Sàn giao dịch mã hóa gặp phải lỗ hổng bảo mật nghiêm trọng, gây ra cảnh báo trong ngành
Vào ngày 21 tháng 2 năm 2025, một sàn giao dịch mã hóa nổi tiếng đã gặp phải một sự cố lỗ hổng bảo mật nghiêm trọng, dẫn đến việc khoảng 1,5 tỷ đô la tài sản bị đánh cắp từ ví lạnh Ethereum của họ. Sự kiện này được coi là vụ trộm lớn nhất trong lịch sử mã hóa, vượt qua các kỷ lục trước đó như Poly Network năm 2021 (611 triệu đô la) và Ronin Network năm 2022 (620 triệu đô la), gây ra cú sốc lớn cho toàn ngành.
Bài viết này sẽ phân tích sâu về sự kiện hack này và các phương pháp rửa tiền của nó, đồng thời nhắc nhở người đọc rằng trong vài tháng tới, có thể sẽ có một cơn bão đóng băng tài khoản quy mô lớn nhắm vào các nhóm giao dịch ngoài sàn và các công ty thanh toán mã hóa.
Giải thích chi tiết về quá trình trộm cắp
Theo mô tả của các giám đốc điều hành sàn giao dịch và cuộc điều tra ban đầu của công ty phân tích blockchain, quá trình đánh cắp diễn ra như sau:
Chuẩn bị tấn công: Tin tặc đã triển khai một hợp đồng thông minh độc hại ít nhất ba ngày trước khi xảy ra sự cố (19/2) để chuẩn bị cho các cuộc tấn công tiếp theo.
Xâm nhập hệ thống ký đa chữ ký: Ví lạnh Ethereum của sàn giao dịch này sử dụng cơ chế ký đa chữ ký, thường yêu cầu nhiều bên được ủy quyền ký để thực hiện giao dịch. Hacker đã xâm nhập vào máy tính quản lý ví đa chữ ký bằng những phương pháp chưa biết, có thể đã sử dụng giao diện giả mạo hoặc phần mềm độc hại.
Giao dịch giả mạo: Vào ngày 21 tháng 2, sàn giao dịch dự định chuyển ETH từ ví lạnh sang ví nóng để đáp ứng nhu cầu giao dịch hàng ngày. Tin tặc đã lợi dụng thời điểm này, đã ngụy trang giao diện giao dịch thành hoạt động bình thường, dụ dỗ người ký xác nhận một giao dịch có vẻ hợp pháp. Tuy nhiên, lệnh này thực chất là thao tác thay đổi logic hợp đồng thông minh của ví lạnh.
Chuyển tiền: Sau khi lệnh có hiệu lực, hacker nhanh chóng kiểm soát ví lạnh, chuyển khoảng 1,5 tỷ USD ETH và chứng chỉ staking ETH đến một địa chỉ không xác định. Sau đó, tiền được phân tán đến nhiều ví và bắt đầu quá trình rửa tiền.
Phương pháp rửa tiền
Quá trình rửa tiền chủ yếu được chia thành hai giai đoạn:
Giai đoạn đầu tiên là phân chia quỹ ban đầu. Kẻ tấn công nhanh chóng đổi chứng chỉ ETH đã được staking sang token ETH, thay vì chọn stablecoin có thể bị đóng băng. Sau đó, họ phân chia ETH một cách nghiêm ngặt và chuyển đến địa chỉ cấp dưới để chuẩn bị cho việc rửa tiền.
Đáng chú ý là, ở giai đoạn này, hành vi của kẻ tấn công cố gắng đổi 15000 mETH sang ETH đã được ngăn chặn kịp thời, giúp ngành công nghiệp khôi phục một phần tổn thất.
Giai đoạn thứ hai là công việc làm sạch tiền cụ thể. Kẻ tấn công đã sử dụng cơ sở hạ tầng ngành công nghiệp tập trung và phi tập trung để chuyển tiền, bao gồm nhiều giao thức chuỗi chéo nổi tiếng và sàn giao dịch phi tập trung. Những nền tảng này được sử dụng để đổi tiền hoặc chuyển tiền qua chuỗi.
