Lần theo dấu vết: Tin tặc Triều Tiên bị cáo buộc liên quan đến vụ hack ByBit trị giá 1,5 tỷ đô la

​Cuối tuần qua, các công ty bảo mật blockchain và chuyên gia công nghệ đã liên kết nhóm tin tặc Lazarus của Triều Tiên với vụ trộm hơn 1,5 tỷ đô la từ sàn giao dịch tiền điện tử Bybit.

Đến thời điểm này, vụ trộm tiền điện tử từ sàn giao dịch ByBit được coi là vụ việc lớn nhất trong lịch sử, những kẻ tấn công đã chặn một khoản tiền được lên kế hoạch chuyển từ một trong những ví “lạnh” của Bybit sang ví “nóng” và chuyển hướng tài sản tiền điện tử đến một địa chỉ blockchain do chúng kiểm soát.

Theo định nghĩa của giới chuyên môn, Ví lạnh hay còn gọi ví cứng, là thiết bị điện tử được thiết kế để lưu trữ khóa riêng tư có chức năng mở nơi chứa tài khoản tiền ảo của nhà đầu tư trên không gian mạng. Còn Ví nóng là loại ví tiền điện tử được kết nối với mạng internet, dùng để quản lý, lưu trữ, gửi và nhận tài sản crypto. Ví nóng thường được sử dụng cho mục đích giao dịch, thanh toán và sử dụng tiền điện tử

Theo giải thích của những người đứng đầu Bybit, vào ngày 21/02/2025, Bybit phát hiện hoạt động trái phép tại một trong những Ví lạnh Ethereum (ETH) của mình khi thực hiện quá trình chuyển tiền thông thường. Việc chuyển tiền này là một phần của quá trình chuyển ETH theo lịch trình từ Ví lạnh ETH Multisig sang Ví nóng của Bybit

Điều đáng nói, giao dịch đã bị thao túng bởi một cuộc tấn công tinh vi làm thay đổi logic hợp đồng thông minh và che giấu giao diện ký, cho phép kẻ tấn công giành quyền kiểm soát Ví lạnh ETH. Kết quả là, hơn 400.000 ETH và stETH trị giá hơn 1,5 tỷ đô la đã được chuyển đến một địa chỉ không xác định.

Hậu quả của vụ việc là tin tặc đã đánh cắp hơn 1,5 tỷ đô la ETH và stETH. Tuy nhiên, Bybit cho biết, các dịch vụ của họ phần lớn không bị ảnh hưởng, mặc dù có 580.000 yêu cầu rút tiền sau khi sự cố được tiết lộ. Đại diện Bybit cũng nói thêm rằng, tất cả các ví lạnh và tài sản khác vẫn an toàn.

Kể từ thời điểm kể trên, sàn giao dịch tiền điện tử đã khôi phục dự trữ ETH của mình và CEO của công ty cho biết Bybit vẫn có khả năng thanh toán ngay cả khi các tài sản bị mất sẽ không được khôi phục hoàn toàn.

​Vụ trộm tiền điện tử Bybit có liên quan đến tin tặc Lazarus

Kể từ vụ tấn công, các điều tra viên đã phát hiện ra mối liên hệ giữa Bybit và nhóm tin tặc Lazarus khét tiếng của Triều Tiên sau khi những kẻ tấn công gửi tiền Bybit bị đánh cắp đến một địa chỉ Ethereum trước đây được sử dụng trong các vụ hack Phemex, BingX và Poloniex.

Theo các nhân viên điều tra, khi rửa tiền cho vụ hack Bybit, vụ hack Poloniex cũng được liên kết trên chuỗi trong địa chỉ hợp nhất 0x15ec. Điều này cho thấy, cùng một thực thể có liên quan đến bốn vụ hack khác nhau (Bybit, Poloniex, Phemex, BingX)."

Các nhà nghiên cứu cũng cho biết, những kẻ tấn công đã tung ra và giao dịch các đồng tiền meme Pump Fun để rửa tiền điện tử bị đánh cắp, với số tiền từ vụ hack Bybit đã tiếp cận hơn 920 địa chỉ blockchain. Theo đó, tin tặc Lazarus đang rửa tiền ETH bị đánh cắp từ Bybit Hack bằng eXch (một bộ trộn tập trung) và chuyển tiền sang Bitcoin thông qua Chainflip.

Nhóm eXch đã vô tình gửi 34 ETH (96.000 đô la) vào ví nóng của một sàn giao dịch khác sau khi rửa hơn 35 triệu đô la cho Lazarus Group từ vụ hack Bybit hôm nay.

Những phát hiện của các điều tra viên đã được công ty tình báo blockchain TRM Labs xác nhận. Công ty này đã xác định với "mức độ tin cậy cao" rằng, tin tặc Triều Tiên đứng sau vụ hack Bybit dựa trên sự trùng lặp đáng kể được quan sát thấy giữa các địa chỉ do tin tặc Bybit kiểm soát và các địa chỉ có liên quan đến các vụ trộm trước đó của Triều Tiên.

Công ty phân tích blockchain Elliptic cho biết tin tặc Lazarus đã chuyển số tiền bị đánh cắp qua một số lượng lớn ví tiền điện tử để che giấu nguồn gốc thực sự của tài sản và làm chậm các nỗ lực truy tìm của các điều tra viên.

Bộ trộn eXch dường như đã cố tình rửa hàng chục triệu đô la giá trị tài sản bị đánh cắp, bất chấp lời kêu gọi ngăn chặn việc này từ Bybit. Các tài sản bị đánh cắp chủ yếu được chuyển đổi thành Bitcoin nhằm cố gắng che giấu dấu vết tiền.

Tuy nhiên, đại diện của eXch đã phủ nhận việc rửa tiền bị đánh cắp từ Bybit, nói rằng "eXch không rửa tiền cho Lazarus đến từ Triều Tiên" và rằng "một phần nhỏ tiền từ vụ hack ByBit cuối cùng đã vào địa chỉ của eXch là một trường hợp riêng lẻ và là phần duy nhất được sàn giao dịch này xử lý, tuy nhiên khoản tiền này sẽ được quyên góp cho lợi ích công cộng.

Vào tháng 12, công ty phân tích blockchain Chainalysis cho biết, tin tặc Triều Tiên đã đánh cắp 1,34 tỷ đô la trong 47 vụ trộm tiền điện tử vào năm 2024, phá vỡ kỷ lục trước đó là 1,1 tỷ đô la vào năm 2022.

Trong một cuộc tấn công duy nhất vào tháng 3 năm 2022, hai nhóm tin tặc Triều Tiên (Lazarus và BlueNorOff) đã đánh cắp 620 triệu đô la tiền điện tử (173.600 Ethereum và 25,5 triệu USDC token) từ cầu nối mạng Ronin của Axie Infinity.