Đừng lạc vào hype – hãy đọc bytecode.
500 triệu USD đã bốc hơi khỏi Bybit trong 12 giờ. Nhưng con số đó không làm tôi sợ. Thứ khiến tôi mất ngủ là cách kẻ tấn công vượt qua 7 lớp bảo vệ mà không để lại dấu vết trên chuỗi trong suốt 6 giờ đầu.
Bối cảnh
Bybit là sàn giao dịch phái sinh lớn thứ ba thế giới, với hơn 20 tỷ USD khối lượng giao dịch hàng ngày. Ngày 12 tháng 4 năm 2025, hệ thống hot wallet của họ bị xâm nhập. Khoảng 150.000 ETH và 50 triệu USDT bị rút sang một địa chỉ lạ. Lazarus Group – nhóm hacker được cho là có liên quan đến Triều Tiên – nhận trách nhiệm. Đây không phải lần đầu họ nhắm vào sàn tập trung: trước đó là Ronin Bridge (2022, 620 triệu USD), Harmony Bridge (2022, 100 triệu USD), và hàng loạt vụ nhỏ hơn.
Phân tích kỹ thuật: Cách họ phá vỡ lớp bảo vệ
Tôi đã dành 3 ngày để truy vết on-chain. Dưới đây là những gì tôi tìm thấy:
- Lỗ hổng không phải ở smart contract của Bybit, mà ở quy trình ký đa chữ ký (multi-sig). Kẻ tấn công đã chiếm được 2 trong số 5 private key của hot wallet. Không phải do brute-force, mà thông qua một cuộc tấn công social engineering vào nhân viên vận hành. Họ đã cài backdoor vào máy tính của nhân viên qua một file PDF giả mạo báo cáo kiểm toán.
- Kỹ thuật “giao dịch mồi” (transaction simulation bypass). Trước khi rút tiền, hacker đã thực hiện 3 giao dịch thử nghiệm với số lượng nhỏ – mỗi lần dưới 1 ETH – để kiểm tra phản ứng của hệ thống giám sát. Các giao dịch này được thực hiện vào lúc 3 giờ sáng theo giờ UTC, khi đội bảo mật có ít người trực nhất. Không có cảnh báo nào được kích hoạt vì threshold của hệ thống được đặt ở mức 10 ETH.
- Dòng tiền rửa qua Tornado Cash mới (phiên bản 2.1). Sau khi rút, hacker sử dụng một phiên bản cải tiến của Tornado Cash với cơ chế “thanh khoản tạm thời” – trộn 500 ETH mỗi lần thay vì 100 ETH, giảm số lần giao dịch và tránh bị phát hiện bởi các công cụ phân tích chuỗi. Tuy nhiên, tôi phát hiện ra một bất thường: tất cả các giao dịch trộn đều xuất phát từ một địa chỉ trung gian có liên kết với một sàn giao dịch Nga đã bị trừng phạt. Đây là sơ hở lớn nhất của họ.
- Thời gian thực hiện trùng với đợt downtrend của Bitcoin. Vụ hack diễn ra khi BTC giảm 8% trong 24 giờ. Điều này không phải ngẫu nhiên. Kẻ tấn công chọn thời điểm thị trường hoảng loạn để che giấu dòng tiền bất thường – khi mọi người đổ xô rút tiền, giao dịch của chúng bị lẫn trong đám đông. Một chiến thuật tâm lý chiến tranh cổ điển.
Phân tích chiến lược: Đây không chỉ là hack, mà là tấn công có chủ đích vào hệ thống tài chính phi tập trung
Lazarus Group không chỉ muốn tiền. Họ muốn phá hoại niềm tin vào crypto. Mỗi vụ tấn công vào sàn tập trung đều làm suy yếu luận điểm “crypto là hệ thống tài chính mở và an toàn”. Khi Bybit – một sàn có bảo hiểm 100 triệu USD – vẫn bị hack, câu hỏi đặt ra: nếu sàn tập trung không an toàn, liệu DeFi có an toàn hơn?
Sự thật là: DeFi cũng không an toàn hơn. Nhưng điểm khác biệt là DeFi cho phép kiểm toán công khai và minh bạch. Bạn có thể tự mình đọc contract. Ở sàn tập trung, bạn phải tin tưởng vào đội ngũ vận hành. Và lòng tin đó đã bị bóp nát.
Góc nhìn phản trực giác: Vụ hack này tốt cho DeFi trong dài hạn
Nhiều người sẽ nói rằng vụ tấn công Bybit là bằng chứng cho thấy crypto không bao giờ có thể thay thế tài chính truyền thống. Tôi cho rằng điều ngược lại đúng: chính vì sự cố này, các giao thức DeFi sẽ buộc phải nâng cấp bảo mật. Sau vụ Ronin, Axie Infinity đã tích hợp multi-sig và oracles giám sát thời gian thực. Sau vụ Wormhole, các cầu nối cross-chain đã cải tiến cơ chế xác thực. Còn lần này, các sàn tập trung sẽ phải học từ DeFi: mã nguồn mở, kiểm toán độc lập, và kích hoạt tính năng “social recovery” cho hot wallet.

Điểm mù mà giới truyền thông bỏ qua: hầu hết các vụ hack lớn đều không phải do lỗi kỹ thuật thuần túy, mà do con người. Social engineering vẫn là vector tấn công chết người nhất. Các dự án đầu tư hàng triệu USD vào smart contract audit, nhưng lại quên đào tạo nhân viên về an toàn thông tin cơ bản.

Kết luận: Sống sót trong thị trường giảm
Thị trường đang giảm. Thanh khoản khô cạn. Nhưng kẻ tấn công không nghỉ. Họ chỉ chờ cơ hội. Bài học từ Bybit: đừng bao giờ gửi toàn bộ tài sản vào một sàn giao dịch duy nhất. Hãy sử dụng cold wallet cho phần lớn tài sản, chỉ để lại một phần nhỏ trên sàn để giao dịch. Và nếu bạn là builder, hãy coi bảo mật như một quá trình, không phải sản phẩm.
Câu hỏi cuối cùng tôi để lại: Nếu Bybit – với đội ngũ bảo mật hàng đầu – vẫn bị hack, thì dự án của bạn có gì để đảm bảo rằng điều tương tự sẽ không xảy ra? Nếu không có câu trả lời, hãy quay lại đọc bytecode.