Trang Chủ
Baby Dragron
Nền tảng ví tài khoản thông minh Ethereum, Safewallet, đã tái cấu trúc lại hệ thống của mình sau vụ trộm 1,5 tỷ$ ETH khét tiếng từ Bybit.
Nhìn lại vụ hack Bybit
Vào tháng Hai, hệ sinh thái tiền điện tử đã đứng trước bờ vực của một thảm họa. Các hacker đã đánh cắp 1,5 tỷ$ Ether từ sàn giao dịch tiền điện tử Bybit, đây là vụ trộm lớn nhất mà ngành công nghiệp này từng chứng kiến.
Những lo ngại về một sự sụp đổ thị trường do hiệu ứng lây lan đã được xoa dịu bởi một nỗ lực toàn ngành nhằm lấp đầy lỗ hổng tại Bybit, và chỉ trong vài giờ, sàn giao dịch đã giành lại được quyền kiểm soát tình hình.
Cuộc điều tra “mổ xẻ” sau đó cho thấy rằng một giao dịch chuyển Ether (ETH), với giá 3.247$, định kỳ giữa các ví của Bybit đã bị các hacker chiếm quyền. Những kẻ tấn công, được cho là nhóm Lazarus của Bắc Triều Tiên, đã xâm nhập vào máy tính của một nhà phát triển (developer) thuộc Safewallet.
Từ đó, chúng tiêm một đoạn mã JavaScript độc hại vào giao diện người dùng. Đoạn mã này đã đánh lừa quy trình đa chữ ký (multisignature) của Bybit để phê duyệt một hợp đồng thông minh độc hại.
Để hiểu rõ mức độ tinh vi của vụ tấn công này, chúng ta cần biết “quy trình đa chữ ký” (hay “đa ký”) là gì. Đây là một cơ chế bảo mật cấp cao mà các sàn giao dịch lớn như Bybit sử dụng để bảo vệ các “ví nóng” (ví trực tuyến) của họ.
Thay vì chỉ cần một người (hoặc một khóa) để phê duyệt một giao dịch rút tiền lớn, quy trình này yêu cầu nhiều bên (ví dụ: 3 trong 5 giám đốc điều hành) cùng ký tên. Điều này được thiết kế để ngăn chặn các vụ trộm nội bộ hoặc các vụ tấn công đơn lẻ.
Tuy nhiên, các hacker Lazarus đã không tấn công trực tiếp vào Bybit. Chúng tấn công vào “bên thứ ba” cung cấp cơ sở hạ tầng ví cho Bybit, chính là Safewallet. Bằng cách tiêm mã độc vào giao diện mà các giám đốc điều hành của Bybit sử dụng để ký, chúng đã “lừa” họ.
Khi các giám đốc điều hành nghĩ rằng họ đang ký vào một giao dịch chuyển tiền nội bộ thông thường, họ thực chất lại đang ký vào một lệnh chuyển tiền đến ví của hacker.
Vụ việc là một hồi chuông cảnh tỉnh cho ngành công nghiệp tiền điện tử, vì rất nhiều sàn giao dịch và công ty đang phụ thuộc vào cơ sở hạ tầng và dịch vụ của những bên như Safe. Mặc dù Safe là một dịch vụ ví tự lưu ký (self-custodial), vụ việc đã chứng minh rằng các cuộc tấn công phi kỹ thuật (social engineering) tinh vi hoặc việc phần cứng vật lý bị xâm phạm vẫn là mối đe dọa cho toàn bộ ngành.
Giám đốc điều hành (CEO) của Safe, ông Rahul Rumalla, đã tham gia chương trình trực tiếp Chain Reaction của Cointelegraph để chia sẻ về những bài học kinh nghiệm và những thay đổi mang tính hệ thống được yêu cầu bởi vụ việc Bybit, cũng như các mối đe dọa luôn hiện hữu và luôn thay đổi từ tội phạm mạng.
Tự lưu ký đang bị phân mảnh
Như ông Rumalla giải thích, một máy trạm của nhà phát triển Safe đã bị xâm phạm, tạo ra một điểm xâm nhập cho các hacker để thực hiện một cuộc tấn công có thể thao túng mã của trang web.
Vị CEO của Safe cho biết tình hình “là một thời điểm nhận ra bài học đắt giá” (a reckoning moment), buộc nhóm phải tổ chức lại hoàn toàn hệ thống an ninh và cơ sở hạ tầng của mình. Nó cũng thu hút sự chú ý đến các thông lệ tiêu chuẩn của ngành có thể không hoàn toàn phù hợp với mục đích.
“Rất nhiều người thực sự đang phải chịu đựng khái niệm ‘ký mù’ (blind signing). Bạn thực sự không biết mình đang ký vào cái gì, cho dù đó là thiết bị ký hay các thiết bị phần cứng của bạn. Và điều này bắt đầu từ giáo dục, bắt đầu từ nhận thức, bắt đầu từ các tiêu chuẩn,” Rumalla nói.
