Hack hàng tỷ đô la của Bybit: Một chuyến đi hoang dã qua Laundromat của Triều Tiên

by

Hack hàng tỷ đô la của Bybit: Một chuyến đi hoang dã qua Laundromat của Triều Tiên

Vụ hack trị giá 1,4 tỷ đô la chống lại Bybit là một vụ khai thác lớn nhất trong lịch sử tiền điện tử – đó là một thử nghiệm lớn về khả năng quản lý khủng hoảng của ngành công nghiệp, làm nổi bật sự trưởng thành của nó kể từ khi FTX sụp đổ.

Vào ngày 21 tháng 2, Tập đoàn Bắc Triều Tiên Lazarus đã kiếm được 1,4 tỷ đô la Ether (ETH) và các mã thông báo liên quan trong một vụ vi phạm ban đầu gửi ớn lạnh trên toàn bộ thế giới tiền điện tử nhưng nhanh chóng bị dập tắt khi ngành công nghiệp tập hợp lại Bybit để quản lý Fallout.

Ở đây, một cái nhìn về cách cuộc tấn công diễn ra, Bybit phản ứng như thế nào và nơi các quỹ bị đánh cắp đang di chuyển.

21 tháng 2: Bybit hack

Vụ hack Bybit lần đầu tiên được phát hiện bởi Onchain Sleuth Zachxbt, người cảnh báo các nền tảng và trao đổi với các địa chỉ danh sách đen liên quan đến vụ hack.

Ngay sau đó, đồng sáng lập và CEO của Bybit Ben Zhou đã xác nhận việc khai thác và bắt đầu cung cấp thông tin và thông tin về vi phạm.

Một cuộc hành chính sau khi phân tử ban đầu tuyên bố rằng Lazarus đã thực hiện các cuộc tấn công lừa đảo để truy cập vào các quỹ trao đổi, nhưng phân tích sau đó đã được cập nhật để báo cáo rằng tin tặc giành được quyền kiểm soát máy tính của nhà phát triển an toàn thay vì thỏa hiệp các hệ thống BYBIT.

Những kẻ tấn công đã quản lý để định tuyến lại khoảng 401.000 ETH, trị giá 1,14 tỷ đô la tại thời điểm khai thác và di chuyển nó qua một mạng lưới ví trung gian.

21 tháng 2: Bybit đảm bảo ví là an toàn, ethena solvency

Việc trao đổi đã nhanh chóng đảm bảo với người dùng rằng các ví còn lại của nó là an toàn, thông báo chỉ vài phút sau khi Zhou xác nhận việc khai thác rằng tất cả các ví khác của Bybit vẫn hoàn toàn an toàn. Tất cả các quỹ của khách hàng đều an toàn và hoạt động của chúng tôi tiếp tục như bình thường mà không có bất kỳ sự gián đoạn nào.

Một vài giờ sau vụ hack, việc rút tiền của khách hàng vẫn mở. Zhou đã nêu trong một câu hỏi và amp; một phiên mà trao đổi đã phê duyệt và xử lý 70% yêu cầu rút tiền tại thời điểm đó.

Nền tảng tài chính phi tập trung Ethena nói với người dùng rằng StableCoin mang năng suất của nó, USDE, vẫn còn dung môi sau vụ hack. Nền tảng được cho là có 30 triệu đô la tiếp xúc với các công cụ phái sinh tài chính trên BYBIT nhưng đã có thể bù lỗ thông qua quỹ dự trữ của mình.

Ngày 22 tháng 2: Công nghiệp tiền điện tử cho vay Bybit một bàn tay giúp đỡ, tin tặc đã đưa vào danh sách đen

Một số trao đổi tiền điện tử đã tiếp cận để giúp Bybit. Giám đốc điều hành Bitget, Gracy Chen tuyên bố rằng cuộc trao đổi của cô đã cho mượn khoảng 40.000 ETH (khoảng 95 triệu đô la vào thời điểm đó).

Giám đốc điều hành Crypto.com Kris Marszalek cho biết ông sẽ chỉ đạo đội ngũ an ninh của công ty của mình để cung cấp hỗ trợ.

Các trao đổi và trang phục khác bắt đầu đóng băng các quỹ kết nối với vụ hack. Giám đốc điều hành của Tether Paolo Ardoino đã đăng trên X rằng công ty đã đóng băng 181.000 USDT (USDT) kết nối với vụ hack. Giám đốc bảo mật thông tin của Polygon, Mudit Gupta, cho biết nhóm Mantle đã có thể thu hồi khoảng 43 triệu đô la tiền từ các tin tặc.

