Sàn giao dịch Bybit mất hơn 1,4 tỷ USD trong vụ hack chấn động nhất lịch sử crypto khi hacker lợi dụng lỗ hổng multisig để chuyển toàn bộ tài sản trong ví lạnh.
Sàn Bybit bị hack 1,4 tỷ USD: trở thành vụ tấn công lớn nhất lịch sử crypto. Ảnh: Protos
Tối ngày 21/02/2025, khi dư âm từ bê bối memecoin LIBRA còn chưa kịp lắng xuống, cộng đồng crypto tiếp tục chấn động trước tin tức Bybit – một trong những sàn giao dịch tiền mã hóa hàng đầu thế giới – bị hacker tấn công và mất hơn 1,4 tỷ USD. Vụ hack không chỉ lập kỷ lục về quy mô thiệt hại trong ngành tiền mã hóa, mà còn là sự cố tấn công để lại hậu quả lớn nhất lịch sử nhân loại.
The NK hack of Bybit is the largest heist of all time, of any medium (Central Bank of Iraq Heist (was ~$1B)
— Conor (@jconorgrogan) February 21, 2025
Its ~10x in $ terms of the 2016 DAO hack (That was a much higher % of supply though, 15% versus <0.5%)
Expect we see some calls for an Ethereum fork here
Top các vụ hack nghiêm trọng nhất lịch sử thị trường tiền mã hóa. Nguồn: DefiLlama (22/02/2025)
Diễn biến vụ tấn công Bybit
Tin tức về vụ hack bắt đầu xuất hiện vào lúc 10:20 PM ngày 21/02, khi thám tử on-chain ZachXBT lên tiếng trên Telegram. Anh cho biết đang theo dõi một lượng tiền đáng ngờ bị rút khỏi ví nóng của Bybit với tổng giá trị lên tới 1,46 tỷ USD. Số tài sản này được chuyển đến địa chỉ 0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2, làm dấy lên lo ngại về một vụ tấn công bảo mật nghiêm trọng.
Theo thống kê, 401.346 ETH, cùng 15.000 cmETH, 8.000 mETH và 90 USDT đã bị chuyển ra khỏi sàn giao dịch với tổng giá trị ước tính lên tới 1,46 tỷ USD.
Just in: According to @zachxbt, Bybit faced a security incident (likely hacked) where $1.44B worth of funds were withdrawn.
— Onchain Lens (@OnchainLens) February 21, 2025
401,347 $ETH worth $1.12B
90,376 $stETH worth $253.16M
15,000 $cmETH worth $44.13M
8,000 $mETH worth $23M
Later, these funds were moved to another wallet.… pic.twitter.com/FAuoRx3Rri
Sau đó, ví 0x47 đã chuyển phần lớn số tiền tới ví Safe có địa chỉ 0xa4b2fd68593b6f34e51cb9edb66e71c1b4ab449e.
Chỉ ít phút sau, ZachXBT tiếp tục cập nhật rằng ví 0xa4 đã bắt đầu swap số stETH và mETH để lấy ETH thông qua 4 sàn DEX khác nhau. ZachXBT khẳng định:
"Nguồn tin của tôi xác nhận Bybit đã bị tấn công bảo mật".
Trước khi rút hơn 400.000 ETH, hacker thực hiện một giao dịch thử nghiệm với 90 USDT, như một bước kiểm tra trước khi cuỗm trọn số tài sản khổng lồ.
— DeFiac (@TheDEFIac) February 21, 2025
Cập nhật từ CEO Bybit
Sau khi thông tin về vụ hack lan rộng, CEO Bybit Ben Zhou cũng chính thức lên tiếng trên X, xác nhận rằng một ví lạnh multisig chứa ETH của sàn đã bị tấn công nhưng nhấn mạnh rằng các ví nóng, warm wallet và các ví lạnh khác vẫn an toàn.
