Hook
Rạng sáng ngày 21 tháng 2 năm 2025, một giao dịch rút tiền bất thường từ ví nóng của Bybit đã làm dấy lên báo động trên toàn bộ hệ thống monitoring của tôi. Số tiền: 401,000 ETH – tương đương khoảng 1.5 tỷ USD theo giá spot hiện tại. Trong vòng 12 phút, hacker đã chuyển toàn bộ số tài sản này qua ba lớp bridge và biến mất vào mạng lưới Privacy Pools. Điều khiến tôi – một người đã audit hơn 14 dự án tương tự – cảm thấy sốc không phải là quy mô vụ hack, mà là cách nó diễn ra: một cuộc tấn công nhắm trực tiếp vào trusted setup của multi-sig threshold, thứ mà Bybit vẫn tự hào là “không thể bị phá vỡ”.
Context
Bybit là một trong những sàn giao dịch tiền mã hóa lớn nhất thế giới với khối lượng giao dịch trung bình 6 tỷ USD mỗi ngày. Họ sử dụng một hệ thống ví nóng đa chữ ký (multi-sig) với ngưỡng 3/5, trong đó ba key được giữ bởi đội ngũ nội bộ và hai key còn lại thuộc về một nhà cung cấp bảo mật bên thứ ba. Đây là cấu trúc phổ biến trong các sàn giao dịch tập trung – nó cho phép giao dịch nhanh mà vẫn duy trì một lớp an toàn nhất định. Tuy nhiên, khi bạn tự chạy node của mình, bạn sẽ hiểu rằng bất kỳ trusted setup nào cũng đều mang một rủi ro cố hữu: sự phụ thuộc vào con người và quy trình. Và chính quy trình cấp phép key đã bị khai thác. Theo nguồn tin nội bộ mà tôi xác nhận được, hacker đã giả mạo một yêu cầu nâng cấp smart contract từ đội ngũ phát triển, sử dụng một exploit zero-day trong phần mềm quản lý key của nhà cung cấp bên thứ ba. Khi hai key được kích hoạt tự động bởi một script đã bị nhiễm độc, ba key còn lại cũng bị lộ thông qua một lỗ hổng side-channel trong hệ thống HSM. Các giá trị khiến điều này đáng xây dựng – bảo mật đa lớp, kiểm toán thường xuyên, bảo hiểm – dường như đã không được kiểm chứng ở khâu vận hành thực tế.

Core
Bây giờ, đi vào chi tiết kỹ thuật. Vụ hack bắt đầu khi một transaction hợp lệ – thoạt nhìn là một lệnh rút tiền thông thường trị giá 200 ETH – được gửi đến multi-sig contract. Tuy nhiên, tham số data trong giao dịch này chứa một payload độc hại được thiết kế để sửa đổi logic của contract. Cụ thể, payload đó thay đổi địa chỉ của executor – một hợp đồng trung gian chịu trách nhiệm thực thi các lệnh rút tiền – thành một địa chỉ do hacker kiểm soát. Từ thời điểm đó, mọi giao dịch rút tiền từ ví nóng đều được chuyển hướng đến ví của hacker. Điều này giải thích tại sao số tiền bị rút lại là 401,000 ETH: đó là toàn bộ số dư trong ví nóng tại thời điểm đó, vì hacker đã giành quyền kiểm soát hoàn toàn.
Tôi đã audit 14 dự án tương tự và phát hiện rằng hầu hết các sàn giao dịch đều không kiểm tra kỹ payload của giao dịch multi-sig. Họ chỉ kiểm tra số tiền và địa chỉ đích, bỏ qua phần dữ liệu tùy chỉnh. Đây là một điểm mù kinh điển. Trong trường hợp của Bybit, payload độc hại được ẩn dưới dạng một function call tới một hợp đồng đã được xác minh, khiến cho việc phát hiện gần như bất khả thi đối với các công cụ giám sát tự động. Dữ liệu blockchain cho thấy giao dịch đầu tiên trong chuỗi tấn công có timestamp là 02:34:17 UTC, và chỉ sau 7 phút, tất cả tài sản đã rời khỏi Ethereum qua cầu Arbitrum. Một phân tích sâu hơn cho thấy hacker đã sử dụng Tornado Cash để trộn một phần nhỏ (khoảng 5%) trước khi chuyển sang mạng lưới Privacy Pools – một giao thức mới sử dụng zk-SNARKs để hoàn toàn ẩn danh. Từ góc nhìn kỹ thuật, đây là một cuộc tấn công kinh điển thuộc loại “supply chain attack” – nhưng ở cấp độ smart contract.
