Nền tảng giao dịch tại Iran bị tấn công lớn bởi hacker, gần 100 triệu đô la bị đánh cắp

Vào ngày 18 tháng 6 năm 2025, một thám tử trên chuỗi đã tiết lộ rằng nền tảng giao dịch tiền điện tử lớn nhất của Iran có thể đã bị tấn công bởi Hacker, liên quan đến việc chuyển nhượng tài sản lớn bất thường giữa nhiều chuỗi công.

Đội ngũ an ninh xác nhận thêm, tài sản bị ảnh hưởng trong sự kiện bao gồm mạng TRON, EVM và BTC, ước tính thiệt hại ban đầu khoảng 8,170 triệu USD.

Nền tảng giao dịch này cũng đã phát hành thông báo xác nhận rằng một số cơ sở hạ tầng và ví nóng thực sự đã gặp phải truy cập trái phép, nhưng nhấn mạnh rằng quỹ của người dùng vẫn an toàn.

Đáng chú ý là, kẻ tấn công không chỉ chuyển tiền mà còn chủ động chuyển một lượng lớn tài sản vào địa chỉ tiêu hủy đặc biệt, tài sản đã "bị đốt" có giá trị gần 100 triệu USD.

Thời gian sự kiện

18 tháng 6

• Trinh thám trên chuỗi đã tiết lộ rằng một nền tảng giao dịch tiền điện tử ở Iran có khả năng đã gặp phải cuộc tấn công của hacker, với nhiều giao dịch rút tiền đáng ngờ xảy ra trên chuỗi TRON. Đội ngũ an ninh đã xác nhận rằng cuộc tấn công liên quan đến nhiều chuỗi khác nhau, ước tính sơ bộ thiệt hại khoảng 8,170 triệu USD.
• Nền tảng này cho biết, đội ngũ kỹ thuật đã phát hiện một phần cơ sở hạ tầng và ví nóng bị truy cập trái phép, đã ngay lập tức cắt đứt các giao diện bên ngoài và bắt đầu điều tra. Phần lớn tài sản được lưu trữ trong ví lạnh không bị ảnh hưởng, cuộc xâm nhập này chỉ giới hạn ở một phần ví nóng được sử dụng cho tính thanh khoản hàng ngày.
• Một tổ chức Hacker tuyên bố chịu trách nhiệm về cuộc tấn công này và thông báo sẽ công bố mã nguồn và dữ liệu nội bộ của nền tảng trong vòng 24 giờ.

19 tháng 6

• Nền tảng đã phát hành tuyên bố số bốn, cho biết đã hoàn toàn chặn đường truy cập bên ngoài vào máy chủ, việc chuyển tiền từ ví nóng là "di chuyển chủ động của đội ngũ an ninh nhằm bảo vệ tài sản". Đồng thời, chính thức xác nhận tài sản bị đánh cắp đã được chuyển đến một số ví có địa chỉ không chuẩn được tạo thành từ các ký tự tùy ý, những ví này được sử dụng để tiêu hủy tài sản của người dùng, tổng cộng khoảng 100 triệu USD.
• Tổ chức Hacker tuyên bố đã thiêu hủy tài sản tiền điện tử trị giá khoảng 90 triệu USD, và gọi nó là "công cụ tránh lệnh trừng phạt".
• Hacker tổ chức công khai mã nguồn của nền tảng.

Thông tin mã nguồn

Theo thông tin mã nguồn mà kẻ tấn công công bố, hệ thống cốt lõi của nền tảng chủ yếu được viết bằng Python và sử dụng K8s để triển khai và quản lý. Kết hợp với các thông tin đã biết, suy đoán rằng kẻ tấn công có thể đã vượt qua ranh giới vận hành, từ đó xâm nhập vào mạng nội bộ.

Phân tích dòng tiền

Kẻ tấn công đã sử dụng nhiều "địa chỉ tiêu hủy" có vẻ hợp pháp nhưng thực chất không thể kiểm soát để nhận tài sản, những địa chỉ này hầu hết đều符合 quy tắc kiểm tra định dạng địa chỉ trên chuỗi, có thể nhận tài sản thành công, nhưng một khi tiền được chuyển vào, tức là đã bị tiêu hủy vĩnh viễn. Đồng thời, những địa chỉ này còn mang các từ ngữ cảm xúc, khiêu khích, mang tính tấn công.

Theo phân tích của công cụ chống rửa tiền và theo dõi trên chuỗi, kẻ tấn công đã thực hiện một lượng lớn giao dịch trên nhiều mạng blockchain, bao gồm các tài sản như USDT, TRX, BTC, ETH, BSC, DOGE, SOL và nhiều loại tiền điện tử khác.

Gợi ý an toàn

Sự kiện này một lần nữa nhắc nhở ngành: an ninh là một tổng thể, nền tảng cần củng cố bảo vệ an ninh hơn nữa, áp dụng các cơ chế phòng thủ tiên tiến hơn, đặc biệt là đối với các nền tảng sử dụng ví nóng để vận hành hàng ngày, khuyến nghị:

• Tách biệt nghiêm ngặt quyền truy cập và đường dẫn giữa ví nóng và ví lạnh, định kỳ kiểm toán quyền truy cập ví nóng;
• Sử dụng hệ thống giám sát thời gian thực trên chuỗi, kịp thời nhận được thông tin tình báo về mối đe dọa và giám sát an ninh động đầy đủ;
• Phối hợp với hệ thống chống rửa tiền trên chuỗi, kịp thời phát hiện dòng tiền bất thường;
• Tăng cường cơ chế phản ứng khẩn cấp, đảm bảo có thể ứng phó hiệu quả trong khoảng thời gian vàng sau khi xảy ra tấn công.

Vụ việc vẫn đang được điều tra, đội ngũ an ninh sẽ tiếp tục theo dõi và cập nhật tiến triển kịp thời.