Bybit ETH multisig cold wallet just made a transfer to our warm wallet about 1 hr ago. It appears that this specific transaction was musked, all the signers saw the musked UI which showed the correct address and the URL was from @safe . However the signing message was to change…
— Ben Zhou (@benbybit) February 21, 2025
Trong bài đăng của mình, Ben Zhou cho biết vụ việc xảy ra khi Bybit thực hiện một giao dịch chuyển ETH từ ví lạnh sang warm wallet. Tuy nhiên, giao dịch này đã bị hacker mạo danh giao diện ký (musked UI), khiến tất cả các signer của multisig đều nhìn thấy địa chỉ ví nhận tiền đúng như bình thường nhưng thực tế họ đã vô tình ký vào một lệnh thay đổi logic hợp đồng thông minh của cold wallet ETH. Ben Zhou cho biết:
"Tất cả các signer đã thấy giao diện ký chính xác, URL cũng là của Safe wallet. Nhưng nội dung giao dịch thực chất là một lệnh sửa đổi smart contract của cold wallet, giúp hacker giành toàn quyền kiểm soát và rút hết ETH về một địa chỉ ẩn danh."
Tuy nhiên, ông trấn an người dùng rằng tất cả các cold wallet khác đều an toàn, warm wallet không bị ảnh hưởng, và đặc biệt hoạt động rút tiền trên Bybit vẫn diễn ra hoàn toàn bình thường.
"Bybit có nhiều cold wallet khác nhau, nhưng chỉ duy nhất cold wallet ETH bị tấn công. Mọi hoạt động rút tiền vẫn đang diễn ra như bình thường, không có sự gián đoạn."
CEO Bybit cũng nhấn mạnh rằng sàn có đủ tài sản để bù đắp toàn bộ tổn thất, ngay cả khi số tiền bị đánh cắp không thể thu hồi.
"Bybit hoàn toàn có khả năng bù đắp thiệt hại. Mọi tài sản của khách hàng đều được đảm bảo 1:1. Chúng tôi sẽ cập nhật tình hình ngay khi có diễn biến mới."
Bybit is Solvent even if this hack loss is not recovered, all of clients assets are 1 to 1 backed, we can cover the loss.
— Ben Zhou (@benbybit) February 21, 2025
Dựa trên tính toán nhanh từ các số liệu trong báo cáo 'Reserve Ratios' mới nhất của Bybit, sàn giao dịch dường như vẫn duy trì khả năng thanh toán, bất chấp khoản thất thoát khổng lồ này.
Based on a very quick back of the envelope calculation, of the numbers in the latest @Bybit_Official published "Reserve Ratios", the company still looks solvent, despite the massive loss over $1bnhttps://t.co/JMWu5Luayl https://t.co/879ZZ18raH pic.twitter.com/8jzAh6xBS8
— BitMEX Research (@BitMEXResearch) February 21, 2025
Về phía Bybit, sàn giao dịch cũng phát đi thông báo chính thức, xác nhận rằng sàn giao dịch đã bị tấn công. Hiện tại, đội ngũ bảo mật của Bybit đang phối hợp chặt chẽ với các chuyên gia hàng đầu trong lĩnh vực bảo mật blockchain và các đối tác trong ngành để điều tra vụ việc.
Bybit detected unauthorized activity involving one of our ETH cold wallets. The incident occurred when our ETH multisig cold wallet executed a transfer to our warm wallet. Unfortunately, this transaction was manipulated through a sophisticated attack that masked the signing…
— Bybit (@Bybit_Official) February 21, 2025
Bybit cũng kêu gọi sự hỗ trợ từ các nhóm chuyên gia có kinh nghiệm trong phân tích dữ liệu on-chain và truy vết dòng tiền nhằm nhanh chóng xác định và thu hồi số tài sản bị đánh cắp. Sàn cam kết sẽ liên tục cập nhật tình hình và đưa ra biện pháp xử lý thích hợp để đảm bảo quyền lợi của khách hàng.
Tính tới thời điểm viết bài, hacker đã tiến hành tẩu tán số ETH bị đánh cắp sang nhiều ví mới. Theo dữ liệu từ Arkham, hơn 1,37 tỷ USD ETH đã được chuyển đến 53 địa chỉ ví khác nhau.
