Chainalysis vừa công bố báo cáo chi tiết về vụ tấn công Bybit, hé lộ cách nhóm hacker Lazarus đến từ Triều Tiên thực hiện vụ trộm tiền điện tử lớn nhất lịch sử. Đồng thời, cộng đồng blockchain cũng đã vào cuộc và đóng băng được 40 triệu USD từ số tiền bị đánh cắp.
Chiến thuật tấn công tinh vi
Vụ hack xảy ra vào ngày 21/2, khi sàn giao dịch Bybit bị tấn công và mất khoảng 1,46 tỷ USD dưới dạng Ethereum và các token khác. Các chuyên gia bảo mật từ Blockaid đánh giá đây là vụ hack sàn giao dịch tiền điện tử lớn nhất từ trước đến nay. Nhà điều tra blockchain ZachXBT cũng xác định nhóm tin tặc đứng sau chính là Lazarus Group, tổ chức hacker khét tiếng của Triều Tiên.
Theo báo cáo từ Chainalysis, cuộc tấn công bắt đầu bằng một chiến dịch phishing (lừa đảo qua email hoặc tin nhắn) nhắm vào những người có quyền ký giao dịch từ ví lạnh của Bybit. Sau khi chiếm được quyền kiểm soát, tin tặc đã thay thế hợp đồng thực thi ví đa chữ ký bằng một phiên bản độc hại, từ đó có thể thực hiện giao dịch rút tiền trái phép.
Hacker sau đó chờ một giao dịch chuyển tiền định kỳ từ ví lạnh của Bybit sang ví nóng, rồi can thiệp và chuyển hướng khoảng 401.000 ETH (tương đương 1,46 tỷ USD) sang các địa chỉ do chúng kiểm soát.
Hệ thống rửa tiền phức tạp
Sau khi lấy được số tiền khổng lồ này, hacker đã áp dụng các chiến thuật rửa tiền tinh vi. Theo Chainalysis, số tiền bị đánh cắp được chia nhỏ qua nhiều ví trung gian nhằm làm rối loạn dấu vết giao dịch và gây khó khăn cho các nhà phân tích blockchain.
Tiếp theo, tin tặc đã đổi một phần ETH sang Bitcoin và Dai thông qua các DEX (sàn giao dịch phi tập trung) và sử dụng các cross-chain bridges (cầu nối chuỗi khối) để di chuyển tài sản qua nhiều blockchain khác nhau. Điều đáng chú ý là chúng sử dụng các nền tảng không yêu cầu KYC (xác minh danh tính), khiến việc lần theo dấu vết càng trở nên khó khăn.
Chainalysis nhận định rằng chiến thuật của nhóm Lazarus không chỉ là chia nhỏ tài sản, mà còn bao gồm việc “đóng băng” số tiền trong nhiều ví khác nhau trong thời gian dài. Điều này nhằm tránh sự giám sát ngay sau vụ tấn công, chờ cho đến khi sự quan tâm của cộng đồng giảm dần rồi mới thực hiện bước rửa tiền tiếp theo.
Nỗ lực ngăn chặn từ cộng đồng
Mặc dù hacker đã sử dụng các biện pháp che giấu phức tạp, nhưng nhờ tính minh bạch của blockchain, các công ty bảo mật và cộng đồng tiền điện tử vẫn có thể theo dõi các giao dịch đáng ngờ.
Chainalysis đã phối hợp với nhiều đối tác trong ngành để đóng băng hơn 40 triệu USD từ số tiền bị đánh cắp. Công ty này cam kết sẽ tiếp tục hợp tác với cả khu vực công và tư nhân để thu hồi nhiều nhất có thể.
Trong một tuyên bố với Cointelegraph, Chainalysis nhấn mạnh rằng vụ hack này là lời cảnh báo về sự cần thiết của các biện pháp phòng ngừa mối đe dọa ngay từ đầu. Đồng thời, các sàn giao dịch cũng cần nâng cao tính minh bạch trong bảo vệ tài sản của người dùng.
Bybit hiện đang làm việc với các cơ quan thực thi pháp luật và các chuyên gia bảo mật để điều tra vụ tấn công. Tuy nhiên, vụ việc này tiếp tục gióng lên hồi chuông cảnh báo về các rủi ro bảo mật trong ngành tiền điện tử, đặc biệt là trước những nhóm hacker có tổ chức như Lazarus Group.