Vụ trộm 1,5 tỷ USD tiền mã hóa của sàn Bybit diễn ra như thế nào?

Ngành công nghiệp tiền mã hóa và an ninh mạng vẫn chưa thoát khỏi cú sốc sau vụ trộm tiền mã hóa lớn nhất lịch sử nhằm vào sàn Bybit ngày 21/2. Quan chức Bybit cho biết thủ phạm đã đánh cắp hơn 400.000 ETH và tẩu tán một phần chỉ vài giờ ngay sau đó.

Theo Bybit, số tiền mã hóa bị trộm được lưu trữ trong ví lạnh đa chữ ký (multisig cold wallet). Trước đó, sàn đã thực hiện giao dịch chuyển tiền từ ví lạnh (cold wallet) sang ví nóng (hot wallet).

Sàn giao dịch Bybit bị tấn công và đánh cắp số tiền mã hóa trị giá 1,46 tỷ USD. Ảnh: Security Week

Ví lạnh đa chữ ký được xem là tiêu chuẩn vàng trong bảo đảm an toàn cho tiền mã hóa. Ví là thuật ngữ chỉ các tài khoản lưu trữ Bitcoin, Ethereum (ETH) hay bất kỳ đồng tiền mã hóa nào khác.

Chúng được gán với một cặp khóa mã hóa, bao gồm khóa công khai phục vụ như địa chỉ ví, còn khóa riêng tư là một chuỗi chữ và số dài dùng để chuyển tiền ra khỏi ví.

Việc chuyển tiền cần đến ví nóng. Đây là những tài khoản luôn kết nối với Internet và chứa khóa riêng tư. Do ví nóng dễ bị tin tặc nhòm ngó, nhiều chủ tài khoản đã lưu khóa bảo mật ngoại tuyến để độc lập với địa chỉ ví.

An toàn nhất là lưu trữ trong các ví lạnh, thường dưới dạng thiết bị giống với USB. Nó chỉ giải mã khi tiến hành các bước xác thực nhất định.

Ví lạnh đa chữ ký còn an toàn hơn khi được thiết kế tương tự như các hệ thống vũ khí hạt nhân, đòi hỏi phải có chữ ký số từ 2 người có thẩm quyền trở lên xác thực mới có thể truy cập tài sản.

Bybit chỉ lưu trữ một lượng tiền mã hóa cần thiết cho hoạt động hàng ngày trong ví nóng và giữ phần còn lại các ví lạnh đa chữ ký. Việc chuyển tiền ra khỏi ví lạnh cần được phê duyệt từ các nhân viên cấp cao của sàn.

Ban đầu, các chuyên gia suy đoán ví lạnh hoặc hạ tầng lưu trữ do công ty có tên Safe cung cấp đã bị xâm phạm. Song, lý thuyết này bị bác bỏ sau khi Safe điều tra và phát hiện không có dấu hiệu xâm phạm trái phép.

Cuối cùng, các nhà điều tra cho biết giao dịch chuyển tiền đã bị thao túng bởi một cuộc tấn công tinh vi, trong đó, nó đã thay đổi logic hợp đồng thông minh và che giấu giao diện ký số, cho phép kẻ tấn công kiểm soát ví lạnh ETH.

Theo Ars Technica, điều đó đồng nghĩa nhiều hệ thống bên trong Bybit đã bị tấn công theo cách cho phép thủ phạm thao túng giao diện ví Safe trên thiết bị của mỗi một người có thẩm quyền.

Các chuyên gia Dikla Barda, Roman Ziakin và Oded Vanunu của hãng bảo mật Check Point nhận xét vụ tấn công Bybit chứng minh một điều: dù logic hợp đồng thông minh hay biện pháp bảo vệ đa chữ ký mạnh đến đâu, yếu tố con người vẫn là mắt xích yếu nhất. “Nó cho thấy tấn công phi kỹ thuật và thao túng giao diện người dùng (UI) có thể vượt qua cả những ví bảo mật nhất”.

Vẫn chưa rõ những kẻ tấn công đã làm thế nào để hack UI của các nhân viên Bybit, song ba chuyên gia Dan Guido, Benjamin Samuels và Anish Naik của hãng bảo mật Trail of Bits lưu ý nhóm hacker liên quan đến vụ việc từ lâu đã triển khai những công cụ mã độc tinh vi có khả năng: hoạt động xuyên suốt trên Windows, MacOS và giao diện ví khác nhau; hiển thị dấu hiệu xâm phạm tối thiểu; hoạt động như cửa hậu để thực thi lệnh nhị phân; tải và thực thi mã độc bổ sung; thao túng những gì người dùng nhìn thấy trên giao diện của họ.

Những hacker này nổi tiếng với khả năng tấn công phi kỹ thuật của mình. Chúng thường dành nhiều tuần, nhiều tháng để xây dựng các hồ sơ trên mạng, giành niềm tin của con mồi.

Sự lỳ lợm này có thể cho phép chúng giả mạo UI của mỗi nhân viên Bybit có thẩm quyền với tốc độ đáng kinh ngạc.

Cả CheckPoint và Trail of Bits đều đồng tình rằng cần đưa bảo mật tiền mã hóa về một số yếu tố cơ bản nhất như phân mảnh mạng nội bộ, áp dụng các biện pháp phòng thủ chuyên sâu và chuẩn bị cho những kịch bản tấn công như của Bybit.

(Theo Ars Technica)

Du Lam