Vào ngày 21 tháng 2 năm 2025, sàn giao dịch tiền điện tử Bybit đã bị tin tặc tấn công, dẫn đến mất cắp khoảng 1,5 tỷ đô la tài sản. Sự cố này không chỉ lập kỷ lục mới về trộm tiền điện tử mà còn khiến toàn ngành bàng hoàng vì cuộc tấn công đã vượt qua cơ chế bảo mật đa chữ ký được coi là tiêu chuẩn của ngành.

Phân tích sau đó cho thấy tin tặc đã đột nhập vào thiết bị của nhà phát triển Safe và sửa đổi mã JavaScript giao diện người dùng trên máy chủ Safe{Wallet}. Khi người nắm giữ nhiều chữ ký Bybit đăng nhập, giao diện hiển thị một giao dịch bình thường, nhưng nội dung thực tế được ký lại hoàn toàn khác, dẫn đến tình trạng mất cắp tiền.

Sự cố này đã khiến chúng ta phải suy nghĩ sâu sắc: Liệu ví đa chữ ký có thực sự là vấn đề không? Hay có điều gì sai sót trong cách chúng ta sử dụng nó?

Điểm mù bảo mật: Điểm lỗi đơn lẻ vô hình

Sau sự cố Bybit, một câu hỏi được đặt ra: Safe có thực sự an toàn không?

Phải thừa nhận rằng bản thân hợp đồng Safe là an toàn. Nó hoàn toàn là mã nguồn mở và đã được nhiều công ty bảo mật kiểm tra. Không có lỗ hổng hợp đồng lớn nào được tìm thấy trong quá trình hoạt động trước đây của nó. Nhưng bảo mật không chỉ là vấn đề về quy tắc hợp đồng.

Trên thực tế, rủi ro bảo mật liên quan đến chuỗi tin cậy dài. Khi sử dụng ví an toàn, người ký dựa vào nhiều liên kết: thiết bị ký, hệ điều hành, trình duyệt, plugin ví, Safe UI, nút RPC, trình duyệt blockchain, ví phần cứng và phần mềm của ví. Chuỗi này dài đến mức tin tặc thường có thể kiếm được lợi nhuận khổng lồ chỉ bằng cách phá vỡ một mắt xích.

Trong sự cố Bybit, kẻ tấn công đã chọn một liên kết có vẻ không dễ thấy: giao diện web. Tin tặc đã tấn công máy chủ của Safe{Wallet} và thay thế JavaScript. Người dùng nghĩ rằng mình đang ký một giao dịch bình thường, nhưng thực tế là anh ta đang ký một bản nâng cấp độc hại (đổi CALL thành DELEGATE_CALL).

Phân tích sâu hơn cho thấy nguyên nhân gốc rễ của loại lỗ hổng bảo mật này nằm ở “điểm giao nhau trong chuỗi tin cậy”. Ví đa chữ ký được cho là tạo ra một chuỗi an toàn được nhiều người xác minh, trong đó mỗi liên kết được một cá nhân độc lập kiểm tra. Trong điều kiện lý tưởng, mỗi người ký nên xác minh giao dịch bằng các công cụ và phương pháp độc lập. Nhưng trên thực tế, những người ký thường chia sẻ cùng một giao diện web, cùng một tập hợp các nút RPC, cùng một loại ví phần cứng và các quy trình xác minh tương tự nhau.

Điều này làm nổi bật một lỗ hổng bảo mật nghiêm trọng: khi tất cả người ký đều dựa vào cùng một giao diện web, kẻ tấn công chỉ cần kiểm soát điểm chung duy nhất này là có thể đánh lừa tất cả người ký cùng lúc. Điều đáng chú ý là đây không phải là vấn đề riêng của Safe mà là điểm mù phổ biến nhưng thường bị bỏ qua trong thực hành đa chữ ký.

Những điểm chung này chính là điểm yếu trong chuỗi bảo mật. Một tin tặc chỉ cần đột nhập vào một giao lộ là có thể ảnh hưởng đến tất cả mọi người cùng một lúc.

