Chuyện gì đã xảy ra trong vụ tấn công trị giá 12 tỷ đồng của Holdstation?

Rạng sáng ngày 25 tháng 2, hệ sinh thái ví phi tập trung Holdstation chấn động khi ghi nhận một cuộc tấn công tinh vi khiến tổng thiệt hại được xác nhận lên tới 462.000 USDT, tương đương khoảng hơn 12 tỷ đồng. Sự cố được xác định là một cuộc tấn công chuỗi cung ứng (supply chain attack), không xuất phát từ lỗi hợp đồng thông minh mà bắt nguồn từ việc xâm nhập vào hạ tầng phân phối phần mềm.

Theo báo cáo sự cố an ninh do Holdstation công bố cùng ngày tại TP.HCM, vào khoảng 1 giờ 30 phút sáng theo giờ Việt Nam, mã độc được kích hoạt thông qua một bản cập nhật giả mạo. Thay vì tấn công trực tiếp vào hợp đồng thông minh, tin tặc đã can thiệp vào hệ thống máy chủ phân phối và quy trình CI/CD – nơi lưu trữ và triển khai các bản cập nhật ứng dụng. Bằng cách chiếm quyền truy cập, kẻ tấn công đã chèn mã JavaScript độc hại vào các tệp quan trọng kiểm soát chức năng ví.

Điểm nguy hiểm nằm ở chỗ bản cập nhật nhiễm mã độc được phát hành như một phiên bản hợp lệ. Khi người dùng cài đặt, mã độc lập tức âm thầm kích hoạt mà không hiển thị bất kỳ cảnh báo nào. Cơ chế ký giao dịch bị thao túng, cho phép thực hiện các lệnh chuyển tài sản tự động mà không cần xác nhận từ chủ ví. Toàn bộ tài sản trong ví bị ký và chuyển đến địa chỉ của kẻ tấn công, rồi nhanh đưa về ví blockchain cá nhân.

Chỉ hai phút sau khi cuộc tấn công bắt đầu, hệ thống giám sát nội bộ phát hiện sự gia tăng bất thường của các giao dịch có cùng địa chỉ đích và kích hoạt cảnh báo đỏ trên toàn hệ thống. Đến 1 giờ 35 phút, Holdstation tạm dừng các dịch vụ liên quan để hạn chế thiệt hại. 10 phút sau, đội ngũ kỹ thuật xác định lỗ hổng nằm ở hạ tầng phân phối bản cập nhật và lập tức gỡ bỏ phiên bản độc hại, khôi phục bản an toàn trước đó.

Khoảng 2 giờ sáng cùng ngày, tin tặc bắt đầu di chuyển tài sản sang các sàn giao dịch phi tập trung để tìm cách thanh khoản số tài sản đánh cắp. Holdstation cho biết đã chủ động rút thanh khoản khỏi một số bể thanh khoản trọng yếu nhằm cô lập dòng tiền. Đồng thời, dự án phối hợp với các sàn giao dịch tập trung và đơn vị kiểm toán bảo mật Verichains để theo dõi, đánh dấu đen địa chỉ ví của hacker và nỗ lực đóng băng tài sản.

Theo phân tích kỹ thuật, kẻ tấn công đã đánh cắp session token của nhân sự nội bộ, từ đó vượt qua lớp xác thực đa yếu tố và giành quyền kiểm soát máy chủ. Một “cửa hậu” được cài đặt để duy trì truy cập và phục vụ việc ghi đè tệp cập nhật chính thức. Đáng chú ý, mã độc chỉ kích hoạt khi người dùng cập nhật ứng dụng, giúp nó qua mặt nhiều lớp kiểm soát bảo mật truyền thống.

Holdstation khẳng định sự cố không liên quan đến lỗ hổng trong hợp đồng thông minh hay cơ chế mã hóa ví. Dự án cam kết bồi thường 100% thiệt hại cho người dùng bị ảnh hưởng và đã mở cổng tiếp nhận yêu cầu đền bù. Song song đó, đội ngũ đang triển khai hệ thống ký đa chữ ký off-chain cho quy trình cập nhật, tái cấu trúc toàn bộ bộ máy và yêu cầu mọi bản vá phải trải qua kiểm toán độc lập trước khi phát hành.

Sự cố một lần nữa gióng lên hồi chuông cảnh báo về rủi ro từ các cuộc tấn công chuỗi cung ứng trong lĩnh vực tài sản số, nơi điểm yếu không nằm ở blockchain mà ở các lớp hạ tầng trung gian. Trong bối cảnh thị trường còn nhiều biến động, nhà đầu tư phân bổ tài sản hợp lý và cân nhắc giao dịch trên các nền tảng có cơ chế quản trị rủi ro chặt chẽ. Trong thời gian các dự án nội địa củng cố hệ thống, một số nhà đầu tư cân nhắc các sàn giao dịch quốc tế như BingX để đa dạng hóa kênh tiếp cận và quản lý rủi ro.

Vụ việc của Holdstation cho thấy ngay cả những nền tảng theo mô hình phi lưu ký cũng không miễn nhiễm trước các cuộc tấn công tinh vi nhằm vào chuỗi cung ứng phần mềm. Khi cuộc đua bảo mật ngày càng khốc liệt, năng lực phản ứng sự cố và minh bạch thông tin sẽ là yếu tố quyết định niềm tin của cộng đồng.