Đến thời điểm hiện tại, một lượng lớn tài sản bị đánh cắp đã được đổi sang BTC, DOGE, SOL và các loại mã hóa chính khác để chuyển nhượng, thậm chí có một phần tài sản được sử dụng để phát hành đồng tiền meme hoặc chuyển vào địa chỉ sàn giao dịch để làm mờ.
Công ty phân tích blockchain đang theo dõi chặt chẽ các địa chỉ liên quan, thông tin liên quan sẽ được gửi đến người dùng thông qua nền tảng chuyên nghiệp, nhằm ngăn ngừa việc nhận nhầm tiền bị đánh cắp.
Phân tích bối cảnh tổ chức hacker
Thông qua việc phân tích dòng tiền, các nhà nghiên cứu phát hiện ra rằng cuộc tấn công này có liên quan đến hai sự kiện bị đánh cắp trên sàn giao dịch xảy ra vào tháng 10 năm 2024 và tháng 1 năm 2025, điều này cho thấy ba cuộc tấn công này có thể đến từ cùng một tổ chức hacker.
Cân nhắc đến các phương pháp rửa tiền và kỹ thuật tấn công chuyên nghiệp cao, một số chuyên gia an ninh blockchain đã quy kết sự kiện này cho một tổ chức hacker khét tiếng. Tổ chức này đã nhiều lần tiến hành các cuộc tấn công mạng nhằm vào các tổ chức và cơ sở hạ tầng trong ngành mã hóa trong vài năm qua, trái phép chiếm đoạt tài sản mã hóa trị giá hàng tỷ đô la.
Rủi ro đóng băng tiềm ẩn
Các công ty phân tích blockchain đã phát hiện trong các cuộc điều tra trong vài năm qua rằng tổ chức hacker này không chỉ sử dụng các nền tảng phi tập trung để rửa tiền mà còn tận dụng rất nhiều sàn giao dịch tập trung để chuyển đổi thành tiền mặt. Điều này đã dẫn đến việc nhiều tài khoản người dùng sàn giao dịch vô tình nhận được tiền bẩn bị kiểm soát rủi ro, và địa chỉ kinh doanh của các nhà giao dịch ngoại hối và tổ chức thanh toán bị đóng băng.
Ví dụ, vào năm 2024, một sàn giao dịch mã hóa của Nhật Bản đã bị tấn công, 600 triệu đô la Bitcoin bị đánh cắp. Một phần số tiền đã được chuyển đến một cơ quan thanh toán mã hóa ở khu vực Đông Nam Á, dẫn đến việc địa chỉ ví nóng của cơ quan này bị đông lạnh, khoảng 29 triệu đô la đã bị khóa.
Năm 2023, một sàn giao dịch nổi tiếng khác đã bị tấn công, hơn 100 triệu USD đã bị chuyển đi bất hợp pháp. Một phần số tiền đã được rửa qua giao dịch OTC, dẫn đến việc nhiều địa chỉ kinh doanh của các nhà giao dịch OTC bị đóng băng, hoặc tài khoản của họ trên sàn giao dịch bị kiểm soát rủi ro, ảnh hưởng nghiêm trọng đến hoạt động kinh doanh bình thường.
