Sàn giao dịch tiền điện tử Đài Loan BitoPro bị Hacker Bắc Triều Tiên tấn công

Vào ngày 2 tháng 6 năm 2025, một bài đăng ngắn của nhà nghiên cứu blockchain ZachXBT trên Telegram đã gây xôn xao trong ngành Tiền điện tử: nhiều ví nóng trên sàn Tiền điện tử Đài Loan BitoPro đã trải qua các dòng chảy tiền nghi ngờ, tổng cộng lên tới 11,5 triệu USD.

Tại thời điểm này, gần 3 tuần đã trôi qua kể từ khi vụ tấn công thực sự xảy ra, và sàn giao dịch chỉ tạm ngừng dịch vụ với lý do “bảo trì hệ thống”, mà không đề cập đến vụ tấn công của Hacker.

Dòng thời gian sự kiện, từ cuộc tấn công bí mật đến công bố công khai

Cuộc tấn công xảy ra giữa ngày 8 và 9 tháng 5 năm 2025. Lúc đó, Hacker đã lợi dụng thời gian nâng cấp hệ thống ví và di chuyển tài sản tại sàn giao dịch để phát động một cuộc tấn công vào ví nóng cũ của nó.

Nhiều chuỗi công khai đã bị ảnh hưởng: Tron, Ethereum, Solana và Polygon Tài sản ví nóng trên sàn giao dịch đã được chuyển ra dần dần. Sau khi Hacker thành công, họ đã hành động nhanh chóng, thanh lý các quỹ theo giá thị trường thông qua các sàn giao dịch phi tập trung (DEX) và chuyển chúng đến trình trộn Tornado Cash, hoặc thông qua Thorchain Gửi vào Bitcoin mạng qua chuỗi chéo vào ví Wasabi, cố gắng cắt đứt đường theo dõi của các quỹ.

Mặc dù người dùng báo cáo vấn đề rút tiền, tuyên bố chính thức của BitoPro xác nhận cuộc tấn công được đưa ra vào ngày 2 tháng 6, sau khi ZachXBT công khai phơi bày, tuyên bố rằng “tài sản của người dùng vẫn nguyên vẹn, và nền tảng có đủ dự trữ.”

Phương pháp xử lý, bị ẩn giấu trong ba tuần, đã gây ra sự nghi ngờ mạnh mẽ trong cộng đồng về khả năng minh bạch và quản lý khủng hoảng của nó.

Phân tích các kỹ thuật tấn công: Một cuộc xâm nhập kỹ thuật xã hội cổ điển

Vào ngày 19 tháng 6, BitoPro đã phát hành một báo cáo từ một công ty an ninh bên thứ ba xác nhận rằng kẻ tấn công là tổ chức Hacker nổi tiếng của Bắc Triều Tiên, Lazarus Group.

Đường tấn công rõ ràng cho thấy phương thức hoạt động chuyên biệt của nó:

• Cuộc tấn công lừa đảo kỹ thuật xã hội: Hacker ngụy trang giao tiếp để nhắm mục tiêu vào nhân viên BitoPro, dụ dỗ họ nhấp vào các liên kết hoặc tệp độc hại.
• Xâm nhập phần mềm độc hại: Phần mềm độc hại đã được cài đặt thành công và đã lẩn tránh hệ thống antivirus của sàn giao dịch, bảo vệ điểm cuối và phát hiện bảo mật đám mây.
• Quan sát xâm nhập: Hacker ẩn mình trong máy tính của nhân viên nạn nhân trong một thời gian dài, quan sát các quy trình hoạt động, đặc biệt nhắm vào nhân viên kinh doanh đám mây kiểm soát quản lý tài nguyên Amazon AWS.
• Chiếm đoạt token và vượt qua MFA: đánh cắp token phiên AWS và trực tiếp vượt qua các cơ chế xác thực đa yếu tố (MFA).
• Kiểm soát máy chủ ví nóng: Kết nối với máy chủ C2 của kẻ tấn công, tiêm các lệnh độc hại vào máy chủ chịu trách nhiệm cho các giao dịch ví nóng, và cuối cùng mô phỏng các giao dịch hợp pháp để thực hiện việc chuyển tiền vào lúc 1 giờ sáng ngày 9 tháng 5.

Phương pháp này rất nhất quán với các cuộc tấn công trước đây của Lazarus vào hệ thống ngân hàng toàn cầu SWIFT và một số sàn giao dịch, nhấn mạnh sự trưởng thành của mẫu tấn công của nó.

Bàn Tay Ẩn Giấu: Bóng Đổ Của Nhóm Lazarus

Nhóm Lazarus không phải là kẻ phạm tội lần đầu. Tổ chức này được coi là một nhóm tội phạm mạng do chế độ Bắc Triều Tiên hỗ trợ, đã từ lâu nhằm mục đích đánh cắp Tài sản Tiền điện tử để tài trợ cho các chương trình vũ khí của mình.

