1. Attribution: Cục Điều Tra Liên Bang Hoa Kỳ (FBI) đã chính thức liên kết vụ hack trị giá 1,5 tỷ USD của Bybit với những hành động của các nhóm đe dọa đến từ Triều Tiên, cụ thể là Nhóm Lazarus, còn được biết đến với các tên gọi TraderTraitor, Jade Sleet, Slow Pisces, và UNC4899.
2. Phương pháp tấn công: Vụ hack là một cuộc tấn công chuỗi cung ứng nhằm vào nền tảng ví multisig Safe{Wallet}. Những kẻ tấn công đã xâm nhập vào máy của một nhà phát triển tại Safe{Wallet}, cho phép họ chèn mã JavaScript độc hại vào giao diện của Safe. Mã độc này được thiết kế để kích hoạt chỉ khi các điều kiện nhất định được đáp ứng, đảm bảo nó vẫn không bị phát hiện bởi người dùng thông thường trong khi làm tổn hại đến các mục tiêu có giá trị cao.
3. Thực hiện: Cuộc tấn công đặc biệt nhắm vào Bybit bằng cách thao túng một giao dịch dự kiến để chuyển Ethereum (ETH) từ ví lạnh sang ví nóng. Mã độc đã được chèn vào ngày 19 tháng 2 năm 2025, và vụ khai thác Bybit diễn ra vào ngày 21 tháng 2 năm 2025, lúc 14:13 UTC. Mã độc đã bị xóa một phút sau đó, và giao dịch vụ trộm cướp Bybit diễn ra ngay sau đó một phút.
4. Cải tiến bảo mật: Safe{Wallet} đã thực hiện một số cải tiến bảo mật để giảm thiểu vectơ tấn công. Các biện pháp này bao gồm việc đặt lại và thiết lập các biện pháp bảo mật mới để loại bỏ các mối đe dọa đã được xác định và tăng cường bảo mật. Dù đã có những nỗ lực này, vụ hack nêu bật sự cần thiết phải cải thiện UX đáng kể trong quản lý giao dịch an toàn, nhấn mạnh tầm quan trọng của việc xác minh giao dịch một cách kỹ lưỡng vượt ra ngoài những gì được hiển thị trên màn hình.
5. Rửa tiền: Các quỹ bị đánh cắp đã được rửa tiền, với việc những kẻ tấn công chuyển đổi một số tài sản bị đánh cắp sang Bitcoin và các tài sản ảo khác, phân tán qua hàng ngàn địa chỉ trên nhiều blockchain. FBI kỳ vọng rằng những tài sản này sẽ tiếp tục được rửa tiền và cuối cùng được chuyển đổi thành tiền tệ fiat.
6. Cuộc điều tra: Các điều tra viên pháp y từ Sygnia và Verichains đã kết luận rằng vụ tấn công xuất phát từ cơ sở hạ tầng của Safe{Wallet}. Cuộc điều tra cũng tiết lộ rằng tài khoản AWS S3 hoặc CloudFront của Safe.Global có khả năng đã bị rò rỉ hoặc xâm phạm, mở đường cho cuộc tấn công chuỗi cung ứng.
7. Tác động: Vụ hack được coi là vụ trộm tiền ảo lớn nhất trong lịch sử, vượt qua 1,34 tỷ USD bị đánh cắp trong 47 vụ trộm tiền ảo vào năm 2024. Các tác nhân liên quan đến Triều Tiên được ước tính đã đánh cắp hơn 6 tỷ USD tài sản tiền ảo kể từ năm 2017.
Nguồn: https://thehackernews.com/2025/03/safewallet-confirms-north-korean.html