Bài học sâu sắc này cho chúng ta biết rằng an ninh không phải là một công cụ mà là một tập hợp các hoạt động có hệ thống. Việc có các công cụ đa chữ ký hàng đầu là không đủ để đảm bảo an ninh; điều quan trọng nằm ở cách xây dựng quy trình bảo mật hoàn chỉnh với các công cụ này.

Nhận thức này đặc biệt cấp thiết đối với các tổ chức và sàn giao dịch. Dữ liệu năm 2024 cho thấy tổn thất do trộm cắp tiền điện tử tăng 67% lên 494 triệu đô la, nhưng số lượng địa chỉ nạn nhân chỉ tăng 3,7%. Những kẻ tấn công rõ ràng đã chuyển hướng sang "bắn tỉa chính xác" các mục tiêu có giá trị cao, với số tiền bị đánh cắp lớn nhất lên tới 55,48 triệu đô la Mỹ. Khi tài sản của bạn đạt đến cấp độ tổ chức, bạn sẽ trở thành mục tiêu ưa thích của tin tặc và bất kỳ sự xâm phạm bảo mật nào cũng có thể dẫn đến thảm họa.

Sự mất mát của Bybit là bài học sâu sắc nhất, gióng lên hồi chuông cảnh báo cho toàn bộ ngành: bảo mật đa chữ ký thực sự đòi hỏi nhiều đường dẫn xác minh độc lập, không chỉ nhiều người ký. Không có số lượng người ký nào có thể cung cấp sự bảo mật thực sự nếu mọi người đều dựa vào cùng một nguồn thông tin.

Nói cách khác, bản thân Safe có thể an toàn, nhưng chỉ khi bạn sử dụng nó đúng cách và hiểu mọi mắt xích trong toàn bộ chuỗi an toàn. Điều này đặc biệt quan trọng đối với những cá nhân có giá trị tài sản ròng cao.

MPC + An toàn: Sự kết hợp an toàn mạnh mẽ hơn?

Nếu vụ hack Bybit trị giá 1,5 tỷ đô la dạy cho chúng ta điều gì đó, thì đó là chúng ta nên xem xét lại bản chất của bảo mật: tính bảo mật của ví đa chữ ký không nằm ở số lượng người ký mà nằm ở tính độc lập của các đường dẫn xác minh.

Khi mọi người cùng nhìn vào một giao diện web, bạn sẽ tạo ra một điểm lỗi duy nhất. Một tin tặc chỉ cần phá vỡ điểm này là có thể đánh lừa được tất cả mọi người. Đây là sự thật về vụ việc Bybit.

Vậy, làm thế nào chúng ta có thể tăng cường tính độc lập của các đường dẫn xác minh trong khi vẫn duy trì được lợi thế của quyền đa chữ ký phi tập trung?

Sự kết hợp giữa MPC và Safe có thể là câu trả lời. Sự kết hợp này không chỉ kế thừa những ưu điểm của cả hai mà còn có tiềm năng tạo ra một mô hình bảo mật mới, giải quyết cơ bản vấn đề "điểm tin cậy chung" trong các hoạt động đa chữ ký hiện nay.

Thiết kế bảo mật kết hợp MPC+Safe của Cobo Portal dựa trên hai nguyên tắc cốt lõi:

Tách liên kết xác minh

Trong các chương trình đa chữ ký truyền thống, tất cả người ký đều chia sẻ cùng một giao diện, nút RPC và logic phân tích, tạo thành một "điểm tin cậy tập trung" nguy hiểm. Một giải pháp an toàn hơn sẽ phá vỡ mô hình này và thiết lập một hệ thống xác thực riêng biệt:

• Cơ sở hạ tầng ký riêng biệt (như MPC hoặc HSM)

• Mạng nút RPC tự duy trì (không phụ thuộc vào các nút do Safe cung cấp)

• Một lớp dịch vụ phân tích nội dung giao dịch một cách độc lập (đảm bảo rằng mỗi người ký đều nhìn thấy nội dung giao dịch thực)

• Giao diện phê duyệt chuyên dụng, hoàn toàn tách biệt với Web UI chính

Giải pháp "Safe{Wallet} Co-signature" do Cobo đưa ra được phát triển dựa trên khái niệm này. Nó có thể đóng vai trò là người ký trong ví đa chữ ký Safe, nhưng hoàn toàn độc lập với những người ký khác.