WE’VE COMPILED A LIST OF BYBIT HACKER WALLETS
— Arkham (@arkham) February 21, 2025
The Bybit Hacker currently holds $1.37B of ETH and has used 53 wallets so far.
Wallet list below: pic.twitter.com/oQK1MhYkqg
Hiện tại, buổi livestream của CEO Bybit Ben Zhou đã khép lại với những chia sẻ quan trọng bao gồm:
- Bybit đã huy động một khoản vay tạm thời (bridge loan) tương đương 80% giá trị số tiền bị mất, đảm bảo thanh khoản và duy trì hoạt động ổn định.
- Sàn không có kế hoạch mua lại số ETH bị đánh cắp trên thị trường nhằm tránh tạo áp lực tăng giá đột biến cho ETH.
- Nếu cần thiết, Bybit sẽ sử dụng nguồn quỹ dự trữ để bù đắp toàn bộ tổn thất, cam kết bảo vệ tài sản của người dùng.
- Hacker sẽ gặp khó khăn trong việc bán lượng ETH đánh cắp, do hầu hết các nền tảng giao dịch lớn đều có thanh khoản giới hạn và có thể áp dụng biện pháp chặn giao dịch.
- Hiện tại, Bybit vẫn chưa xác định được chính xác phương thức tấn công, nhưng đội ngũ bảo mật đang tiếp tục điều tra để truy vết hacker.
Sau vụ hack, giá ETH lập tức sụt giảm hơn 6%, lao dốc từ 2.838 USD xuống 2.670 USD, đánh dấu mức giảm 2,9% trong 24 giờ qua.
Biến động giá ETH trong 24 giờ qua, ảnh chụp màn hình trên CoinGecko lúc 01:30 AM ngày 22/02/2025
Chịu tác động nặng nề nhất là MNT – token sàn của Bybit – khi lao dốc hơn 15,5%, rơi từ 1,05 USD xuống chỉ còn 0,87 USD và vẫn chưa có dấu hiệu hồi phục.
Biến động giá MNT trong 24 giờ qua, ảnh chụp màn hình trên CoinGecko lúc 01:30 AM ngày 22/02/2025
Phản ứng từ cộng đồng crypto
Vụ hack Bybit ngay lập tức khuấy động cộng đồng crypto, thu hút sự chú ý của các KOL, chuyên gia bảo mật và những tên tuổi lớn trong ngành, tất cả đều đưa ra phân tích và tranh luận về sự cố chấn động này.
Công ty bảo mật blockchain Slowmist đã vạch trần cách hacker khai thác lỗ hổng trong hệ thống ví lạnh multisig của sàn. Cụ thể, hacker đã sử dụng hàm DELEGATECALL để chiếm quyền kiểm soát ví lạnh của Bybit mà không cần thay đổi địa chỉ hay đánh cắp private key.
The malicious upgrade logic was embedded via `DELEGATECALL` at STORAGE[0x0]https://t.co/NDewU2jguG pic.twitter.com/FPw6Nh7Zdn
— SlowMist (@SlowMist_Team) February 21, 2025
Để dễ hiểu, hãy tưởng tượng ví lạnh của Bybit giống như một két sắt thông minh, chỉ có người của Bybit mới có mã mở khóa. Bình thường, nếu ai đó muốn lấy tiền từ két sắt, họ phải nhập đúng mã và được hệ thống xác nhận.
Nhưng hacker không cố gắng bẻ khóa két sắt. Thay vào đó, chúng lén thay đổi phần mềm điều khiển của két, khiến nó hiểu lệnh theo cách của họ. Ban đầu, những người kiểm soát ví lạnh Bybit vẫn nhập mã mở khóa như bình thường nhưng thực ra họ đang mở két theo lệnh của hacker mà không hề hay biết. Trên blockchain, hacker đã dùng hàm DELEGATECALL để thay đổi "bộ điều khiển" của ví lạnh, lưu trữ tại STORAGE[0x0] – nơi giữ các quy tắc hoạt động của ví. Khi thay đổi phần này, ví lạnh tưởng rằng lệnh rút tiền là hợp lệ, nhưng thực tế, nó đã bị hacker lập trình lại để gửi hết tiền sang ví của họ.