Kết luận
Các sự kiện tấn công hacker xảy ra thường xuyên không chỉ gây thiệt hại lớn cho ngành mã hóa, mà các hoạt động rửa tiền tiếp theo còn ảnh hưởng đến nhiều cá nhân và tổ chức vô tội hơn. Đối với những nạn nhân tiềm năng này, việc giữ cảnh giác trong các hoạt động hàng ngày và chú ý đến dòng tiền nghi ngờ là rất quan trọng để phòng ngừa rủi ro. Các bên tham gia trong ngành nên cùng nhau nỗ lực, nâng cao nhận thức về an toàn, hoàn thiện các biện pháp phòng thủ, nhằm duy trì sự phát triển lành mạnh của toàn bộ hệ sinh thái.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Vụ trộm tài sản tiền điện tử lớn nhất trong lịch sử: 1,5 tỷ đô la ETH bị đánh cắp có thể dẫn đến việc đóng băng tài khoản quy mô lớn
Sàn giao dịch mã hóa gặp phải lỗ hổng bảo mật nghiêm trọng, gây ra cảnh báo trong ngành
Vào ngày 21 tháng 2 năm 2025, một sàn giao dịch mã hóa nổi tiếng đã gặp phải một sự cố lỗ hổng bảo mật nghiêm trọng, dẫn đến việc khoảng 1,5 tỷ đô la tài sản bị đánh cắp từ ví lạnh Ethereum của họ. Sự kiện này được coi là vụ trộm lớn nhất trong lịch sử mã hóa, vượt qua các kỷ lục trước đó như Poly Network năm 2021 (611 triệu đô la) và Ronin Network năm 2022 (620 triệu đô la), gây ra cú sốc lớn cho toàn ngành.
Bài viết này sẽ phân tích sâu về sự kiện hack này và các phương pháp rửa tiền của nó, đồng thời nhắc nhở người đọc rằng trong vài tháng tới, có thể sẽ có một cơn bão đóng băng tài khoản quy mô lớn nhắm vào các nhóm giao dịch ngoài sàn và các công ty thanh toán mã hóa.
Giải thích chi tiết về quá trình trộm cắp
Theo mô tả của các giám đốc điều hành sàn giao dịch và cuộc điều tra ban đầu của công ty phân tích blockchain, quá trình đánh cắp diễn ra như sau:
Chuẩn bị tấn công: Tin tặc đã triển khai một hợp đồng thông minh độc hại ít nhất ba ngày trước khi xảy ra sự cố (19/2) để chuẩn bị cho các cuộc tấn công tiếp theo.
Xâm nhập hệ thống ký đa chữ ký: Ví lạnh Ethereum của sàn giao dịch này sử dụng cơ chế ký đa chữ ký, thường yêu cầu nhiều bên được ủy quyền ký để thực hiện giao dịch. Hacker đã xâm nhập vào máy tính quản lý ví đa chữ ký bằng những phương pháp chưa biết, có thể đã sử dụng giao diện giả mạo hoặc phần mềm độc hại.
Giao dịch giả mạo: Vào ngày 21 tháng 2, sàn giao dịch dự định chuyển ETH từ ví lạnh sang ví nóng để đáp ứng nhu cầu giao dịch hàng ngày. Tin tặc đã lợi dụng thời điểm này, đã ngụy trang giao diện giao dịch thành hoạt động bình thường, dụ dỗ người ký xác nhận một giao dịch có vẻ hợp pháp. Tuy nhiên, lệnh này thực chất là thao tác thay đổi logic hợp đồng thông minh của ví lạnh.
Chuyển tiền: Sau khi lệnh có hiệu lực, hacker nhanh chóng kiểm soát ví lạnh, chuyển khoảng 1,5 tỷ USD ETH và chứng chỉ staking ETH đến một địa chỉ không xác định. Sau đó, tiền được phân tán đến nhiều ví và bắt đầu quá trình rửa tiền.
Phương pháp rửa tiền
Quá trình rửa tiền chủ yếu được chia thành hai giai đoạn:
Giai đoạn đầu tiên là phân chia quỹ ban đầu. Kẻ tấn công nhanh chóng đổi chứng chỉ ETH đã được staking sang token ETH, thay vì chọn stablecoin có thể bị đóng băng. Sau đó, họ phân chia ETH một cách nghiêm ngặt và chuyển đến địa chỉ cấp dưới để chuẩn bị cho việc rửa tiền.
Đáng chú ý là, ở giai đoạn này, hành vi của kẻ tấn công cố gắng đổi 15000 mETH sang ETH đã được ngăn chặn kịp thời, giúp ngành công nghiệp khôi phục một phần tổn thất.
Giai đoạn thứ hai là công việc làm sạch tiền cụ thể. Kẻ tấn công đã sử dụng cơ sở hạ tầng ngành công nghiệp tập trung và phi tập trung để chuyển tiền, bao gồm nhiều giao thức chuỗi chéo nổi tiếng và sàn giao dịch phi tập trung. Những nền tảng này được sử dụng để đổi tiền hoặc chuyển tiền qua chuỗi.
