Nhóm hacker tấn công sàn Bybit là Lazarus Group từ Triều Tiên

Với vụ tấn công mới nhất, Lazarus Group tiếp tục ghi dấu ấn trong danh sách những kẻ thù nguy hiểm nhất của ngành crypto, nâng tổng số tiền chiếm đoạt lên hơn 2 tỷ USD qua hàng loạt vụ hack quy mô lớn.

Hunt

Published Feb 22 2025

Updated Feb 24 2025

7 min read

Nhóm hacker tấn công sàn Bybit là Lazarus Group

Bybit vừa trải qua vụ hack nghiêm trọng nhất lịch sử sàn giao dịch crypto, với thiệt hại lên tới 1.46 tỷ USD ETH và các token ERC-20 khác. Khi tin tức về vụ tấn công lan rộng, Arkham Intelligence ngay lập tức treo thưởng 50,000 ARKM (tương đương 31,500 USD) cho bất kỳ ai có thể cung cấp thông tin xác thực về danh tính của kẻ tấn công.

Chỉ vài giờ sau khi Arkham công bố chương trình thưởng, chuyên gia bảo mật on-chain ZachXBT đã nhanh chóng nộp báo cáo, sử dụng dữ liệu on-chain để truy vết dòng tiền bị đánh cắp.

Kết quả điều tra đã giúp xác định nhóm hacker Lazarus của Triều Tiên là thủ phạm đứng sau vụ việc. Nhờ phát hiện này, ZachXBT đã nhận được khoản thưởng từ Arkham, đồng thời tiết lộ danh tính của kẻ chủ mưu đằng sau vụ hack lớn nhất lịch sử sàn giao dịch crypto.

Trước đó, thông tin lan truyền cho rằng Park Jin Hyok, một lập trình viên máy tính của Triều Tiên và là thành viên của nhóm hacker Lazarus Group là chủ mưu vụ hack trên. Park đã bị FBI truy nã với cáo buộc tham gia vào một âm mưu tội phạm mạng do nhà nước bảo trợ, chịu trách nhiệm cho nhiều vụ xâm nhập hệ thống gây thiệt hại hàng tỷ USD.

park jin hyok bị truy nã — Park Jin Hyok hiện đang bị FBI truy nã. Nguồn: fbi.gov

Trước đó, Park Jin Hyok bị chính phủ Mỹ cáo buộc là người đứng sau việc phát triển mã độc WannaCry, thực hiện vụ tấn công Sony Pictures năm 2014, và đánh cắp hàng trăm triệu USD từ ngân hàng trung ương Bangladesh. Ngoài ra, người này còn liên kết với Chosun Expo Joint Venture, một tổ chức hacker có mối quan hệ chặt chẽ với Lazarus Group.

Tuy nhiên, hiện vẫn chưa có bằng chứng cụ thể chứng minh Park Jin Hyok trực tiếp tham gia vào cuộc tấn công này.

Lazarus Group là một tổ chức hacker khét tiếng bị cho là có liên hệ trực tiếp với chính phủ Triều Tiên, chuyên thực hiện các cuộc tấn công mạng nhằm đánh cắp tiền điện tử và tài sản tài chính để tài trợ cho các chương trình phát triển vũ khí. Nhóm này đã trở thành một trong những mối đe dọa lớn nhất đối với thị trường crypto toàn cầu, với hàng loạt vụ hack quy mô lớn nhắm vào các sàn giao dịch, cầu nối blockchain và nền tảng DeFi.

Một trong những vụ hack nổi tiếng nhất của Lazarus là cuộc tấn công vào Ronin Network năm 2022, khiến Sky Mavis, công ty phát triển Axie Infinity mất 625 triệu USD. Hacker đã sử dụng kỹ thuật phishing để chiếm quyền kiểm soát các validator nodes, từ đó rút 173,600 ETH và 25.5 triệu USDC.

Đây là vụ hack DeFi lớn nhất trong lịch sử, khiến Ronin Network phải đóng cửa trong nhiều tuần và làm lung lay niềm tin vào hệ sinh thái Axie Infinity. Cũng trong năm 2022, Lazarus tiếp tục thực hiện một cuộc tấn công khác vào Horizon Bridge của Harmony, đánh cắp 100 triệu USD bằng cách chiếm quyền kiểm soát multisig wallet của cầu nối. Vụ việc này dẫn đến việc Harmony gặp khó khăn nghiêm trọng về tài chính khi không thể bồi thường hoàn toàn cho người dùng.

