Báo cáo sự cố bảo mật Bybit

Sàn giao dịch tiền điện tử Bybit, vừa mới bị ảnh hưởng bởi một sự cố bảo mật nghiêm trọng, đã công bố một báo cáo điều tra chi tiết về sự việc này. Báo cáo này, được biên soạn bởi các công ty an ninh mạng Sygnia và Verichains, cho thấy cuộc tấn công là do sự xâm phạm vào cơ sở hạ tầng của Safe{Wallet}, chứ không phải từ hệ thống của Bybit.

Dòng thời gian sự kiện

Hoạt động trái phép đã được phát hiện lần đầu vào ngày 21 tháng 2 năm 2025, khi Bybit xác định các giao dịch đáng ngờ liên quan đến một trong những ví lạnh Ethereum (ETH) của mình. Báo cáo giải thích rằng cuộc tấn công xảy ra trong một giao dịch multisig chuyển tài sản từ ví lạnh sang ví nóng qua Safe{Wallet}. Một tác nhân độc hại đã quản lý để chặn và thao tác giao dịch này, giành quyền kiểm soát tài sản của ví lạnh, sau đó những tài sản này đã được chuyển đến một ví bên ngoài.

Những phát hiện chính từ cuộc điều tra của Sygnia

Báo cáo của Sygnia nêu ra một số điểm quan trọng:

• Tác nhân độc hại J
  Mã JavaScript đã được tiêm vào một tài nguyên được lưu trữ trong bucket AWS S3 của Safe{Wallet}.
• Các dấu thời gian và lưu trữ lịch sử web công cộng cho thấy mã đã được chèn trực tiếp vào hạ tầng AWS S3 của Safe{Wallet}.
• Việc tiêm mã JavaScript được tạo ra nhằm thao túng dữ liệu giao dịch trong quá trình ký, làm thay đổi thông tin giao dịch mà không bị phát hiện.
• Mã độc có chứa một kích hoạt kích hoạt chỉ hoạt động cho các giao dịch xuất phát từ địa chỉ hợp đồng của Bybit hoặc một địa chỉ hợp đồng nghi ngờ khác do kẻ tấn công kiểm soát.
• Chỉ hai phút sau cuộc tấn công và công khai, các phiên bản mới của các tệp JavaScript bị xâm phạm đã được tải lên bucket AWS S3 của Safe{Wallet}, loại bỏ mã độc.

Bybit xác nhận rằng hạ tầng của chính nó vẫn không bị xâm phạm; tuy nhiên, cuộc tấn công đã làm nổi bật các lỗ hổng trong các giải pháp ví bên thứ ba.

> Tuyên bố từ chối trách nhiệm: Đây không phải là lời khuyên đầu tư.