Vụ 1,5 tỷ USD tiền mã hóa bốc hơi sau 1 giao dịch duy nhất, chuyên gia nhận định: “Dùng con người lừa con người vẫn là vũ khí hiệu quả nhất của tin tặc”

Diễn biến sự việc

Vụ trộm gồm 401.000 ETH (token mặc định của nền tảng blockchain Ethereum) với tổng trị giá khoảng 1,5 tỷ đô la Mỹ. Cục Điều tra Liên bang Mỹ (FBI) cáo buộc vụ tấn công này do tin tặc Triều Tiên gây ra, và điều tra viên tiền mã hóa ZachXBT xác định nhóm tin tặc này chính là Lazarus, một nhóm với nhiều năm kinh nghiệm thực hiện các vụ trộm tiền mã hóa tinh vi.

Số tiền khổng lồ trên đã được chuyển từ ví lạnh của ByBit sang một ví nóng. Ví lạnh (cold wallet) là một phương thức lưu trữ ngoại tuyến nhằm giữ tiền an toàn và tránh xa tin tặc. Còn ví nóng (hot wallet) là loại ví tiền điện tử được kết nối internet, cho phép giao dịch thuận tiện nhưng dễ bị hack và trộm cắp hơn.

Để tăng cường lớp bảo vệ cho các giao dịch trên ByBit, nền tảng này đã sử dụng một giải pháp ví đa chữ ký do Safe cung cấp. Safe là một dịch vụ lưu ký phi tập trung phổ biến được nhiều tổ chức tin tưởng.

Tiến sĩ Jeff Nijsse, giảng viên cấp cao ngành Kỹ thuật phần mềm Đại học RMIT và chuyên gia về tiền mã hóa, giải thích: “Ví đa chữ ký giống như một chiếc két kỹ thuật số cần nhiều chìa khóa để mở. Trong trường hợp này, một số người được ủy quyền, được gọi là người ký, phải chấp thuận giao dịch bằng cách nhấn nút 'chấp nhận' trên thiết bị của họ”.

“Hệ thống này nhằm đảm bảo rằng không một cá nhân nào có thể tự mình di chuyển một khối tiền. Nhưng bất chấp những biện pháp bảo vệ này, kẻ tấn công vẫn tìm được cách xâm nhập”, ông nói thêm.

Kẻ tấn công đã truy cập thành công và thay đổi giao diện ví Safe, khiến nó trông giống hệt với giao diện hợp pháp. Do đó, cả ba người có thẩm quyền ký duyệt ở ByBit không có lý do gì để nghi ngờ hành vi gian lận.

Người cuối cùng ký chính là CEO của ByBit, Ben Zhou. Ông tưởng rằng mình đang duyệt một khoản tiền thông thường trên sàn giao dịch tiền điện tử. Nhưng trên thực tế, hành động này đã cho phép tin tặc thâu tóm toàn bộ giá trị của tài khoản, gồm khoảng 401.000 ETH.

Lỗ hổng ở đâu?

Tiến sĩ Nijsse chỉ ra rằng cuộc tấn công đã khai thác một lỗ hổng quan trọng: bảo mật đa chữ ký phụ thuộc vào tính toàn vẹn của người ký và nền tảng thực hiện chữ ký. Nếu giao diện của nền tảng mà họ tin tưởng sử dụng bị xâm phạm, biện pháp bảo vệ đa chữ ký sẽ không còn phù hợp.

"Kẻ tấn công không cần phải đánh cắp chìa khóa mà chỉ cần thuyết phục đủ số người ký – hoặc thiết bị của họ – chấp thuận giao dịch độc hại, mà trong môi trường blockchain thì giao dịch như vậy là một chiều và không thể thu hồi", ông nói.

Tiến sĩ James Kang, giảng viên cấp cao ngành Khoa học máy tính tại RMIT, cho rằng nhóm tin tặc đã rất khó khăn mới thực hiện được phi vụ này. Có khả năng chúng đã theo dõi các giao dịch trong một thời gian dài để hiểu rõ tính chất và thời điểm của các dòng giao dịch này.

"Nhóm tin tặc này từ lâu đã được biết đến với kỹ năng tấn công phi kỹ thuật rất tinh vi. Chúng thường dành nhiều tuần hoặc nhiều tháng để xây dựng các nhân vật trực tuyến nhằm giành được lòng tin của mục tiêu tấn công", Tiến sĩ Kang cho biết.

“Sự kiên trì đó rất có thể đã giúp tội phạm can thiệp được vào giao diện người dùng của từng nhân viên ByBit có thẩm quyền ký duyệt việc chuyển tiền ra khỏi ví lạnh – với đích cuối là ví do tin tặc kiểm soát – tất cả đều ở tốc độ nhanh chóng mặt".

Làm gì tiếp theo?

Các tổ chức tiền mã hóa đã phản ứng mạnh mẽ, với nhiều động thái thúc đẩy sử dụng các công cụ nâng cao tính minh bạch và bảo mật của giao dịch (chẳng hạn như quyết định thúc đẩy "Clear Signing" của ví Ledger và lời kêu gọi dùng ví điện toán đa bên MPC của Fireblocks).

Ngoài ra còn có những lời kêu gọi Ethereum thực hiện một bản nâng cấp triệt để (hard fork) và đảo ngược nền tảng blockchain này về trạng thái trước giao dịch hack, qua đó trả lại số tiền bị đánh cắp, giống như cách giải quyết gây tranh cãi sau vụ The DAO Hack năm 2016.

Vụ tấn công xảy ra trong quá trình chuyển tiền thông thường từ ví lạnh sang ví ấm. Kết quả điều tra sơ bộ cho thấy giao diện người dùng của Safe đã bị xâm phạm bằng Javascript độc hại. Sau sự vụ này, Safe đã triển khai thêm các xác thực cho hàm băm (hash) giao dịch, cũng như xác thực dữ liệu và chữ ký, cùng một số hoạt động giám sát nâng cao. ByBit đã khởi tạo một trang web để các nhà điều tra nghiệp dư có thể giúp theo dõi dòng tiền, kiếm tiền thưởng và chỉ ra những kẻ xấu cho phép tiền bị đánh cắp lưu thông.

Tiến sĩ Jeff Nijsse cho biết: "Ngay cả với các hợp đồng thông minh được kiểm toán và thử nghiệm hay chức năng đa chữ ký và phần cứng an toàn, thì lừa đảo và tấn công phi kỹ thuật – tức là lừa con người thay vì phá mã – vẫn tiếp tục là vũ khí hiệu quả nhất của tin tặc".

"Trong tương lai, các biện pháp xác thực và bảo vệ sẽ trở nên quan trọng hơn, chẳng hạn như xác minh trực tiếp và đặt ra các giới hạn tích hợp cũng như khoảng nghỉ cần thiết trong quá trình xử lý giao dịch", ông nói thêm.

Linh San