Đằng sau vụ hack nhằm vào Bybit

Ngay sau giữa trưa UTC vào thứ sáu, sàn giao dịch tiền điện tử lớn thứ hai thế giới là Bybit đã bị hack mất 1.4 tỷ USD. Sàn giao dịch mô tả vụ hack là "hành vi thao túng quy trình chuyển tiền trong Ví lạnh đa chữ ký ETH của chúng tôi trong quá trình chuyển tiền theo kế hoạch". Kết quả là hơn 400,000 ETH đã được chuyển đến một địa chỉ ví không xác định (0x47666fab8bd0ac7003bce3f5c3585383f09486e2).

Hơn 500,000 ETH, stETH và mETH trị giá hơn 1.4 tỷ USD tại thời điểm xảy ra vụ hack đã bị rút khỏi ví của Bybit.

Hình 1: Thành phần lượng tài sản bị đánh cắp trên Bybit tính theo USD

Nhà điều tra ZachXBT trên chuỗi đã liên kết lỗ hổng này với Lazarus Group, người đã được trao thưởng 30,000 USD cho các cuộc điều tra của mình. Nhóm này hiện khét tiếng trong cộng đồng tiền điện tử vì một số vụ hack lớn nhất từng được ghi nhận và bị cáo buộc có liên quan đến Triều Tiên.

Những kẻ tấn công đã chuyển tiền trong khoảng thời gian từ 3 giờ chiều đến 4 giờ 30 chiều, với gần như tất cả các khoản tiền đều rời khỏi ví chính của chúng ngay sau cuộc tấn công. Ví của tin tặc ban đầu hiện chỉ chứa lượng ETH trị giá hơn 3 triệu USD.

Hình 2: Các tài sản nắm giữ trên các ví chính của hacker

Hacker đã chuyển tiền theo từng đợt, chọn cách chia số ETH bị đánh cắp thành 40 giao dịch 10k riêng biệt. Tất cả các khoản tiền không phải ETH, bao gồm stETH và mETH, đã được gửi đến một ví khác. Sau đó, stETH được gửi đến các địa chỉ khác với mục đích là xóa dấu vết của số tiền trên chuỗi.

Hình 3: Các khoản chuyển tiền trực tiếp từ ví đầu tiên của hacker

Tuy nhiên, có vẻ như chỉ có bốn ví đối tác Cấp độ 1—những ví ban đầu nhận được ETH từ địa chỉ của kẻ khai thác—chuyển tiền sang các ví khác, được gọi là các đối tác Cấp độ 2, để tiếp tục phân phối tài sản bị đánh cắp. Bằng cách so sánh số ETH mà các đối tác Cấp độ 2 nhận được (393 triệu USD) với tổng số ETH bị đánh cắp (1.12 tỷ đô la), chúng ta có thể suy ra rằng hơn 700 triệu USD ETH vẫn còn trong các ví Cấp độ 1. Những khoản tiền này có khả năng vẫn thuộc về kẻ khai thác và không bị động đến kể từ hai giờ sau vụ tấn công. Kaiko cung cấp các giải pháp giám sát cho các công ty muốn theo dõi các địa chỉ này.

Hình 4: Còn ít nhất 700 triệu USD nằm trong các ví đối tác của hacker

Nhìn chung, Kaiko đã xác định được 69 ví do tin tặc sở hữu trực tiếp, 449 ví được sử dụng để phân phối số tiền bị đánh cắp trên toàn bộ blockchain và hơn 1,600 ví khác đã tương tác gián tiếp với các ví đã biết của kẻ khai thác kể từ vụ tấn công hôm thứ Sáu. Vì một số quỹ vẫn chưa được di chuyển và các nỗ lực đóng băng tài sản vẫn tiếp tục, nên số lượng ví bị ảnh hưởng dự kiến ​​sẽ tăng lên trong những ngày và tuần tới.

Đợt bán tháo ngắn hạn

Giá BTC và ETH bắt đầu giảm ngay trước khi vụ hack được Bybit chính thức xác nhận. Trong những giờ sau thông báo, Bitcoin đã giảm 3%, trong khi Ethereum giảm mạnh hơn 7%.

Hình 5: Phản ứng của giá ETH sau vụ hack

Vào cuối tuần, ETH đã phục hồi nhẹ trên 2.8 nghìn USD, được thúc đẩy bởi việc Bybit mua lại ETH để bổ sung dự trữ. Tuy nhiên, nó đã mất một số khoản tăng này vào thứ Hai và rất khó để dự đoán thị trường sẽ diễn biến như thế nào. Những kẻ tấn công đã trở thành người nắm giữ ETH lớn thứ 14, vượt qua cả Ethereum Foundation và người sáng lập ETH, Vitalik Buterin. Sự tập trung tiền này có thể ảnh hưởng đến triển vọng của ETH trong trung hạn và có khả năng tác động đến nhu cầu của các tổ chức.