Nguyên lý hoạt động : Cobo Portal sẽ lấy các giao dịch cần ký từ dịch vụ Safe, xem xét chúng thông qua hệ thống kiểm soát rủi ro độc lập, sau đó hoàn tất việc ký bằng ví MPC hoặc ví HSM được quản lý hoàn toàn và đẩy kết quả chữ ký trở lại hệ thống.

Lấy sự cố Bybit làm ví dụ, ngay cả khi tin tặc chiếm được giao diện Safe, hệ thống xác minh độc lập Cobo vẫn có thể hiển thị nội dung giao dịch thực và cảnh báo rủi ro.

Nguyên tắc đặc quyền tối thiểu

Là một sản phẩm bảo mật của Cobo, mô-đun phân tách quyền Cobo Safe triển khai một khái niệm đơn giản nhưng mạnh mẽ: ví lạnh không bao giờ yêu cầu quyền đầy đủ.

Lấy sàn giao dịch làm ví dụ, nhiệm vụ chính của ví lạnh là chuyển tiền vào ví nóng. Nhưng mỗi khi ví nóng cần tiền, người quản lý phải sử dụng toàn quyền kiểm soát ví lạnh để chuyển tiền, điều này làm tăng nguy cơ rủi ro không cần thiết.

Giải pháp Cobo Safe rất đơn giản, cho phép tạo vai trò "nhà điều hành bị hạn chế" đặc biệt, chỉ có một quyền: chuyển các loại tiền tệ cụ thể được liệt kê trong danh sách trắng đến một địa chỉ ví nóng được thiết lập trước. Các hoạt động hàng ngày chỉ cần được thực hiện thông qua địa chỉ có đặc quyền thấp này và không cần phải sử dụng thường xuyên Safe chính. Người dùng cũng có thể tự cấu hình danh sách đen và danh sách trắng của Safe, bao gồm các hạn chế đối với hợp đồng mục tiêu có thể được gọi, để tăng cường kiểm soát quyền hơn nữa.

Điều này có nghĩa là ngay cả khi tin tặc có toàn quyền kiểm soát tài khoản của người điều hành, thì điều duy nhất chúng có thể làm là chuyển tiền vào ví nóng của sàn giao dịch - chúng không có thẩm quyền sửa đổi cài đặt ví, không có thẩm quyền chuyển tiền sang các địa chỉ khác và không có thẩm quyền sử dụng các loại tiền tệ không nằm trong danh sách trắng.

Nếu sử dụng Cobo Portal, vụ trộm 1,5 tỷ đô la có vẫn xảy ra không?

Khi bạn hiểu được cách thức hoạt động của kẻ tấn công, bạn có thể thiết kế biện pháp phòng thủ hiệu quả. Hãy mô phỏng đường đi của kẻ tấn công và xem khả năng bảo vệ của Cobo Portal sẽ hoạt động như thế nào trong tình huống tấn công Bybit.

Phát lại cảnh

Bước tấn công 1: Mã JavaScript độc hại được đưa vào giao diện Safe

• Theo chương trình đa chữ ký an toàn: tất cả người ký đều sử dụng cùng một giao diện bị tấn công và thấy nội dung giao dịch được ngụy trang;

• Theo chương trình đồng ký Cobo Safe{Wallet}: Mặc dù giao diện Safe bị tấn công, ứng dụng phê duyệt độc lập của Cobo không bị ảnh hưởng và vẫn hiển thị nội dung giao dịch thực tế.

Bước tấn công 2: Ngụy trang chữ ký yêu cầu giao dịch

• Theo chương trình đa chữ ký an toàn: người ký nhìn thấy "chuyển đến ví nóng" nhưng thực chất là đang cho phép nâng cấp;

• Theo chương trình đồng ký Cobo Safe{Wallet}: liên kết xác minh độc lập sẽ xác định rằng giao dịch thực sự là hoạt động Gọi ủy quyền và cảnh báo rủi ro sẽ được hiển thị trên Ứng dụng.

Bước tấn công 3: Thu thập chữ ký và thực hiện cuộc tấn công

• Theo chương trình đa chữ ký an toàn: Sau khi thu thập đủ số chữ ký, kẻ tấn công sẽ giành được quyền kiểm soát hợp đồng;

• Theo chương trình đồng ký Cobo Safe{Wallet}: hiển thị nội dung giao dịch thực tế và cảnh báo rủi ro để người ký có thể xác định hành vi tấn công.