Đến thời điểm hiện tại, một lượng lớn tài sản bị đánh cắp đã được đổi sang BTC, DOGE, SOL và các loại mã hóa chính khác để chuyển nhượng, thậm chí có một phần tài sản được sử dụng để phát hành đồng tiền meme hoặc chuyển vào địa chỉ sàn giao dịch để làm mờ.
Công ty phân tích blockchain đang theo dõi chặt chẽ các địa chỉ liên quan, thông tin liên quan sẽ được gửi đến người dùng thông qua nền tảng chuyên nghiệp, nhằm ngăn ngừa việc nhận nhầm tiền bị đánh cắp.
Phân tích bối cảnh tổ chức hacker
Thông qua việc phân tích dòng tiền, các nhà nghiên cứu phát hiện ra rằng cuộc tấn công này có liên quan đến hai sự kiện bị đánh cắp trên sàn giao dịch xảy ra vào tháng 10 năm 2024 và tháng 1 năm 2025, điều này cho thấy ba cuộc tấn công này có thể đến từ cùng một tổ chức hacker.
Cân nhắc đến các phương pháp rửa tiền và kỹ thuật tấn công chuyên nghiệp cao, một số chuyên gia an ninh blockchain đã quy kết sự kiện này cho một tổ chức hacker khét tiếng. Tổ chức này đã nhiều lần tiến hành các cuộc tấn công mạng nhằm vào các tổ chức và cơ sở hạ tầng trong ngành mã hóa trong vài năm qua, trái phép chiếm đoạt tài sản mã hóa trị giá hàng tỷ đô la.
Rủi ro đóng băng tiềm ẩn
Các công ty phân tích blockchain đã phát hiện trong các cuộc điều tra trong vài năm qua rằng tổ chức hacker này không chỉ sử dụng các nền tảng phi tập trung để rửa tiền mà còn tận dụng rất nhiều sàn giao dịch tập trung để chuyển đổi thành tiền mặt. Điều này đã dẫn đến việc nhiều tài khoản người dùng sàn giao dịch vô tình nhận được tiền bẩn bị kiểm soát rủi ro, và địa chỉ kinh doanh của các nhà giao dịch ngoại hối và tổ chức thanh toán bị đóng băng.
Ví dụ, vào năm 2024, một sàn giao dịch mã hóa của Nhật Bản đã bị tấn công, 600 triệu đô la Bitcoin bị đánh cắp. Một phần số tiền đã được chuyển đến một cơ quan thanh toán mã hóa ở khu vực Đông Nam Á, dẫn đến việc địa chỉ ví nóng của cơ quan này bị đông lạnh, khoảng 29 triệu đô la đã bị khóa.
Năm 2023, một sàn giao dịch nổi tiếng khác đã bị tấn công, hơn 100 triệu USD đã bị chuyển đi bất hợp pháp. Một phần số tiền đã được rửa qua giao dịch OTC, dẫn đến việc nhiều địa chỉ kinh doanh của các nhà giao dịch OTC bị đóng băng, hoặc tài khoản của họ trên sàn giao dịch bị kiểm soát rủi ro, ảnh hưởng nghiêm trọng đến hoạt động kinh doanh bình thường.
Kết luận
Các sự kiện tấn công hacker xảy ra thường xuyên không chỉ gây thiệt hại lớn cho ngành mã hóa, mà các hoạt động rửa tiền tiếp theo còn ảnh hưởng đến nhiều cá nhân và tổ chức vô tội hơn. Đối với những nạn nhân tiềm năng này, việc giữ cảnh giác trong các hoạt động hàng ngày và chú ý đến dòng tiền nghi ngờ là rất quan trọng để phòng ngừa rủi ro. Các bên tham gia trong ngành nên cùng nhau nỗ lực, nâng cao nhận thức về an toàn, hoàn thiện các biện pháp phòng thủ, nhằm duy trì sự phát triển lành mạnh của toàn bộ hệ sinh thái.