Vụ điều tra an ninh Bybit đã rõ: Dịch vụ đám mây frontend của SAFE bị tấn công, làm thế nào để bảo vệ an toàn cho hàng ngàn tỷ tài sản được lưu trữ trong ví đa chữ ký
Tuyển chọn TechFlowTuyển chọn TechFlow
Vụ điều tra an ninh Bybit đã rõ: Dịch vụ đám mây frontend của SAFE bị tấn công, làm thế nào để bảo vệ an toàn cho hàng ngàn tỷ tài sản được lưu trữ trong ví đa chữ ký
Ngày 27 tháng 2, Bybit đã công bố báo cáo điều tra vụ hack, kết quả điều tra trực tiếp chỉ ra rằng tiền bị đánh cắp là do lỗ hổng cơ sở hạ tầng của Safe, nhưng dường như Safe không muốn chấp nhận cáo buộc này
Chuyên sâu báo cáo Web3Tác giả: Frank, PANews
Ngày 21 tháng 2 năm 2025, sàn giao dịch tiền mã hóa Bybit đã phải chịu một cuộc tấn công mạng quy mô lớn, với tài sản trị giá 1,46 tỷ USD bị tổ chức hacker Triều Tiên Lazarus đánh cắp. Bên cạnh việc truy thu tài sản, điều quan trọng hơn là phải làm rõ con đường tấn công để ngăn chặn các sự cố tương tự xảy ra trong tương lai. Ngày 27 tháng 2, Bybit đã công bố báo cáo điều tra vụ hack, kết luận trực tiếp chỉ ra rằng lỗ hổng cơ sở hạ tầng của Safe là nguyên nhân dẫn đến mất tiền. Tuy nhiên, dường như Safe không sẵn lòng chấp nhận cáo buộc này. Trong tuyên bố, họ thừa nhận thiết bị của nhà phát triển bị xâm nhập nhưng lại đổ phần lớn trách nhiệm cho thủ đoạn tinh vi của hacker Triều Tiên và sai sót vận hành từ phía Bybit. Cuộc tranh luận về ai chịu trách nhiệm lớn hơn trở thành một "vụ án La San Môn", đồng thời khơi mào tranh luận lớn trong ngành về niềm tin vào cơ sở hạ tầng, mô hình an ninh và sự giằng co giữa con người với nhau.
Cuộc tấn công bắt nguồn từ dịch vụ đám mây frontend của Safe{Wallet} bị xâm phạm
Theo hai báo cáo điều tra do Bybit công bố (Báo cáo sơ bộ về sự cố Bybit và Báo cáo điều tra tạm thời về Bybit), phân tích sâu hơn về tài nguyên của Safe{Wallet} đã phát hiện hai bản chụp nhanh tài nguyên JavaScript được thực hiện vào ngày 19 tháng 2 năm 2025. Việc kiểm tra các bản chụp nhanh này cho thấy bản đầu tiên chứa mã Safe{Wallet} hợp pháp gốc, trong khi bản thứ hai chứa tài nguyên với mã JavaScript độc hại. Điều này cho thấy mã độc tạo giao dịch độc hại xuất phát trực tiếp từ cơ sở hạ tầng AWS của Safe{Wallet}.
Kết luận của báo cáo cho biết: Dựa trên kết quả điều tra máy ký của Bybit và tải trọng JavaScript độc hại được lưu trong Wayback Archive, chúng tôi đi đến kết luận mạnh mẽ rằng tài khoản hoặc khóa API AWS S3 hoặc CloudFront của Safe.Global có thể đã bị rò rỉ.
Tóm lại đơn giản, điểm khởi đầu của vụ tấn công lần này là hacker đã tấn công thiết bị của nhà phát triển Safe{Wallet}, sửa đổi tập tin JavaScript frontend trong bucket AWS S3 và chèn mã độc hướng mục tiêu vào địa chỉ ví lạnh của Bybit. Trước đó, Safe cũng từng công bố một báo cáo điều tra sơ bộ, khẳng định không tìm thấy lỗ hổng mã hay phụ thuộc độc hại (tức tấn công chuỗi cung ứng), sau đó tiến hành rà soát toàn diện và tạm ngừng chức năng Safe{Wallet}. Kết quả điều tra lần này dường như bác bỏ kết luận trước đó của Safe.
