Sàn giao dịch tiền điện tử BitoPro (Đài Loan) xác nhận bị vi phạm bảo mật vào ngày 8/5, khiến hơn 11,5 triệu USD tài sản kỹ thuật số bị đánh cắp từ ví nóng.
Theo nhà điều tra ZachXBT, tài sản bị rút từ các ví trên Ethereum, Tron, Solana và Polygon rồi bán qua các sàn phi tập trung (DEX). Dù sự cố nghiêm trọng, BitoPro không công bố thông tin trên X hay Telegram trong nhiều tuần.
Dữ liệu chuỗi khối cho thấy tài sản bị đánh cắp từ BitoPro đã được gửi vào Tornado Cash hoặc chuyển sang Bitcoin qua THORChain nhằm che giấu dấu vết.
Ngày 9/5, BitoPro thông báo bảo trì sàn và cho biết sự cố đã được khắc phục trong ngày. Tuy nhiên, nhiều người dùng vẫn không thể rút USDT sau đó.
Ba tuần sau sự cố, ngày 2/6, BitoPro xác nhận bị khai thác ví trong quá trình nâng cấp hệ thống, do kẻ tấn công lợi dụng “ví nóng cũ” khi phân bổ lại quỹ nội bộ.
Sàn khẳng định dự trữ tài sản vẫn đủ và việc rút tiền của người dùng không bị ảnh hưởng. Các chức năng giao dịch vẫn hoạt động bình thường, và một công ty bảo mật bên thứ ba đang theo dõi số tiền bị đánh cắp.
BitoPro cũng cam kết sẽ công bố địa chỉ ví nóng mới để tăng minh bạch.
