Sự Cố Bảo Mật Bybit: Lịch Sự Kiện và Câu Hỏi Thường Gặp

Bắt Đầu
Mar 3, 2025

Giới Thiệu

Bybit đã phải chịu một sự cố hack lớn vào ngày 21/2/2025, ảnh hưởng đến một trong những ví lạnh Ethereum của Bybit và dẫn đến tổn thất gần $1,5 tỷ. Việc khai thác này liên quan đến Tập đoàn Lazarus Bắc Triều Tiên được nhà nước hậu thuẫn.

Lịch Sự Kiện

Ngày 21/2/2025, 13:30 giờ UTC – Bybit đã tiến hành chuyển định kỳ từ một trong các ví lạnh đa chữ ký Ethereum sang ví ấm, trước tiên chuyển số tiền 30.000 ETH.

Ngày 21/2/2025, 14:13 giờ UTC – Tin tặc đã khai thác giao diện người dùng của ví lạnh đa chữ ký An toàn thông qua một cuộc tấn công lừa đảo tinh vi, thúc đẩy giao dịch cụ thể dẫn đến thay đổi logic hợp đồng thông minh của ví lạnh ETH.

Điều này cho phép tin tặc chuyển tiền từ ví lạnh bị xâm phạm, chia thành 39 địa chỉ.

Mất bao nhiêu trong vụ tấn công?

Chỉ một ví lạnh Bybit duy nhất bị xâm phạm, dẫn đến tổn thất $1,46 tỷ:

  • 401.347 ETH ($1,12 tỷ)

  • 90.375 stETH ($253,16 triệu)

  • 15.000 cmETH ($44,13 triệu)

  • 8.000 mETH ($23 triệu)

Ngày 21/2/2025, 15:44 giờ UTC – Người đồng sáng lập kiêm CEO của Bybit, Ben Zhou, đã tweet về tình hình đang phát triển, thông báo sớm cho cộng đồng rằng tin tặc "đã kiểm soát ví lạnh ETH cụ thể" và đảm bảo với người dùng rằng Bybit là dung môi và có thể bù lỗ, đảm bảo tài sản của khách hàng được hỗ trợ 1:1.

Ngày 21/2/2015, 16:07 giờ Việt Nam Ben nhắc lại trong bài đăng X của mình rằng "Bybit là Dung Môi ngay cả khi tổn thất do hack này không được phục hồi, tất cả tài sản của khách hàng đều được hỗ trợ từ 1 đến 1, chúng tôi có thể bù lỗ."

Ngày 21/2/2025, 17:15 giờ UTC – CEO Ben Zhou của Bybit đã phát trực tiếp để giải thích tình hình một cách minh bạch cho những người dùng bị ảnh hưởng.

Vụ tấn công xảy ra như thế nào?

Thông qua một cuộc tấn công lừa đảo trên ví lạnh Ethereum, giao dịch và Giao diện người dùng an toàn đã bị giả mạo, cho phép tin tặc thay đổi logic hợp đồng thông minh của ví đa chữ ký. Điều này cho phép tin tặc kiểm soát ví lạnh Bybit và chuyển tiền. Đội ngũ của chúng tôi vẫn đang điều tra cách tin tặc có thể giả mạo ví lạnh và sẽ sớm phát hành báo cáo hậu tử đầy đủ.

Không có kế hoạch mua ETH

Người đồng sáng lập kiêm CEO của Bybit, Ben Zhou, đã tuyên bố trong một buổi livestream rằng hiện không có kế hoạch mua ETH. Tuy nhiên, ông nhấn mạnh rằng công ty đang tích cực tìm kiếm sự hỗ trợ và tận dụng các khoản vay cầu nối từ các đối tác để điều hướng các hạn chế thanh khoản trong thời gian quan trọng này.

Các ví lạnh khác an toàn

Ben làm rõ rằng Bitcoin vẫn là tài sản dự trữ chính và các ví lạnh khác vẫn không bị ảnh hưởng.

Rút tiền như bình thường

Ben trấn an người dùng rằng tất cả các sản phẩm và dịch vụ đang hoạt động như bình thường. Việc rút tiền không bị tạm dừng và tiếp tục được xử lý như bình thường.

Dịch Vụ P2P Thông Thường

Trưởng bộ phận Phái Sinh và Doanh Nghiệp của Bybit, Shunyet Jan, đã xác nhận trong buổi livestream rằng các dịch vụ P2P của nền tảng này đang hoạt động bình thường.

