Phân Tích Vụ Tấn Công Supply Chain Attack gây thất thoát 27 triệu đô la của sàn BigONE

BigONE, sàn giao dịch tiền điện tử có trụ sở tại Seychelles, vào ngày 16/7/2025 đã thông báo về một vụ tấn công bảo mật nghiêm trọng, gây thiệt hại hơn 27 triệu USD dưới nhiều loại tài sản kỹ thuật số. Sàn xác nhận vụ tấn công vào ví nóng của họ, với số tiền bị đánh cắp bao gồm BTC, ETH, SOL, USDT, SHIB, CELR, DOGE, UNI, LEO, XIN và SNT.

Cách mà Haker tấn công BigONE

Điểm đáng chú ý nhất trong vụ hack BigONE là việc SlowMist xác nhận đây là một tấn công chuỗi cung ứng (supply chain attack). Điều này đặc biệt nguy hiểm và tinh vi hơn nhiều so với các vụ hack thông thường chỉ nhắm vào ví nóng bằng cách lấy cắp khóa riêng tư.

Bản chất của tấn công chuỗi cung ứng: Thay vì tấn công trực tiếp vào hệ thống chính của mục tiêu (ở đây là BigONE) một cách thô bạo, kẻ tấn công sẽ tìm cách xâm nhập vào một mắt xích yếu hơn trong "chuỗi cung ứng" các phần mềm, dịch vụ, hoặc đối tác mà BigONE sử dụng.

• Trong trường hợp của BigONE, SlowMist cho biết kẻ tấn công đã "xâm nhập mạng lưới rồi can thiệp vào logic hoạt động của các máy chủ liên quan kiểm soát tài khoản và quản trị rủi ro." Điều này gợi ý rằng chúng có thể đã:

  • Compromise phần mềm hoặc hệ thống của bên thứ ba: Có thể là một nhà cung cấp phần mềm bảo mật, một công cụ quản lý máy chủ, hoặc một dịch vụ bên ngoài nào đó mà BigONE tích hợp vào hệ thống của mình. Khi bên thứ ba này bị xâm nhập, kẻ tấn công có thể chèn mã độc hoặc thay đổi logic hoạt động.

  • Khai thác lỗ hổng trong quy trình phát triển/triển khai: Kẻ tấn công có thể đã tìm thấy một điểm yếu trong quá trình cập nhật, triển khai code, hoặc cấu hình hệ thống của BigONE, cho phép chúng chèn hoặc thay đổi các lệnh mà không bị phát hiện.

"Bòn rút tài sản mà không cần lấy private key": Đây là chi tiết cực kỳ quan trọng. Nó cho thấy kẻ tấn công không trực tiếp "phá cửa két sắt" (private key) mà thay vào đó, chúng đã tìm cách điều khiển người "gác két sắt" (hệ thống quản lý tài khoản và rủi ro) để tự động chuyển tiền ra ngoài. Điều này có thể bao gồm việc:

• Thao túng các quy tắc tự động rút tiền.
• Tạo ra các giao dịch giả mạo được hệ thống chấp nhận là hợp lệ.
• Vượt qua các cơ chế kiểm soát rủi ro nội bộ mà không cần quyền truy cập cấp cao nhất vào ví.

Đánh Giá Về Phản Ứng Của BigONE

• Khẳng định Private Key an toàn: Đây là một tuyên bố tích cực, cho thấy lõi bảo mật của ví vẫn nguyên vẹn. Nếu private key bị lộ, thiệt hại có thể còn lớn hơn nhiều và việc khôi phục niềm tin sẽ khó khăn hơn.

• Cam kết hoàn tiền 100%: Đây là động thái cần thiết để trấn an người dùng và duy trì uy tín. Việc sử dụng quỹ dự phòng và vay thêm từ bên ngoài cho thấy BigONE đang nỗ lực hết sức để giữ lời hứa. Tuy nhiên, việc phải vay thêm cũng cho thấy quy mô thiệt hại là đáng kể so với nguồn lực nội bộ.

• Hợp tác với SlowMist: SlowMist là một công ty bảo mật blockchain uy tín, việc hợp tác này sẽ giúp BigONE trong việc truy vết dòng tiền và phân tích sâu hơn về cuộc tấn công.

Góc Nhìn Từ ZachXBT và Những Hàm Ý

Bình luận của thám tử on-chain ZachXBT, người "không mấy thương xót BigONE" vì sàn này từng xử lý khối lượng đáng kể từ các phi vụ lừa đảo kiểu "romance scam" (lừa đảo tình cảm) hoặc "pig butchering" (mổ heo), mang lại một góc nhìn khác:

• Mối liên hệ với hoạt động phi pháp: "Pig butchering" là một hình thức lừa đảo tài chính tinh vi và có tổ chức, thường bắt đầu bằng việc kẻ lừa đảo xây dựng mối quan hệ cá nhân (thường là lãng mạn) với nạn nhân, sau đó thuyết phục họ đầu tư vào các nền tảng tiền điện tử giả mạo. Việc ZachXBT cáo buộc BigONE xử lý các khoản tiền liên quan đến hoạt động này có thể ám chỉ rằng sàn có thể đã thiếu các biện pháp kiểm soát AML (Chống rửa tiền) và KYC (Xác minh danh tính khách hàng) nghiêm ngặt, hoặc đã có sơ hở trong việc phát hiện và ngăn chặn dòng tiền bẩn.

• Hậu quả về uy tín: Mặc dù BigONE đã cam kết bồi thường, nhưng những cáo buộc về việc liên quan đến các hoạt động lừa đảo có thể làm suy giảm nghiêm trọng niềm tin của cộng đồng, đặc biệt là những nhà đầu tư có ý thức về trách nhiệm xã hội và tính minh bạch. Điều này có thể ảnh hưởng đến khả năng thu hút người dùng mới và duy trì hoạt động trong dài hạn.

Tổng Kết và Triển Vọng

Vụ hack BigONE là lời nhắc nhở rõ ràng về rủi ro bảo mật vẫn còn tồn tại trong không gian tiền điện tử, đặc biệt là với các loại hình tấn công tinh vi như chuỗi cung ứng. Mặc dù BigONE đã có phản ứng nhanh chóng và cam kết bồi thường, nhưng áp lực về việc nâng cấp bảo mật toàn diện và cải thiện các quy trình kiểm soát dòng tiền bất hợp pháp sẽ là rất lớn. Uy tín của BigONE sẽ phụ thuộc vào việc họ thực hiện những cam kết này như thế nào và liệu họ có thể lấy lại niềm tin từ cộng đồng hay không.