Theo truyền thống, các vụ tấn công tiền điện tử đã có tác động trái chiều đến Bitcoin, vốn thường được hưởng lợi từ dòng tiền trú ẩn an toàn. Tương tự như vậy, ETH thường phản ứng tích cực, tăng giá trong những giờ sau các sự cố trước đây như vụ tấn công Ronin Network, Poly Network và Coincheck.

Hình 6: Các giao dịch ETH-USDT trên Bybit

Chỉ riêng delta khối lượng tích lũy của cặp này đã âm 52 triệu USD trong giờ đầu tiên sau khi Zhou công bố vụ tấn công. Có một số lệnh bán lớn vào thời điểm công bố, với một điểm dữ liệu riêng lẻ cho thấy lệnh bán 500,000 USD vào khoảng 3:44 chiều thứ Sáu.

Tác động và triển vọng thanh khoản

Tính thanh khoản của Bybit đã bị ảnh hưởng nghiêm trọng sau vụ tấn công, khi các nhà tạo lập thị trường thoát hàng loạt. Mặc dù vậy, hoạt động quản lý khủng hoảng và truyền thông của sàn giao dịch đã được cộng đồng tiền điện tử đón nhận nồng nhiệt.

Hình 7: Độ sâu thị trường 1% trên Bybit sau vụ hack

Tính thanh khoản của BTC, ETH và altcoin bắt đầu giảm sút ngay cả trước khi Bybit chính thức xác nhận vụ hack. Từ 1 giờ chiều đến 10 giờ tối (UTC) ngày 21 tháng 2, tổng độ sâu thị trường 1% của BTC, ETH và 50 altcoin hàng đầu theo vốn hóa thị trường đã giảm 59%, từ 68 triệu USD xuống còn 28 triệu USD, trong đó altcoin chịu mức giảm mạnh nhất.

Hình 8: Thanh khoản trên sàn Bybit giảm mạnh

Đến sáng thứ Hai, thị phần thanh khoản tiền điện tử toàn cầu của Bybit đã giảm một nửa từ 5% xuống còn 2.6%, mặc dù độ sâu thị trường cho thấy dấu hiệu ổn định vào sáng sớm thứ Hai.

Tác động đến khối lượng giao dịch cũng đáng kể không kém. Trong khi khối lượng giao dịch hàng giờ tăng đột biến sau vụ tấn công, có thể là do đợt bán tháo ảnh hưởng đến ETH và các tài sản khác sau thông báo chính thức, khối lượng hàng ngày trên sàn giao dịch đã giảm xuống còn 1.4 tỷ USD vào cuối tuần.

Hình 9: Thanh khoản trên sàn Bybit giảm mạnh

Trong những ngày sau vụ tấn công, lượng tiền rút tăng vọt lên hơn 5 tỷ USD khi các nhà giao dịch vội vã thoát khỏi sàn giao dịch. Thị phần khối lượng giao dịch của Bybit đã giảm từ hơn 8% xuống chỉ còn 3.2%. Hiện tại, vẫn chưa rõ liệu có sàn giao dịch nào khác được hưởng lợi từ sự sụt giảm này hay không.

Rủi ro định giá lại nhanh chóng

Ngoài thị trường giao ngay, chúng tôi cũng chứng kiến ​​rủi ro định giá lại trong thị trường quyền chọn. Biến động ngụ ý (IV) tăng đột biến khi tin tức nổ ra. Biến động ngụ ý trên các quyền chọn hết hạn trong thời gian ngắn đã tăng vọt trên các quyền chọn có thời hạn dài hơn, được gọi là cấu trúc kỳ hạn đảo ngược và thường biểu thị một sự kiện rủi ro trong ngắn hạn.

Tuy nhiên, như chúng ta có thể thấy bên dưới, thị trường tiếp tục định giá lại rủi ro trong suốt cả tuần và cấu trúc bị bẻ cong đã trở lại vào thứ Hai.

Hình 10: Biến động ngụ ý của ETH tăng mạnh sau khi bị hack

Nếu chúng ta phóng to vào ngày hết hạn hôm nay, chúng ta có thể thấy các nhà giao dịch tinh vi đã phản ứng mạnh mẽ như thế nào với sự kiện này. Biểu đồ bên dưới cho thấy sự tiến triển của IV liên quan đến giá thực hiện (được gọi là độ lệch hoặc nụ cười) cho lần hết hạn này. Độ lệch IV nhanh chóng lệch sang trái khi tin tức phát triển, biểu thị tâm lý bi quan tràn lan, vì các nhà giao dịch sẵn sàng trả nhiều tiền hơn để được bảo vệ trước tình trạng giảm giá.