Ngày 21/2/2025, 19:09 giờ Việt Nam – ZachXBT đã gửi bằng chứng xác thực liên quan đến vụ tấn công này với Lazarus Group, một tổ chức tội phạm mạng của Triều Tiên, tuyên bố nhận thưởng từ Arkham Intelligence. Phân tích của ông bao gồm các giao dịch thử nghiệm, ví được kết nối, đồ thị pháp y và chi tiết thời gian. Theo ZachXBT, cụm địa chỉ cũng được liên kết với vụ tấn công Phemex và BingX.

Ngày 21/2/2025, 20:09 giờ UTC – Bitget đã nạp 40.000 ETH, thể hiện sự ủng hộ mạnh mẽ của các đối tác trong ngành và các đối tác ngang hàng .

Ngày 21/2/2025, 21:07 giờ UTC Bybit đã báo cáo vụ việc cho các cơ quan chức năng thích hợp và sẽ cung cấp thông tin cập nhật ngay khi có thêm thông tin. Bybit tích cực hợp tác với các nhà cung cấp phân tích on-chain để xác định và demix các địa chỉ liên quan.

Ngày 22/2/2025, 00:54 giờ Việt Nam – Ben thông báo rằng 99,994% trong số hơn 350.000 yêu cầu rút tiền đã được xử lý 10 giờ sau vụ tấn công, với đội ngũ Bybit làm việc suốt ngày đêm để đảm bảo hoạt động suôn sẻ và đảm bảo mối quan ngại của khách hàng.

Ngày 22/2/2025, 01:08 giờ Việt Nam Safe xác nhận rằng không có sự xâm phạm của cơ sở mã hoặc các phần phụ thuộc độc hại và không có địa chỉ An Toàn nào khác bị ảnh hưởng. Sau sự cố, Safe đã tạm dừng chức năng Ví để tiến hành xem xét kỹ lưỡng dịch vụ.

Ngày 22/2/2025, 01:21 giờ Việt Nam Hacken tuyên bố rằng Bybit hack là đáng kể và gây ra một cú sốc nặng nề cho ngành. Tuy nhiên, dự trữ của Bybit vẫn vượt quá các khoản nợ và tài sản của người dùng vẫn được hỗ trợ đầy đủ.

Ngày 22/2/2025, 02:51 giờ Việt Nam — Ben tweet rằng tất cả các khoản rút đã được xử lý và đã hoạt động trở lại bình thường, chưa đầy 12 giờ sau sự cố tấn công $1,4 tỷ – lớn nhất trong ngành.

Ngày 22/2/2025, 07:29 giờ Việt Nam Theo dữ liệu giám sát mới nhất từ SoSoValue và đội ngũ bảo mật on-chain TenArmor, hơn 4 tỷ đô la tiền đã chảy vào nền tảng giao dịch Bybit trong 12 giờ qua. Phân tích dòng vốn so sánh chỉ ra rằng dòng vốn này đã bù đắp hoàn toàn sự thiếu hụt do vụ hack hôm qua.

Ngày 22/2/2025, 08:52 giờ Việt Nam Chainflip đã trả lời trên X, nói rằng mặc dù họ đã nỗ lực hết sức để hỗ trợ, với tư cách là một giao thức phi tập trung, nhưng họ không thể chặn, đóng băng hoặc chuyển hướng hoàn toàn bất kỳ khoản tiền nào.

Ngày 22/2/20225, 11:00 giờ UTC Ben và Shunyet đã tổ chức AMA bằng tiếng Trung với ETHPanda, Wu Blockchain, Gracy Chen và những người tham gia khác, để thảo luận về sự cố hack và chia sẻ thông tin chi tiết về cách quản lý sự cố.

Ngày 22/2/2025, 13:15 giờ UTC – CEO Tether, Paolo Ardoino, thông báo Tether đã đóng băng $181.000 USDT liên quan đến vụ tấn công.

Ngày 22/2/2025, lúc 13:45 giờ Việt Nam – Bybit đã xử lý khoản rút khoảng $4 tỷ sau đợt bùng nổ sau đó. Hacken xác nhận rằng tài sản người dùng của Bybit vẫn được hỗ trợ đầy đủ, với dự trữ vẫn vượt quá nợ phải trả.