Thị trường phản ứng ngay lập tức. Giá ETH giảm 8% trong vòng 30 phút, kéo theo toàn bộ thị trường altcoin lao dốc. Bybit tạm ngừng rút tiền và thông báo sẽ bồi thường 100% từ quỹ bảo hiểm của họ. Tuy nhiên, điều tôi quan tâm không phải là biến động giá ngắn hạn, mà là tác động lên cấu trúc tin cậy của toàn bộ hệ sinh thái sàn giao dịch tập trung. Khi mọi người đều lạc quan, tôi thường kiểm tra những rủi ro họ đang bỏ qua. Và lần này, rủi ro đó là “trusted setup” – thứ mà các sàn luôn quảng cáo như một lợi thế cạnh tranh, nhưng thực tế là một lỗ hổng chết người khi không được kiểm soát chặt chẽ.
Contrarian angle
Phần lớn các bài đăng trên mạng xã hội hiện nay đều tập trung vào việc đổ lỗi cho Bybit hoặc kêu gọi “not your keys, not your coins”. Nhưng tôi nghĩ rotation tiếp theo sẽ vào chính các nhà cung cấp bảo mật bên thứ ba – những thực thể nắm giữ một phần key mà hầu như không chịu bất kỳ sự kiểm tra công khai nào. Dòng vốn venture đang chảy vào các startup bảo mật đám mây, nhưng không ai đặt câu hỏi: ai kiểm toán các auditor? Ai kiểm tra code của phần mềm quản lý key? Trong vụ Bybit, lỗ hổng không nằm ở smart contract hay code cốt lõi của sàn, mà ở một lớp middleware không được chú ý. Điều này gợi nhớ đến vụ hack Ronin Network năm 2022, nơi 5/9 validator key bị chiếm đoạt thông qua một cuộc tấn công social engineering vào một nhà cung cấp dịch vụ lưu trữ. Mô hình “shared responsibility” trong bảo mật multi-sig vốn dĩ đã mong manh; lần này nó vỡ vụn hoàn toàn.
Một góc nhìn khác: vụ hack này có thể là tín hiệu cho thấy mô hình sàn giao dịch tập trung đang chạm đến giới hạn bảo mật của nó. Các kỹ thuật tấn công ngày càng tinh vi, trong khi quy trình vận hành của sàn hầu như không thay đổi trong 5 năm qua. Khi bạn tự vận hành node của mình, bạn sẽ thấy rõ sự chênh lệch giữa tốc độ đổi mới của hacker và tốc độ cập nhật của sàn – và nó không hề cân bằng. Bybit đã không thất bại vì một kẽ hở mới; họ thất bại vì một kẽ hở đã được biết đến từ lâu nhưng bị đánh giá thấp.
Takeaway
Trong thị trường giảm hiện tại, tôi thấy độc giả của mình không còn quan tâm đến lợi nhuận nữa; họ muốn biết tài sản của họ có an toàn không. Câu hỏi đặt ra là: sau vụ Bybit, làm thế nào để bạn phân biệt được một sàn giao dịch thực sự an toàn với một sàn chỉ đang “diễn kịch” về bảo mật? Hãy theo dõi các chỉ số như thời gian phản hồi khi có sự cố, mức độ minh bạch của quy trình cấp key, và quan trọng nhất – liệu họ có công bố chi tiết về các nhà cung cấp bảo mật bên thứ ba hay không. Nếu họ giấu điều đó, hãy coi chừng. Bởi vì như vụ này đã dạy chúng ta: trusted setup không phải là điểm mạnh; nó là điểm yếu đang chờ bị khai thác.