ví dụ: ETH) được chuyển đi
• Kiểm tra địa chỉ ví đích nhận tài sản
• Xem xét mục đích giao dịch (nếu có)

Tuy nhiên, trong vụ hack lần này, cách kiểm tra thông thường trên không đủ. Giao dịch hack đã được thiết kế một cách tinh vi:

• Giao dịch gửi 0 ETH: Giao dịch gian lận thực chất gửi đi 0 ETH và địa chỉ nhận lại chính là ví multisig. Khi các signer kiểm tra thông tin hiển thị trên giao diện người dùng (UI) của Safe Wallet, họ có thể chỉ thấy giao dịch này chuyển 0 ETH về chính ví của mình, và nghĩ rằng đây là một giao dịch vô hại, không đáng lo.
• Thay đổi "ruột" của multisig: Điểm nguy hiểm nằm ở dữ liệu giao dịch ẩn sau con số 0 ETH này. Dữ liệu này chứa lệnh thay đổi hợp đồng triển khai (implementation contract) của ví multisig hiện tại bằng một hợp đồng độc hại (malicious contract) do hacker kiểm soát.

Để dễ hình dung: Tưởng tượng bạn ký một hợp đồng mua bán, khi kiểm tra nhanh, bạn chỉ xem tên, ngày tháng... mà không đọc kỹ từng câu chữ.

Trong vụ hack này, các signer có thể đã "kiểm tra nhanh" và chỉ thấy "gửi 0 ETH về ví mình", mà bỏ qua việc phân tích sâu hơn dữ liệu giao dịch thực sự đang thực hiện hành động nguy hiểm: thay thế hợp đồng thông minh cốt lõi của ví multisig.

Sau khi hợp đồng độc hại được thay thế, hacker đã chiếm quyền kiểm soát hoàn toàn ví multisig. Từ thời điểm này, hacker có thể dễ dàng thực hiện giao dịch đánh cắp tài sản mà không cần sự phê duyệt của các signer.

"Multisig hay bất cứ ứng dụng nào cũng chỉ là công cụ hỗ trợ. Cho dù có chia bao nhiêu chữ ký cũng vô nghĩa nếu tất cả mọi người đều thờ ơ với trách nhiệm của mình, nghĩ mình chỉ là một phần nhỏ, những người còn lại cẩn thận là được", ông Nguyễn Thế Vinh - CEO Ninety Eight, nhận định.

Tuy nhiên, toàn bộ phân tích trên vẫn chỉ là suy đoán và giải thích ban đầu từ giới chuyên gia. Chưa có bất kỳ xác nhận chính thức nào từ phía Bybit hoặc các bên liên quan.

"Tôi không rõ bằng cách nào hacker biết được danh tính của các singer tham gia ký ví multisig. Tuy nhiên, kiểu tấn công này đã từng xảy ra trong quá khứ", - Cygaar, tài khoản với hơn 100,000 người theo dõi trên X, nhận xét.

Giao thức Safe cũng đưa ra thông báo: "Chúng tôi chưa tìm thấy bằng chứng cho thấy giao diện người dùng (frontend) chính thức của Safe bị xâm nhập”.

Thông báo này ngầm chỉ Safe đang phủ nhận giả thuyết hệ thống frontend của họ bị thao túng, và bỏ ngỏ khả năng những lỗ hổng khác hoặc yếu tố bên ngoài có thể đóng vai trò quan trọng trong vụ tấn công Bybit.

Kết quả ngã ngũ

Ngày 26/2/2025, báo cáo pháp lý từ Sygnialabs & Verichains và thông báo chính thức từ Safe đưa ra ánh sáng nguyên nhân vụ hack Bybit. Đây được xác định là cuộc tấn công có chủ đích nhằm khai thác lỗ hổng bảo mật từ phía máy tính của nhà phát triển Safe{Wallet} và thao túng giao diện người dùng để đánh lừa các signer.