Hình 11: Đường cong biến động ngụ ý của ETH được đẩy lên sau khi bị hack

Nụ cười IV cho ngày hết hạn 28 tháng 2 vào thứ Sáu đã thể hiện hành vi tương tự nhưng kể từ đó đã trở lại hình dạng điển hình hơn. Trong các quyền chọn tiền điện tử, nụ cười có xu hướng chiếm ưu thế vì giá thường có thể tăng hoặc giảm 40%, do đó các quyền chọn ở cả hai bên có xu hướng đắt đỏ.

Các ngày hết hạn dài hơn này trở lại bình thường cho thấy các nhà giao dịch trên các thị trường này mong đợi điều tồi tệ nhất đã qua và kết thúc.

Tuy nhiên, không chỉ thị trường quyền chọn phản ứng nhanh với tin tức về vụ tấn công. Thị trường tương lai vĩnh viễn trên Bybit đã trải qua một sự thay đổi lớn vào thứ Sáu sau thông báo về vụ tấn công.

Lãi suất mở, số lượng hợp đồng đang lưu hành, dành cho những kẻ tấn công ETH trên sàn giao dịch đã giảm gần 18% từ 2 giờ chiều đến 7 giờ tối. Sự sụt giảm mạnh về các vị thế mở thấp hơn một chút so với sự hỗn loạn do thuế quan gây ra vào đầu tháng; tuy nhiên, nó diễn ra trong một khoảng thời gian ngắn hơn nhiều.

Hình 12: Lãi suất mở của hợp đồng tương lai vĩnh viễn ETH giảm mạnh trên Bybit

Nhìn chung, dữ liệu này cho thấy thị trường không định giá trong một sự kiện rủi ro kéo dài sau vụ tấn công lớn nhất từ ​​trước đến nay.

Hiệu ứng bậc hai

Đồng USD tổng hợp của ETHe là USDe, đã tạm thời giảm xuống 0.988 so với USDC và 0.982 so với USDT do lo ngại rằng giao thức này có mức độ tiếp xúc đáng kể với thị trường phái sinh ETH của Bybit. USDe sử dụng chiến lược trung lập delta liên quan đến việc nắm giữ các vị thế bán khống trong hợp đồng tương lai vĩnh viễn để phòng ngừa biến động giá ETH và tạo ra lợi nhuận.

Hình 13: Tỷ số giá USDe so với các Stablecoins lớn

Tuy nhiên, depeg không tồn tại lâu vì Ethena Labs đã quản lý hiệu quả việc mua lại trên chuỗi và trấn an các nhà đầu tư rằng tất cả các tài sản giao ngay hỗ trợ USDe đều được giữ trong các giải pháp lưu ký ngoài sàn giao dịch. Mặc dù phục hồi nhanh chóng, sự kiện này đã kích hoạt khoảng 19 triệu USD thanh lý (s)USDe trên AaveV3, nơi tài sản được sử dụng rộng rãi làm tài sản thế chấp.

Như đã đề cập trước đó, các sản phẩm phái sinh staking ETH (LSD), cụ thể là stETH và mETH, cũng là một phần tài sản bị tin tặc đánh cắp từ Bybit, do đó chúng đã trải qua sự biến động đáng kể, với stETH và mETH được giao dịch ở mức chiết khấu so với ETH.

Hình 14: Chỉ số công cụ phái sinh đặt cược thanh khoản Liquid Staking Derivatives (LSD) so với ETH

Thanh khoản LSD trên cả nền tảng tập trung và phi tập trung đều tương đối kém, khiến thị trường thứ cấp không hiệu quả đối với các đợt thoát vốn lớn và dễ biến động.

Trong năm qua, các LSD hàng đầu—stETH, cbETH, rETH, mETH và (w)BETH—trung bình chỉ đạt 127 triệu USD khối lượng giao dịch hàng ngày. Trong khi các DEX như Curve và Uniswap theo truyền thống đóng vai trò là thị trường thứ cấp quan trọng, thì giao dịch đã tăng lên trên các CEX như là Bybit và Bitget kể từ tháng 11. Tuy nhiên, thanh khoản LSD trên các CEX vẫn còn mỏng, với độ sâu thị trường trung bình 1% chỉ ở mức 50 triệu USD, thấp hơn bảy lần so với ETH.

Mặc dù stETH tiếp tục giao dịch với mức chiết khấu so với ETH tính đến sáng thứ Hai, nhưng độ lệch này chỉ giới hạn so với các sự kiện thị trường lớn trước đây như sự sụp đổ của FTX, không có sự kiện thanh lý lớn nào xảy ra trên các giao thức DeFi lớn.

Hình 14: Chỉ số giá stETH so với ETH