Nền tảng giao dịch mã hóa Iran遭遇重大 Hacker攻击，近亿美元资金被盗

Ngày 18 tháng 6 năm 2025, một sự kiện an ninh mã hóa lớn đã chấn động ngành. Nền tảng giao dịch mã hóa lớn nhất của Iran bị nghi ngờ đã bị Hacker xâm nhập, liên quan đến việc chuyển nhượng tài sản lớn bất thường trên nhiều chuỗi công khai.

Các cơ quan an ninh ước tính ban đầu, thiệt hại do sự cố này gây ra khoảng 8,170 triệu USD. Tài sản bị ảnh hưởng bao gồm nhiều mạng như TRON, EVM và BTC.

Nền tảng giao dịch này sau đó đã phát hành thông báo xác nhận rằng một số cơ sở hạ tầng và ví nóng thực sự đã gặp phải truy cập trái phép, nhưng nhấn mạnh rằng an toàn quỹ của người dùng không bị ảnh hưởng.

Đáng chú ý là, kẻ tấn công không chỉ chuyển tiền mà còn chủ động chuyển một lượng lớn tài sản vào địa chỉ tiêu hủy đặc biệt. Ước tính, tài sản bị "đốt cháy" có giá trị gần 100 triệu USD.

Dòng thời gian sự kiện

18 tháng 6

• Các chuyên gia an ninh lần đầu tiên tiết lộ nền tảng giao dịch mã hóa của Iran nghi ngờ bị tấn công bởi hacker, xảy ra nhiều giao dịch rút tiền khả nghi trên chuỗi TRON.
• Nền tảng này cho biết, đội ngũ kỹ thuật đã phát hiện một số cơ sở hạ tầng và ví nóng bị truy cập trái phép, đã ngay lập tức thực hiện các biện pháp đối phó.
• Một tổ chức Hacker tuyên bố chịu trách nhiệm về cuộc tấn công này và đe dọa sẽ công bố mã nguồn và dữ liệu nội bộ của nền tảng.

19 tháng 6

• Nền tảng giao dịch này đã phát hành tuyên bố mới nhất, cho biết đã hoàn toàn chặn đường truy cập bên ngoài vào máy chủ, việc chuyển khoản ví nóng là "di chuyển chủ động mà đội ngũ an ninh thực hiện để đảm bảo tài chính".
• Chính thức xác nhận khoảng 100 triệu USD tài sản bị đánh cắp đã được chuyển đến một số ví địa chỉ không chuẩn để tiêu hủy.
• Kẻ tấn công tuyên bố đã tiêu hủy tài sản mã hóa trị giá khoảng 90 triệu đô la Mỹ, gọi nó là "công cụ né tránh lệnh trừng phạt".
• Kẻ tấn công đã công khai một phần mã nguồn của nền tảng.

Chi tiết kỹ thuật

Theo thông tin mã nguồn công khai, hệ thống cốt lõi của nền tảng này chủ yếu được viết bằng Python và sử dụng K8s để triển khai và quản lý. Phân tích sơ bộ cho rằng, kẻ tấn công có thể đã vượt qua ranh giới vận hành, từ đó xâm nhập vào mạng nội bộ để thực hiện tấn công.

Phân tích dòng tiền

Kẻ tấn công đã sử dụng nhiều "địa chỉ hủy" có vẻ hợp pháp nhưng thực tế là không thể kiểm soát để nhận tài sản. Hầu hết các địa chỉ này đều tuân thủ quy tắc kiểm tra định dạng địa chỉ trên chuỗi, có thể nhận tài sản thành công, nhưng ngay khi tiền được chuyển vào thì tương đương với việc bị hủy vĩnh viễn. Những địa chỉ này còn mang từ ngữ khiêu khích rõ ràng.

Theo phân tích trên chuỗi, kẻ tấn công đã thực hiện một lượng lớn giao dịch trên nhiều mạng blockchain:

• TRON: đã hoàn thành 110,641 giao dịch USDT và 2,889 giao dịch TRX
• Chuỗi EVM: liên quan đến BSC, Ethereum, Arbitrum, Polygon và Avalanche, đã đánh cắp nhiều loại token chính.
• Bitcoin：Đánh cắp 18.4716 BTC, khoảng 2,086 giao dịch
• Dogecoin: Đánh cắp 39,409,954.5439 DOGE, khoảng 34,081 giao dịch
• Solana：Đánh cắp SOL, WIF và RENDER
• Các chuỗi khác: Cũng có tiền bị đánh cắp trên các chuỗi như TON, Harmony, Ripple.

Đề xuất an toàn

Sự kiện này lại nhắc nhở ngành rằng: an toàn là một tổng thể, nền tảng cần tăng cường bảo vệ an toàn hơn nữa. Đối với các nền tảng sử dụng ví nóng cho hoạt động hàng ngày, chúng tôi khuyến nghị:

1. Ngăn cách nghiêm ngặt quyền hạn và đường dẫn truy cập của ví nóng và ví lạnh, định kỳ kiểm toán quyền gọi ví nóng.
2. Sử dụng hệ thống giám sát thời gian thực trên chuỗi, kịp thời thu thập thông tin tình báo về mối đe dọa và giám sát an ninh động.
3. Phối hợp với hệ thống chống rửa tiền trên chuỗi, kịp thời phát hiện dòng tiền bất thường.
4. Tăng cường cơ chế phản ứng khẩn cấp, đảm bảo rằng sau khi xảy ra tấn công có thể ứng phó hiệu quả trong khoảng thời gian vàng.

Cuộc điều tra sự kiện vẫn đang diễn ra, đội ngũ an ninh sẽ tiếp tục theo dõi và cập nhật tiến trình kịp thời.