Bước tấn công 4: Bỏ qua phòng thủ đa chữ ký

• Theo chương trình đa chữ ký an toàn: Sau khi kẻ tấn công giành được quyền kiểm soát hợp đồng, hắn có thể chuyển nhượng toàn bộ tài sản;

• Sử dụng với giải pháp Cobo Safe: Ngay cả khi tất cả các biện pháp phòng thủ trước đó đều bị phá vỡ, tính năng phân tách quyền của Cobo Safe vẫn đảm bảo rằng kẻ tấn công chỉ có thể thực hiện các hoạt động được ủy quyền trước (chẳng hạn như chuyển tiền vào ví nóng được liệt kê trong danh sách trắng).

Theo biện pháp bảo vệ xác minh độc lập của Cobo Portal, những kẻ tấn công Bybit sẽ bị chặn ở nhiều giai đoạn. Điều đáng nhấn mạnh là mặc dù Cobo Safe{Wallet} và Cobo Safe là hai sản phẩm độc lập nhưng sử dụng cả hai cùng nhau sẽ mang lại mức độ bảo mật cao hơn. Nếu tuyến phòng thủ xác minh độc lập bị xâm phạm, hệ thống phân chia thẩm quyền vẫn có thể hạn chế hiệu quả phạm vi tổn thất có thể xảy ra. Khoản lỗ tài sản trị giá 1,5 tỷ đô la này hoàn toàn có thể tránh được thông qua chiến lược phòng thủ theo chiều sâu này.

Sự an toàn giống như bảo hiểm. Mọi người chỉ nhận ra tầm quan trọng của thảm họa sau khi nó đã xảy ra.

Thật không may, ngành công nghiệp này đã phải trả một cái giá quá đắt cho điều này, nhưng điều này cũng mang đến cho chúng ta cơ hội để suy nghĩ lại về bảo mật tiền điện tử, cụ thể là bảo mật là một trò chơi không đối xứng. Kẻ tấn công chỉ cần tìm ra một lỗ hổng; người phòng thủ phải bảo vệ tất cả. Với hàng tỷ đô la tài sản ngoài kia, các tin tặc hàng đầu và thậm chí cả tin tặc cấp quốc gia với nguồn lực vô hạn sẽ dành nhiều tháng hoặc thậm chí nhiều năm để nghiên cứu hệ thống của bạn, tìm kiếm điểm yếu duy nhất.

Đây chính là lý do tại sao Cobo phát triển giải pháp đồng ký Safe{Wallet}. Chúng tôi muốn giải quyết một vấn đề cốt lõi: Làm thế nào để loại bỏ những điểm hỏng đơn lẻ? Câu trả lời là xây dựng lại toàn bộ quy trình xác minh và triển khai nhiều biện pháp đảm bảo an ninh. Đối với các tổ chức quản lý tài sản lớn, bảo mật chưa bao giờ là điều đối lập với hiệu quả mà là điều kiện tiên quyết. Không có sự an toàn thì sẽ không có hiệu quả.

Cobo đã sử dụng hệ thống này trong nội bộ. Sau nhiều lần xảy ra sự cố bảo mật, chúng tôi nhận ra rằng các biện pháp bảo mật này không chỉ dành riêng cho chúng tôi mà còn mang lại lợi ích cho nhiều người dùng hơn. Vì vậy, chúng tôi đã sản xuất nó và tung ra bản dùng thử miễn phí trong 30 ngày. Tôi hy vọng rằng nó không chỉ có thể bảo vệ tài sản của bạn mà còn liên tục tối ưu hóa và nâng cấp theo phản hồi của bạn để hệ thống an ninh hoàn hảo hơn.

Bảo mật không phải là khoản đầu tư một lần mà là một quá trình liên tục. Khi các mối đe dọa tiếp tục gia tăng, việc bảo vệ an ninh cũng phải tiếp tục được cải thiện. Chỉ bằng sự tập trung và kiên trì, chúng ta mới có thể thực sự ứng phó được với môi trường rủi ro luôn thay đổi.