Sau mỗi vụ hack, Lazarus thường triển khai các phương pháp rửa tiền tinh vi nhằm che giấu dấu vết. Nhóm này sử dụng mixers như Tornado Cash, hoán đổi token trên DEX, phân tán tài sản qua nhiều blockchain khác nhau, và chuyển tiền sang các sàn giao dịch ít yêu cầu KYC trước khi quy đổi thành tiền mặt.

Mặc dù FBI và nhiều tổ chức quốc tế đã truy vết và phong tỏa hàng trăm triệu USD từ nhóm này, Lazarus vẫn tiếp tục hoạt động mạnh mẽ và là một trong những mối đe dọa hàng đầu đối với an ninh mạng trong lĩnh vực crypto.

Nhiều tổ chức ủng hộ và bảo vệ sàn Bybit

Trước vụ hack này, nhiều tổ chức và cá nhân trong ngành đã lên tiếng hỗ trợ Bybit. Nhà sáng lập Tron, Justin Sun, cho biết mạng lưới của ông đang giúp truy vết dòng tiền bị đánh cắp. Trong khi đó, sàn giao dịch OKX cũng đã huy động đội ngũ bảo mật để hỗ trợ điều tra.

Sàn KuCoin cũng đăng tải thông điệp ủng hộ Bybit, đội ngũ và CEO Ben Zhou, nhấn mạnh rằng crypto là trách nhiệm chung, và sự hợp tác giữa các sàn giao dịch là yếu tố quan trọng trong việc chống lại tội phạm mạng và củng cố an ninh toàn ngành.

Bên cạnh sự ủng hộ từ các sàn lớn, một số thành viên trong cộng đồng đã kêu gọi ngừng FUD về Bybit. Conor Grogan, giám đốc Coinbase, khẳng định trên nền tảng X rằng Bybit vẫn đang xử lý các yêu cầu rút tiền bình thường, với hơn 20 tỷ USD tài sản trên nền tảng và các ví lạnh không bị ảnh hưởng.

sàn bybit đủ thanh khoản — Dữ liệu từ DefiLlama cho thấy sàn Bybit vẫn hoàn toàn đủ khả năng thanh khoản. Nguồn: DefiLlama

Ông nhấn mạnh rằng vụ hack này chỉ ảnh hưởng đến quy trình ký giao dịch chứ không phải tình trạng thanh khoản của sàn, do đó Bybit không phải là một FTX thứ hai.

Ông cho rằng nếu Bybit thực sự có vấn đề nghiêm trọng, ông sẽ là người đầu tiên cảnh báo. Nhà sáng lập Aave, Stani Kulechov, cũng đưa ra nhận định tương tự, dựa trên kinh nghiệm của chính Aave khi từng đối mặt với một vụ hack quy mô lớn.

Cùng với những phản ứng từ cộng đồng, nhiều chuyên gia bảo mật đã chia sẻ các biện pháp giúp người dùng bảo vệ tài sản của mình. Quit, Phó Chủ tịch blockchain của Yuga Labs, khuyến nghị người dùng nên sử dụng multisignature, ví phần cứng (hardware wallet) để ký giao dịch quan trọng, và chạy mô phỏng trên Tenderly trước khi thực hiện giao dịch lớn.

Sàn KuCoin cũng nhắc nhở người dùng kích hoạt xác thực hai yếu tố (2FA), sử dụng mật khẩu mạnh và thiết lập passkey để tăng cường bảo mật.

phó chủ tịch yuga labs khuyên bảo mật — Phó chủ tịch Yuga Labs đưa ra nhiều lời khuyên về bảo mật cho cộng đồng. Nguồn: 0xQuit

Với quy mô của vụ hack Bybit, sự kiện này một lần nữa nhấn mạnh mức độ rủi ro của các sàn giao dịch crypto và tầm quan trọng của việc áp dụng các biện pháp bảo mật nghiêm ngặt để bảo vệ tài sản của người dùng.

Đọc thêm: Binance, Bitget cho Bybit vay hàng trăm triệu USD để xử lý vụ hack