Tài khoản Joseph (@JosephWeb3_) nhanh chóng nhận ra điểm tương đồng đáng chú ý trong phát biểu của Ben Zhou. Lời khẳng định rằng Bybit có đủ tài sản để bù đắp toàn bộ tổn thất nghe rất quen thuộc—trước đây, cả Do Kwon và Sam Bankman-Fried cũng từng mạnh miệng tuyên bố tài sản được đảm bảo 1:1, nhưng kết cục ra sao thì ai cũng biết: LUNA và FTX đều sụp đổ, trở thành hai trong số những vụ hack gây thiệt hại lớn nhất lịch sử crypto.
They all said the same thing
— Joseph | Web3 Ghostwriter 🐻⛓️ (@JosephWeb3_) February 21, 2025
But Bybit might have funds to cover the $1.5B hacked asset.
The problem now, we might see panic selling on ETH more.
Another opportunity to buy the dip? pic.twitter.com/v9woABvCRe
Tuy nhiên, Joseph không cho rằng Bybit sẽ đi vào vết xe đổ của họ. Anh tin rằng sàn có đủ tiềm lực tài chính để gánh khoản lỗ này, và thậm chí còn xem đây là một cơ hội để "bắt đáy" Ethereum trước thềm nâng cấp Pectra.
Cựu CEO Binance Changpeng Zhao (CZ) cũng lên tiếng về vụ hack của Bybit, thừa nhận đây là một tình huống không dễ xử lý. Ông đề xuất Bybit nên tạm dừng tất cả các lệnh rút tiền trong thời gian ngắn như một biện pháp an toàn tiêu chuẩn nhằm kiểm soát rủi ro và ngăn chặn hacker tiếp tục tẩu tán tài sản. CZ cũng khẳng định sẵn sàng hỗ trợ Bybit nếu cần thiết và chúc đội ngũ sàn may mắn trong quá trình xử lý sự cố.
Not an easy situation to deal with. Might suggest to halt all withdrawals for a bit as a standard security precaution. Will provide any assistance if needed. Good luck! 🙏
— CZ 🔶 BNB (@cz_binance) February 21, 2025
Dữ liệu on-chain cho thấy Binance và Bitget đã nạp đến hơn 50.000 ETH vào ví lạnh của Bybit để hỗ trợ sàn trong thời khắc khó khăn hiện tại.
Binance and Bitget just deposited 50k+ ETH directly into Bybit's cold wallets. Bitget's deposits are especially interesting; its 1/4 of all of the exchange's ETH! (that I can see)
— Conor (@jconorgrogan) February 21, 2025
Since they skipped a deposit address, these funds were coordinated directly by Bybit themselves pic.twitter.com/yimpcYpLx7
Nền tảng phân tích on-chain Arkham Intelligence cũng tuyên bố treo thưởng để truy tìm danh tính kẻ đứng sau vụ hack Bybit.
"Chúng tôi đã tạo và tài trợ một khoản thưởng nhằm hỗ trợ xác định cá nhân hoặc tổ chức chịu trách nhiệm cho vụ hack Bybit trị giá hơn 1 tỷ USD hôm nay. Mọi thông tin gửi về sẽ được chia sẻ trực tiếp với đội ngũ Bybit để hỗ trợ điều tra. Phần thưởng: 50.000 ARKM."