Zhou đã đăng một lưu ý lời cảm ơn trên X, gắn thẻ một số công ty tiền điện tử nổi tiếng mà ông nói đã giúp Bybit, bao gồm Bitget, Galaxy Digital, Ton Foundation và Tether.

Bybit cũng đã công bố một chương trình tiền thưởng với phần thưởng lên tới 10% số tiền thu hồi được, đặt lên tới 140 triệu đô la để lấy.

22 tháng 2: Chạy khi rút tiền, Lazarus di chuyển tiền

Sau vụ việc, việc rút tiền của người dùng đã khiến tổng giá trị tài sản của Exchange giảm hơn 5,3 tỷ đô la.

Mặc dù đã rút tiền, việc trao đổi vẫn mở các yêu cầu rút tiền, mặc dù có sự chậm trễ và kiểm toán viên chứng minh độc lập của Bybit, Hacken, xác nhận rằng dự trữ vẫn vượt quá các khoản nợ.

Trong khi đó, những con đường mòn blockchain cho thấy Lazarus đã tiếp tục chia tiền vào ví trung gian, làm xáo trộn chuyển động của họ.

Trong một ví dụ, công ty phân tích blockchain, Lookonchain tuyên bố rằng Lazarus đã chuyển 10.000 ETH, trị giá gần 30 triệu đô la, sang một ví được xác định là By Bybit khai thác 54, để bắt đầu rửa tiền.

Công ty bảo mật Blockchain Elliptic đã viết rằng các khoản tiền có khả năng hướng đến một máy trộn – một dịch vụ che giấu các liên kết giữa các giao dịch blockchain – mặc dù điều này có thể chứng minh thách thức do khối lượng tài sản bị đánh cắp.

23 tháng 2: Exch, Bybit tiếp tục khôi phục các quỹ, danh sách đen phát triển

Các nhà phân tích của Blockchain, Zachxbt và Nick Bax đều bị cáo buộc rằng tin tặc có thể rửa tiền trên exch Exch Exch Exch Exchpele của khách hàng. Zachxbt tuyên bố rằng Exch đã rửa 35 triệu đô la và sau đó vô tình gửi 34 ETH đến một ví nóng của một cuộc trao đổi khác.

Exch đã phủ nhận rằng họ đã rửa tiền cho Triều Tiên nhưng thừa nhận đã xử lý một phần tiền không đáng kể từ vụ hack Bybit.

Các quỹ cuối cùng đã nhập địa chỉ của chúng tôi 0xF1DA173228FCF015F43F3EA15ABBBB51F0D8F1123 là một trường hợp bị cô lập và phần duy nhất được xử lý bởi trao đổi của chúng tôi, các khoản phí mà chúng tôi sẽ được quyên góp cho công chúng.

Để giúp xác định các ví có liên quan đến vụ việc, BYBIT đã phát hành giao diện lập trình ứng dụng ví (API) trong danh sách đen. Sàn giao dịch cho biết công cụ này sẽ giúp các tin tặc mũ trắng trong chương trình tiền thưởng đã nói ở trên.

Bybit cũng quản lý để khôi phục dự trữ ether của mình lên gần một nửa vị trí của họ trước vụ hack, phần lớn thông qua việc mua tại chỗ trong các giao dịch không kê đơn sau vụ việc nhưng cũng bao gồm cả Ether cho mượn từ các trao đổi khác.

24 tháng 2: Lazarus phát hiện trên Dexs, Bybit đóng khoảng cách ETH

Các Sleuth Blockchain tiếp tục theo dõi dòng tiền hiện được liên kết với Lazarus. Arkham Intelligence quan sát các địa chỉ liên quan đến các tin tặc trên các sàn giao dịch phi tập trung (DEXS) đang cố gắng đánh đổi tiền điện tử bị đánh cắp cho Dai (Dai).

Một ví nhận được một số ETH bị đánh cắp từ Bybit được báo cáo tương tác với giao thức bầu trời, Uniswap và OKX Dex. Theo nền tảng giao dịch LMK, hacker đã quản lý để trao đổi ít nhất 3,64 triệu đô la.

Không giống như các stablecoins khác như USDT và USDC (USDC), Dai có thể bị đóng băng.

Zhou tuyên bố rằng Bybit đã hoàn toàn đóng cửa Eth Gap, tức là, bổ sung 1,4 tỷ đô la trong Ether bị mất trong vụ hack. Thông báo của ông được theo sau bởi một báo cáo bằng chứng của bên thứ ba.

25 tháng 2: Chiến tranh với Lazarus

Bybit đã ra mắt một trang web chuyên dụng cho các nỗ lực phục hồi của mình, Zhou đã quảng bá trong khi kêu gọi cộng đồng tiền điện tử đoàn kết chống lại Lazarus Group. Trang web phân biệt giữa những người giúp đỡ và những người đã từ chối hợp tác.