Cụ thể, cơ chế tấn công được xác định như sau:

• Kẻ tấn công xâm nhập vào máy tính của một nhà phát triển thuộc đội ngũ Safe{Wallet} dưới hình thức social engineering, hoặc khai thác các lỗ hổng zero-day (zero-day attack).
• Sau khi xâm nhập, kẻ tấn công thay thế tệp JavaScript của giao diện người dùng (frontend) app.safe.global bằng một tệp JavaScript độc hại (malicious JavaScript file). Thời điểm thay thế được ghi nhận là ngày 19/2/2025.
• Tệp JavaScript độc hại này được thiết kế nhằm mục đích đánh lừa các signer khi tạo ra giao diện ngụy trang với những thông tin "vô hại", như địa chỉ ví chính xác và URL hợp lệ từ @safe.
• Tuy nhiên, thông điệp ký thực sự (signing message) ẩn sau giao diện ngụy trang lại chứa đựng lệnh thay đổi logic hợp đồng thông minh của ví lạnh. Khi các signer phê duyệt giao dịch "vô hại" trên giao diện giả mạo, họ vô tình ủy quyền việc thay thế hợp đồng triển khai của ví multisig bằng một hợp đồng độc hại do hacker kiểm soát.

Lúc này, các hacker đã hoàn toàn kiểm soát ví multisig của sàn và thực hiện chuyển gần 1.5 tỷ USD sang các địa chỉ khác nhau, gây ra vụ hack lớn nhất lịch sử crypto.

Bài học xử lý khủng hoảng và rủi ro "ký mù"

CEO Bybit livestream trong đêm trấn an cộng đồng

Theo đánh giá từ giới phân tích và cộng đồng, CEO Bybit đã thể hiện khả năng quản lý khủng hoảng hiệu quả thông qua một loạt hành động quyết đoán và kịp thời.

Chỉ trong vòng 30 phút sau khi phát hiện vụ tấn công, CEO Ben Zhou đã lên tiếng trấn an cộng đồng. Ông livestream ngay trong đêm trên nền tảng X để giải đáp thắc mắc, thay vì để bộ phận truyền thông đưa ra những thông báo chung chung mơ hồ.

Tài khoản chính thức của Bybit cũng liên tục thống kê và cập nhật tình hình một cách rõ ràng, dễ hiểu, khẳng định các biện pháp ứng phó khẩn cấp đã được triển khai và tài sản người dùng vẫn được bảo vệ theo cơ chế SAFU (Secure Asset Fund for Users).

Phản ứng nhanh chóng và minh bạch của đội ngũ Bybit được xem là yếu tố then chốt giúp hạn chế tối đa thiệt hại dây chuyền và phần nào trấn an người dùng trong bối cảnh hỗn loạn.

"Gót chân Achilles" của ví multisig

Vụ hack Bybit một lần nữa phơi bày rủi ro nghiêm trọng của việc "ký mù" (blind signing) – quy trình phê duyệt giao dịch trong đó người dùng và nền tảng không thể xác minh đầy đủ thông tin chi tiết trước khi ủy quyền.

Pascal Gauthier - CEO của Ledger, nhấn mạnh rằng các cuộc tấn công kiểu này hoàn toàn có thể phòng ngừa nếu cơ chế “Clear Signing” được áp dụng rộng rãi. Clear Signing là cơ chế giúp người dùng xác minh đầy đủ mọi chi tiết giao dịch trước khi đưa ra quyết định phê duyệt.

Fireblocks - nền tảng bảo mật tài sản tiền mã hóa dành cho tổ chức, cũng ủng hộ việc tăng cường khả năng hiển thị giao dịch thông qua các công nghệ như giám sát theo thời gian thực (real-time monitoring).

Giải pháp này giúp các tổ chức chủ động xác định và ngăn chặn giao dịch đáng ngờ trước khi chúng được thực thi, nhằm giảm thiểu rủi ro từ các giao dịch độc hại.

Ngoài ra, cả CZ và Fireblocks đều đồng loạt chỉ ra những hạn chế và lỗ hổng bảo mật tiềm ẩn trong các giải pháp lưu trữ ví lạnh multisig truyền thống. Mặc dù ví multisig đã trở thành tiêu chuẩn bảo mật phổ biến, Fireblocks khuyến nghị các tổ chức nên tái cấu trúc hệ thống ví và chuyển dịch sang các giải pháp ví MPC (Multi-Party Computation - Tính toán đa bên).