Hacker đã thực hiện một trong những vụ tấn công lớn nhất lịch sử crypto khi rút hơn 1,4 tỷ USD ETH từ ví lạnh của Bybit. Ước tính ban đầu cho thấy sàn giao dịch đã mất hơn 1 tỷ USD ETH cùng một lượng lớn các token khác.

Bybit ETH multisig cold wallet just made a transfer to our warm wallet about 1 hr ago. It appears that this specific transaction was musked, all the signers saw the musked UI which showed the correct address and the URL was from @safe . However the signing message was to change…

— Ben Zhou (@benbybit) February 21, 2025

Ben Zhou, CEO Bybit, đăng trên X:

"Ví lạnh multisig ETH của Bybit vừa thực hiện chuyển khoản đến ví nóng cách đây khoảng một giờ. Giao dịch này bị ‘musked’, tất cả các signer đều thấy giao diện hiển thị địa chỉ đúng, URL cũng từ Safe. Nhưng thực tế, tin nhắn ký đã thay đổi logic smart contract của ví lạnh ETH. Kết quả là hacker chiếm quyền kiểm soát ví lạnh ETH cụ thể mà chúng tôi đã ký và chuyển toàn bộ ETH trong ví sang địa chỉ không xác định. Xin hãy yên tâm rằng tất cả các ví lạnh khác đều an toàn. Việc rút tiền vẫn diễn ra bình thường."

Hacker đã lừa các signer của ví lạnh Bybit phê duyệt một giao dịch độc hại, từ đó chiếm quyền kiểm soát và thực hiện chuyển khoản. Đây có thể là vụ hack lớn nhất từng xảy ra với một sàn giao dịch tập trung. Trước đó, Coincheck mất 534 triệu USD năm 2018, Mt. Gox mất 470 triệu USD năm 2014, còn FTX bị rút 415 triệu USD ngay khi bước vào quá trình phá sản năm 2022.

Hôm nay, Bybit thông báo bảo trì máy chủ live kéo dài đến ngày mai, gây tranh cãi khi cộng đồng bảo mật theo dõi các giao dịch đáng ngờ.

Trong vòng một giờ qua, hacker đã phân tán tài sản đánh cắp—bao gồm nhiều dạng liquid staking ETH—ra hàng chục ví phụ. Ban đầu, toàn bộ 400.000 ETH (~1,1 tỷ USD), 90.000 stETH, 15.000 cmETH và 8.000 cETH được chuyển vào địa chỉ bắt đầu bằng 0x476. Hacker sử dụng “sweep ETH function”, một cơ chế smart contract giúp chuyển toàn bộ token từ hợp đồng này sang hợp đồng khác, giải thích vì sao các con số chuyển khoản tròn trịa.

Sau đó, phần lớn số tiền này được chia tiếp vào ba địa chỉ "phân phối" — 0xB4a, 0x23Ob, và 0x83Ef5. Từ đây, hacker tiếp tục tán nhỏ tài sản vào hàng chục ví mới rồi swap qua các DEX như Uniswap, Paraswap và KyberSwap. Hắn cũng hoán đổi các liquid staking token như stETH thành ETH, một động thái mà giới bảo mật cho rằng nhằm tránh bị đóng băng tài khoản.

Dữ liệu từ Arkham Research cho thấy địa chỉ 0x476 "Bybit Hack" chỉ còn giữ khoảng 3,7 triệu USD crypto tính đến 11:30 sáng thứ Sáu. Bybit khẳng định các ví nóng và lạnh khác không bị ảnh hưởng, chỉ riêng ví ETH bị tấn công.

"Bybit vẫn bảo toàn khả năng thanh toán ngay cả khi không thu hồi được số tiền này. Tất cả tài sản của khách hàng được bảo chứng 1:1, chúng tôi có thể bù đắp thiệt hại."

BitMEX Research ước tính khoảng 75% số ETH ký gửi của người dùng Bybit đã bị rút. Sàn vẫn đang nắm giữ hơn 20 tỷ USD crypto khác, bao gồm gần 6,9 tỷ USD BTC, 4,1 tỷ USD USDT và 1,2 tỷ USD ETH. Arkham ghi nhận Bybit đã di chuyển 560 triệu USDT trên Tron từ một ví kho bạc sang ví nóng.