Nó nhấn mạnh các cá nhân và thực thể hỗ trợ đóng băng các quỹ bị đánh cắp, trao cho họ một khoản tiền thưởng 10% chia đều giữa phóng viên và thực thể đóng băng tiền.

Nó cũng đặt tên cho Exch là nền tảng duy nhất từ ​​chối giúp đỡ, tuyên bố rằng nó đã bỏ qua 1.061 báo cáo.

Ngày 26 tháng 2: FBI xác nhận các báo cáo về Lazarus và thỏa hiệp an toàn

Cục Điều tra Liên bang Hoa Kỳ (FBI) đã xác nhận sự nghi ngờ được báo cáo rộng rãi rằng các tin tặc Bắc Triều Tiên đã gây ra sự khai thác BYBIT, đặt tên cho các diễn viên thương nhân, được biết đến với cái tên Lazarus Group giữa các vòng tròn an ninh mạng.

Trong một thông báo dịch vụ công cộng, FBI kêu gọi khu vực tư nhân-bao gồm các nhà khai thác nút, trao đổi và cầu nối-để chặn các giao dịch đến từ các địa chỉ liên kết với Lazarus.

FBI đã xác định 51 địa chỉ blockchain đáng ngờ được liên kết với vụ hack, trong khi công ty an ninh mạng Elliptic đã xác định hơn 11.000 trung gian.

Trong khi đó, các cuộc điều tra sau h số cho thấy các thông tin xác thực Safewallet bị xâm phạm đã dẫn đến việc khai thác, chứ không phải thông qua cơ sở hạ tầng BYBIT, như đã báo cáo trước đây.

27 tháng 2: Vụ nổ tập Thorchain

Công ty bảo mật Trm Labs đã đánh dấu tốc độ của các tin tặc Bybit, những nỗ lực rửa sạch như là đặc biệt đáng báo động, với các tin tặc được cho là đã di chuyển hơn 400 triệu đô la vào ngày 26 tháng 2 thông qua các ví trung gian, chuyển đổi tiền điện tử, Bridges và Dexs Crosschain. TRM cũng lưu ý rằng hầu hết các khoản tiền bị đánh cắp đã được chuyển đổi thành Bitcoin (BTC), một chiến thuật thường được liên kết với Lazarus.

Trong khi đó, tình báo Arkham phát hiện ra rằng Lazarus đã di chuyển ít nhất 240 triệu đô la ETH thông qua giao thức Crosschain Thorchain bị trói buộc bằng cách trao đổi nó thành Bitcoin. Cryptomoon nhận thấy rằng tổng khối lượng hoán đổi của Thorchain đã bùng nổ vượt quá 1 tỷ đô la trong 48 giờ.

Nhà phát triển Thorchain, Pluto, đã tuyên bố rời khỏi dự án ngay sau khi bỏ phiếu để chặn các giao dịch liên quan đến tin tặc Bắc Triều Tiên đã bị lật.

Bybit hack có ý nghĩa gì đối với tiền điện tử

Bybit có thể đã có thể khôi phục hoàn toàn dự trữ bị mất của mình, nhưng vụ việc đã đặt ra những câu hỏi lớn hơn về ngành công nghiệp blockchain và cách các vụ hack có thể được giải quyết.

Nhà phát triển Ethereum Tim Beiko nhanh chóng bác bỏ một cuộc gọi để quay lại mạng Ethereum để hoàn lại tiền Bybit. Ông nói rằng vụ hack về cơ bản khác với các sự cố trước đây, thêm vào đó là bản chất liên kết của Ethereum và giải quyết Onchain & Lt; & GT; Các giao dịch kinh tế của Offchain, làm cho điều này trở nên khó khăn ngày hôm nay.

Sự sụp đổ từ khai thác Bybit cho thấy Tập đoàn Lazarus đang trở nên hiệu quả hơn trong việc di chuyển các quỹ dựa trên blockchain. Các nhà điều tra tại Trm Labs nghi ngờ điều này có thể cho thấy sự cải thiện trong cơ sở hạ tầng tiền điện tử của Triều Tiên hoặc các cải tiến trong mạng lưới tài chính ngầm, khả năng hấp thụ các quỹ bất hợp pháp.

Khi giá trị bị khóa trong các nền tảng blockchain phát triển, sự tinh tế của các cuộc tấn công cũng vậy. Ngành công nghiệp vẫn là mục tiêu chính cho các tin tặc nhà nước Bắc Triều Tiên, người đã báo cáo thu nhập của họ để tài trợ cho chương trình vũ khí của mình.

2025-03-03 19:29