Tuyên bố né tránh trách nhiệm của Safe gây thêm nghi vấn
Cho đến nay, Bybit chưa lên tiếng về trách nhiệm mà Safe phải gánh chịu trong sự kiện này, tuy nhiên trên mạng xã hội, ngay sau khi báo cáo được công bố, nhiều người bắt đầu thảo luận về vấn đề lỗ hổng an ninh của Safe và một số ý kiến cho rằng Safe nên chịu trách nhiệm và bồi thường.
Rõ ràng, phản ứng chính thức của Safe đối với báo cáo này là không đồng tình. Trong tuyên bố chính thức, Safe chia trách nhiệm thành ba cấp độ: Về mặt kỹ thuật, nhấn mạnh rằng hợp đồng thông minh không bị tấn công, khẳng định tính an toàn của sản phẩm. Về vận hành, thừa nhận thiết bị nhà phát triển bị xâm nhập dẫn đến rò rỉ khóa AWS, nhưng đổ lỗi cho cuộc tấn công cấp quốc gia của nhóm hacker Triều Tiên. Về người dùng, khuyến nghị người dùng "cảnh giác khi ký giao dịch", ám chỉ rằng Bybit đã không xác minh đầy đủ dữ liệu giao dịch.
Tuy nhiên, phản hồi này bị cho là né tránh trọng tâm. Theo báo cáo, quy trình cho thấy Safe đã phạm phải những sai sót sau:
1. Mất kiểm soát quyền hạn: Kẻ tấn công xâm nhập thiết bị nhà phát triển để lấy quyền AWS, lộ rõ đội ngũ Safe chưa áp dụng nguyên tắc quyền hạn tối thiểu. Ví dụ, một nhà phát triển có thể trực tiếp chỉnh sửa mã môi trường sản xuất mà không có cơ chế giám sát thay đổi mã.
2. Thiếu trách nhiệm an ninh frontend: Không bật các biện pháp bảo vệ cơ bản như SRI (Xác thực tính toàn vẹn tài nguyên phụ).
3. Rủi ro phụ thuộc chuỗi cung ứng: Con đường tấn công (thiết bị nhà phát triển → AWS → mã frontend) chứng minh Safe quá phụ thuộc vào dịch vụ đám mây tập trung, mâu thuẫn với triết lý an ninh phi tập trung của blockchain.
Hơn nữa, cộng đồng ngành cũng đặt ra nhiều nghi vấn về tuyên bố của Safe. Người sáng lập Binance CZ liên tục nêu ra 5 câu hỏi mang tính kỹ thuật (ví dụ: cách cụ thể thiết bị nhà phát triển bị xâm nhập, nguyên nhân mất kiểm soát quyền hạn...), trực tiếp chỉ trích sự thiếu minh bạch thông tin từ Safe. Safe không công bố chi tiết chuỗi tấn công, khiến ngành không thể phòng thủ có chủ đích.
Giá token tăng bất thường, hoạt động hàng ngày giảm gần bảy mươi phần trăm
Một điểm tranh cãi lớn khác trong cộng đồng là liệu Safe có nên bồi thường thiệt hại cho Bybit trong sự kiện này hay không. Một bộ phận người dùng cho rằng đây là lỗ hổng cơ sở hạ tầng của Safe dẫn đến cuộc tấn công, do đó Safe phải chịu trách nhiệm bồi thường. Thậm chí có người đề xuất công ty tiền thân của Safe là Gnosis phải chịu trách nhiệm liên đới và bồi thường thiệt hại. Safe ban đầu được phát triển vào năm 2017 bởi đội ngũ Gnosis dưới tên Gnosis Safe, và tách ra hoạt động độc lập khỏi hệ sinh thái Gnosis vào năm 2022. Gnosis từng huy động vốn ICO thành công 250.000 ETH vào năm 2017, hiện tại kho bạc vẫn còn 150.000 ETH, thuộc nhóm cá voi ETH.