Chỉ ít giờ sau, Arkham tuyên bố "thám tử on-chain" ZachXBT đã thu thập đủ bằng chứng cho thấy thủ phạm đứng sau vụ hack Bybit là nhóm tin tặc khét tiếng Lazarus Group có liên hệ với Triều Tiên và đã quyết định trao thưởng cho người này, đồng thời chia sẻ bằng chứng cho đội ngũ Bybit để hỗ trợ công tác điều tra và khắc phục hậu quả. ZachXBT tiết lộ đã tìm được chứng cứ liên kết vụ hack Bybit với vụ tấn công sàn Phemex 70 triệu USD hồi tháng 1, vốn đều được thực hiện bởi Lazarus Group.
TLDR myself and Josh from CF connected the Bybit hack on-chain to the Phemex hack
— ZachXBT (@zachxbt) February 21, 2025
Ethena, dự án DeFi nắm giữ lượng lớn ETH trên các sàn giao dịch, thì thông báo rằng ETH của họ được giữ riêng tại một đơn vị lưu ký bên thứ ba có liên hệ với Bybit, do đó không bị ảnh hưởng bởi sự cố kể trên.
We are aware of the situation currently evolving with Bybit and are continuing to monitor developments.
— Ethena Labs (@ethena_labs) February 21, 2025
As a reminder: all spot assets backing USDe are held in off exchange custody solutions, including ByBit via Copper Clearloop for this precise reason.
Not a single dollar of…
Thống kê chỉ ra cho thấy với lượng ETH đang nắm giữ, hacker sàn Bybit đã trở thành chủ thể sở hữu nhiều ETH thứ 14 thế giới khi kiểm soát đến 0,42% lượng cung, xếp trên cả Ethereum Foundation và nhà sáng lập Vitalik Buterin.
The Bybit hacker (Most likely N.K. ) is now the 14th largest ETH holder in the world
— Conor (@jconorgrogan) February 21, 2025
They hold roughly 0.42% of total supply, more than Fidelity, Vitalik, and 2x +what the Ethereum Foundation holds pic.twitter.com/ZMGY2Bx1B3
Chuyên gia bảo mật @tayvano_ thì đưa ra thống kê cho thấy hacker Triều Tiên mới chỉ tiến hành 4 vụ tấn công crypto trong hai tháng đầu năm 2025, nhưng đã nhanh chóng lập kỷ lục về số tiền lấy cắp cao nhất kể từ khi được thống kê từ năm 2016, với sự cố Bybit góp đến 90% thiệt hại.
Can someone ask DPRK if they get to take the rest of the year off now?
— Tay 💖 (@tayvano_) February 21, 2025
Or is it more like a pizza party situation where they get new quotas Monday morning? 🤔 pic.twitter.com/4A60dVOhyq
Bên cạnh đó, nhiều người dùng cũng trêu đùa vụ hack này bằng những dòng tweet chế giễu. Một trong những câu đùa lan truyền nhanh nhất là:
"Cuối cùng cũng nhận được tiền hoàn trả từ FTX. Mất tận 2,5 năm chờ đợi, nhưng giờ thì đã có lại tiền rồi. Vừa nạp vào Bybit, giờ thì long gì đây?"
Câu nói này ám chỉ sự trớ trêu khi những người dùng từng bị mắc kẹt trong vụ sụp đổ của FTX cuối cùng cũng nhận được tiền hoàn lại sau hơn hai năm chờ đợi, chỉ để ngay lập tức gửi vào Bybit—nơi vừa trở thành nạn nhân của vụ hack lớn nhất lịch sử.
Cập nhật chiều ngày 22/02/2025:
Đến 02:36 PM ngày 22/02, thám tử on-chain ZachXBT xác nhận nhóm Lazarus Group đã tiến hành chuyển 5.000 ETH (khoảng 13,4 triệu USD) được chuyển sang một ví mới vào lúc 06:28 AM UTC, đồng thời sử dụng giao thức trộn coin eXch nhằm che giấu dòng tiền và tiến hành rửa tiền.
Song song đó, một phần tài sản đã được Lazarus chuyển sang mạng Bitcoin thông qua Chainflip tới địa chỉ bc1qlu4a33zjspefa3tnq566xszcr0fvwz05ewhqfq.
Coin68 tổng hợp