“Ký mù” là một trong những lỗ hổng nguy hiểm nhất trong không gian tiền điện tử. Nó mô tả một tình huống mà người dùng (hoặc trong trường hợp này là các giám đốc điều hành Bybit) phê duyệt một giao dịch trên ví phần cứng (như Ledger hoặc Trezor) hoặc ví phần mềm của họ, nhưng giao diện không hiển thị đầy đủ chi tiết của giao dịch.
Ví dụ, màn hình có thể chỉ hiển thị “Xác nhận giao dịch?” mà không hiển thị rõ ràng rằng bạn đang tương tác với một hợp đồng thông minh độc hại và gửi toàn bộ tài sản của mình đi.
Các hacker Lazarus đã lợi dụng chính điều này; chúng can thiệp vào giao diện của Safewallet để che giấu bản chất thực sự của giao dịch, biến nó thành một hành động “ký mù”.
“Cuối cùng, trong thế giới của ‘tự lưu ký’ (self-custody), thiết kế cơ bản thực sự của nó là trách nhiệm an ninh được chia sẻ. Nó đang bị phân mảnh. Và đây là điều chúng tôi bắt đầu tái cấu trúc lại.”
Ông Rumalla nói thêm rằng mặc dù Safe đã phải đối mặt với sự giám sát chặt chẽ sau vụ trộm của Bybit, các khách hàng cốt lõi của họ vẫn ủng hộ và nhận thức rõ ràng về các vectơ tấn công cốt lõi dẫn đến vụ việc.
Nhóm của ông sau đó đã bắt tay vào việc chia nhỏ các lớp kiến trúc tạo nên cơ sở hạ tầng bảo mật của Safe.
“Chúng tôi chia nó ra thành bảo mật cấp độ giao dịch, bảo mật cấp độ thiết bị ký, bảo mật cấp độ cơ sở hạ tầng, và cả các tiêu chuẩn, sự tuân thủ, và khả năng kiểm toán. Tất cả chúng phải hoạt động cùng nhau theo một cách nào đó,” Rumalla nói.
Mối đe dọa đang phát triển từ các hacker
Các hacker của Lazarus Group là mối đe dọa hoạt động năng nổ và gây hậu quả lớn nhất (prolific) đối với hệ sinh thái tiền điện tử trong những năm gần đây. Truyền thông chính thống dự báo nhóm hacker Bắc Triều Tiên này sẽ bỏ túi hơn 2 tỷ$ tiền điện tử bị đánh cắp trong năm 2025.
Ông Rumalla cho biết thách thức lớn nhất chính là khía cạnh tấn công phi kỹ thuật (social engineering) mà các nhóm hacker đang sử dụng để xâm nhập vào các công ty lớn trong ngành.
“Những kẻ tấn công này có mặt trong các kênh Telegram. Chúng ở trong các cuộc trò chuyện giới thiệu công ty của chúng tôi, chúng ở trong các DAO (tổ chức tự trị phi tập trung) của bạn để xin tài trợ. Chúng đang nộp đơn xin việc làm nhân viên công nghệ thông tin (IT). Chúng lợi dụng yếu tố con người.”
Đây là một chiến thuật tấn công tâm lý và lừa đảo, thay vì tấn công vào mã (code). Thay vì cố gắng bẻ khóa một bức tường lửa, hacker sẽ giả làm một đồng nghiệp, một ứng cử viên xin việc, hoặc một đối tác tiềm năng.
Chúng sẽ gửi một tệp PDF (như một CV xin việc) hoặc một đường link (như một lời mời tham gia dự án), mà thực chất có chứa phần mềm độc hại. Chỉ cần một nhà phát triển bất cẩn (như trong vụ Safewallet) nhấp vào tệp đó, hacker đã có được quyền truy cập vào máy tính của họ và từ đó xâm nhập vào toàn bộ hệ thống của công ty.
Điều này cũng mang lại một điểm sáng (silver lining) cho Rumalla và nhóm của ông. Lấy làm an ủi từ thực tế là mã và giao thức cốt lõi của họ không có lỗi, vị CEO cho biết có một nỗ lực nghiêm túc để cân bằng giữa bảo mật và khả năng sử dụng.
“Các tài khoản thông minh (smart accounts), giao thức cốt lõi, đã được ‘thử lửa’ (battle tested) rất kỹ lưỡng, điều này thực sự đã cho chúng tôi sự tự tin để nâng tầm điều này lên các lớp bảo mật bên trên.”
Ông Rumalla nói thêm rằng công nghệ tự lưu ký trong lịch sử luôn liên quan đến sự thỏa hiệp giữa tiện lợi và bảo mật. Tuy nhiên, một sự thay đổi trong tư duy là cần thiết để đảm bảo sự phát triển liên tục trong các sản phẩm và dịch vụ, giúp mọi người có thể kiểm soát tài sản của mình một cách tự lưu ký thật dễ dàng và an toàn.