Tuy nhiên, cũng có ý kiến cho rằng trách nhiệm chính trong sự kiện này vẫn thuộc về bản thân Bybit, một mặt quản lý ví lạnh với tài sản hàng tỷ đô la thì hoàn toàn cần đầu tư nghiên cứu và phát triển các cơ sở hạ tầng an ninh riêng. Mặt khác, Bybit dường như đang sử dụng dịch vụ Safe miễn phí, không trả phí đăng ký, vì vậy xét theo khía cạnh này thì Safe cũng không có nghĩa vụ phải chịu trách nhiệm.
Còn bên liên quan trực tiếp là Bybit, sau khi công bố báo cáo điều tra, đã không yêu cầu Safe bồi thường về mặt tài chính.
Trong khi ngành vẫn đang tranh luận về việc xác định trách nhiệm, thị trường vốn lại diễn ra một màn kịch kỳ lạ. Token chính thức của Safe dường như nhận được sự chú ý đặc biệt nhờ sự kiện này, ngày 27 tháng 2 token SAFE tăng逆势 từ 0,44 USD lên 0,69 USD, mức tăng cao nhất trong vòng 10 giờ đạt khoảng 58%. Tuy nhiên, xét về logic đầu tư, sự kiện này chủ yếu mang lại tác động tiêu cực đến thương hiệu Safe, đà tăng có lẽ chỉ là cảm xúc thị trường ngắn hạn.
Dữ liệu ngày 27 tháng 2 cho thấy tổng tài sản quản lý của Safe vượt quá 1000 tỷ USD, nhưng sự im lặng về chi tiết lỗ hổng đang làm suy yếu uy tín của nó với tư cách là cơ sở hạ tầng ngành.
Về dữ liệu người dùng hoạt động hàng ngày, có thể thấy rõ Safe đã chịu ảnh hưởng đáng kể sau sự kiện này. So với 1.200 địa chỉ hoạt động vào ngày 12 tháng 2, con số này vào ngày 27 tháng 2 giảm xuống còn 379, giảm gần bảy mươi phần trăm.
Ngoài ra, sau khi rủi ro tập trung ở frontend bị phanh phui, cộng đồng lại một lần nữa chú ý đến cơ chế an ninh frontend. Dominic Williams, người sáng lập ICP, cho biết nhóm hacker Triều Tiên gần đây đã thành công trong việc đánh cắp 1,5 tỷ USD từ Bybit, chủ yếu tận dụng lỗ hổng Web của Safe{Wallet}, giao diện này được lưu trữ trên đám mây chứ không phải trên hợp đồng thông minh. Williams chỉ trích một số dự án Web3 chỉ chạy trên "chuỗi giả" (fake onchain), dẫn đến rủi ro an ninh, và đề xuất sử dụng ICP (Internet Computer) để thực hiện tính toán trên chuỗi, lưu trữ dữ liệu và xác minh trải nghiệm người dùng nhằm nâng cao độ an toàn. Ông đề nghị Safe{Wallet} di chuyển sang ICP và áp dụng cơ chế xác thực mã hóa cùng quản trị đồng thuận đa phương (như SNS DAO) để tăng cường an ninh.
Nhìn lại toàn bộ sự kiện, thoạt nhìn có vẻ là một sự kiện biệt lập do hacker Triều Tiên lên kế hoạch kỹ lưỡng, nhưng đằng sau vẫn lộ rõ những lỗ hổng an ninh hiện tại của ví đa ký Safe trong thiết kế quyền hạn và chuỗi cung ứng. Xét về phát triển thương hiệu, cách xử lý vội vàng phủi trách nhiệm để cố duy trì huyền thoại an toàn lại phản tác dụng, càng làm dấy lên nhiều nghi vấn dư luận hơn. Có lẽ, việc Safe kịp thời thừa nhận sai sót và đưa ra các biện pháp đối ứng mới thực sự thể hiện thái độ của một gã khổng lồ trong lĩnh vực an ninh tiền mã hóa. Đồng thời, sớm công bố chi tiết lỗ hổng cũng sẽ giúp ngành tăng cường tự kiểm tra và phòng ngừa các lỗ hổng tương tự.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
PANews