Ngày 22/2/2025, 15:32 giờ Việt Nam – Bybit ra mắt Chương Trình Thưởng Phục Hồi với phần thưởng 10% số tiền bị đánh cắp. Để tham gia, hãy liên hệ với Bybit theo địa chỉ bounty_program@bybit.com

Ngày 22/2/2025, 16:01 giờ Việt Nam – Ben đã tham gia một AMA trực tiếp với Tòa Thị Chính Crypto, nói về cách anh xử lý tình huống sau vụ tấn công, sự hỗ trợ trong ngành mà Bybit nhận được từ các đồng nghiệp như Bitget, Binance và cách đội ngũ Bybit làm việc không mệt mỏi để xử lý cuộc khủng hoảng. Ben cũng tuyên bố rằng việc khôi phục Ethereum nên là một quyết định của cộng đồng, có thể thông qua một cuộc bỏ phiếu, chứ không phải là một lựa chọn cá nhân.

Ngày 23/2/2025, 04:32 giờ Việt Nam Ben nhấn mạnh rằng vấn đề này vượt ra ngoài Bybit hoặc bất kỳ thực thể nào,

nói, "Đó là về cách tiếp cận của ngành chúng ta với tin tặc." Ông kêu gọi @eXch xem xét lại và hỗ trợ ngăn chặn dòng tiền chảy ra.

Từ 08:55 ngày 23/2/2025 - Bybit thông báo rằng tất cả các khoản nạp và rút tiền đã trở lại mức bình thường.

15:41 ngày 23/2/2025 - $42,89 triệu tiền bị khai thác đã bị đóng băng nhờ nỗ lực phối hợp của các đối tác trong ngành, bao gồm Tether, Thorchain, ChangeNOW, FixedFloat, Avalanche, CoinEx, Bitget và Circle. Ngoài ra, Giao thức mETH đã thu hồi 15.000 token cmETH, trị giá gần $43 triệu.

Ngày 24/2/2025, 02:35 giờ Việt Nam — 2 ngày sau vụ tấn công, Bybit đã nhận được ETH $1,23 tỷ

thông qua các khoản vay cầu nối, nạp cá voi và mua OTC, bù đắp hiệu quả thâm hụt ETH từ việc khai thác.

Ngày 24/2/2025, 09:12 giờ UTC – Hacken, một công ty bảo mật blockchain độc lập, đã công bố báo cáo proof-of-reserves (PoR) cập nhật. Bybit đã thu hẹp hoàn toàn khoảng cách ETH của tài sản khách hàng trong vòng 72 giờ, thông qua quan hệ đối tác chiến lược với Galaxy Digital, FalconX, Wintermute, v.v., cùng với sự hỗ trợ từ Bitget, MEXC và DWF Labs. Các tài sản chính như BTC, ETH, SOL, USDT và USDC vượt quá tỷ lệ ký quỹ 100%. Người dùng có thể đọc báo cáo đầy đủ tại đây: https://www.bybit.com/app/user/audit-report

Ngày 25/2/2025, 14:40 giờ UTC – Ben Zhou, CEO của Bybit, đã công bố ra mắt chương trình LazarusBounty – nền tảng tiền thưởng đầu tiên trong ngành nhằm mục đích cụ thể là thu hồi tiền bị Tập đoàn Lazarus do nhà nước Triều Tiên hậu thuẫn bị đánh cắp trong vụ tấn công Bybit.

Ngày 26/2/2025, 15:17 giờ UTC – Ben Zhou, CEO của Bybit, đã chia sẻ các báo cáo sơ bộ về vụ tấn công do Sygnia Labs và Verichains thực hiện. Cả hai báo cáo đều cho rằng nguyên nhân gốc rễ của vụ tấn công là do mã JavaScript độc hại trên nền tảng của Safe{Wallet} và không phát hiện lỗ hổng nào trong cơ sở hạ tầng của Bybit. Để biết thêm thông tin, hãy tải xuống báo cáo tại đây.

Ngày 28/2/2025, 13:25 giờ Việt Nam – Ben công bố bản cập nhật V1.1 cho nền tảng LazarusBounty, bổ sung phân tích địa chỉ hacker xuyên chuỗi, kênh Discord, số dư ví địa chỉ hacker và xếp hạng đã xác minh của các thợ săn tiền thưởng.

#LearnWithBybit