Hồ sơ tội phạm của anh ấy thật sốc:

• Vào năm 2016, đã cố gắng đánh cắp 1 tỷ đô la từ ngân hàng trung ương Bangladesh bằng cách sử dụng một lỗ hổng trong hệ thống SWIFT (cuối cùng đã chuyển thành công 81 triệu đô la)
• Vào tháng 2 năm 2025, sàn giao dịch ByBit đã bị tấn công, dẫn đến vụ trộm kỷ lục 1,5 tỷ đô la trong Tài sản Tiền điện tử.
• Liên tục nhắm vào các cuộc tấn công chuỗi cung ứng trao đổi Tài sản Tiền điện tử toàn cầu, khai thác lỗ hổng và gian lận kỹ thuật xã hội phức tạp.

Các chuyên gia an ninh chỉ ra rằng tổ chức này nổi bật trong việc kết hợp các lỗ hổng kỹ thuật với những điểm yếu của con người, và sự cố BitoPro một lần nữa xác nhận điều này.

Phản ứng của sàn giao dịch, các biện pháp khắc phục sau khi sheep bị mất

Sau khi sự cố được phanh phui, BitoPro đã thực hiện một loạt các biện pháp ứng phó khủng hoảng:

• Ngay lập tức tắt hệ thống ví nóng để cắt đứt đường tấn công.
• Thay thế tất cả các khóa mã hóa liên quan
• Cách ly các hệ thống bị nhiễm và tiến hành tái cấu trúc môi trường
• Giao cho một công ty bảo mật blockchain bên thứ ba để truy tìm số tiền bị đánh cắp

Để lấy lại niềm tin, BitoPro đã chủ động gửi một địa chỉ ví nóng mới đến nền tảng phân tích dữ liệu on-chain Arkham vào ngày 19 tháng 5, cập nhật dữ liệu thanh khoản để công khai giám sát.

Người sáng lập công ty, Zheng Guangtai, nhấn mạnh rằng “tài sản của khách hàng sẽ không bị mất; mọi tổn thất sẽ do nền tảng chịu trách nhiệm,” và cam kết cải thiện quy trình quản lý ví và mức độ giám sát. Ủy ban Giám sát Tài chính Đài Loan cũng đã can thiệp, yêu cầu công ty tăng cường an ninh mạng và nộp một giải thích về sự cố.

Thông tin bảo mật: Liên kết dễ bị tổn thương nhất vẫn là “Con người”

Sự cố BitoPro, mặc dù số tiền mất mát ít hơn nhiều so với vụ trộm khổng lồ 1,5 tỷ USD của ByBit, đã tiết lộ những lỗ hổng trong ngành công nghiệp mà là phổ quát:

• Thời gian bảo trì trở thành khoảng thời gian rủi ro cao: trong quá trình nâng cấp hệ thống hoặc di chuyển tài sản, các cơ chế kiểm soát rủi ro có thể có những điểm mù tạm thời.
• Các biện pháp phòng thủ kỹ thuật rất khó để chống lại các vi phạm kỹ thuật xã hội: ngay cả tường lửa và cơ chế xác thực đa yếu tố tinh vi nhất cũng có thể bị xâm phạm hoàn toàn khi một nhân viên nhấp vào một liên kết độc hại.
• Cuộc khủng hoảng minh bạch làm trầm trọng thêm sự sụp đổ của lòng tin: việc công bố chậm trễ và giao tiếp mơ hồ thường gây hại cho sự tự tin của người dùng nhiều hơn cả những sự kiện đó.

“Điểm yếu nhất liên kết trong bất kỳ hệ thống an ninh nào luôn là yếu tố con người,” một kết luận đã được xác nhận nhiều lần trong các báo cáo an ninh.

Kết luận: Sự tiến hóa của phòng thủ và cuộc chiến tấn công và phòng thủ không bao giờ kết thúc

Cuộc tấn công của Nhóm Lazarus là một mối đe dọa hệ thống mà hệ sinh thái Tài sản Tiền điện tử toàn cầu vẫn đang phải đối mặt. Từ Ngân hàng Trung ương Bangladesh, ByBit đến BitoPro, các phương pháp tấn công của họ đang liên tục phát triển, nhưng cốt lõi vẫn không thay đổi: khai thác điểm yếu của con người để vượt qua các rào cản kỹ thuật.

BitoPro đã chịu lỗ 11,5 triệu USD và nâng cấp hệ thống của mình, nhưng thách thức lớn hơn là: cách mà sàn giao dịch có thể thiết lập một văn hóa kiểm soát nội bộ “chống kỹ thuật xã hội” và đạt được phản ứng nhanh chóng và minh bạch khi đối mặt với một cuộc xâm nhập.

Trong thế giới blockchain, niềm tin là loại tiền tệ cơ bản, và mỗi sự cố hack đều thử thách xem dự trữ thực sự của nó có đủ hay không.