Trong vài ngày của tháng 11, một tiện ích mở rộng độc hại của Chrome được xếp hạng là kết quả thứ tư cho từ khóa “ví Ethereum” trên Chrome Web Store.
Tiện ích mở rộng, có tên "Safery: Ethereum Wallet", trông đủ tinh tế để được coi là hợp pháp. Nó có biểu tượng gọn gàng, tên gọi chung chung đi kèm với ngôn ngữ bảo mật, hàng loạt đánh giá năm sao và mô tả mẫu quen thuộc với bất kỳ ai đã tải xuống ví tiền điện tử.
Đằng sau giao diện đó là một cuộc tấn công được thiết kế có mục đích nhằm đánh cắp cụm từ hạt giống và làm trống ví người dùng bằng cách mã hóa các bí mật bị đánh cắp thành các giao dịch nhỏ trên blockchain Sui.
Socket, một công ty cung cấp công cụ bảo mật tập trung vào chuỗi cung ứng phần mềm nguồn mở, đã cài đặt và phân tích tiện ích mở rộng này sau khi phát hiện ra nó.
Mục tiêu của họ là tìm hiểu cách "Safery" tránh bị phát hiện, leo lên thứ hạng cao trên Chrome Store và di chuyển các cụm từ hạt giống bị đánh cắp mà không gây báo động, cũng như cách người dùng có thể làm để phát hiện các mối đe dọa tương tự. Báo cáo phân tích cách tiếp cận của kẻ tấn công và đóng vai trò vừa là một bài phân tích hậu trường vừa là lời cảnh báo rằng tiện ích mở rộng trình duyệt vẫn là một điểm mù nguy hiểm trong lĩnh vực tiền mã hóa.
Trường hợp này đáng chú ý vì tin tặc không chỉ đánh cắp cụm từ hạt giống. Thật không may, đây lại là một lĩnh vực khá phổ biến trong ngành tiền điện tử.
Điều đáng chú ý là Safery không hề nhái một thương hiệu ví điện tử hiện có. Nó không phải là một bản sao của MetaMask hay một tên miền lừa đảo được tái chế. Nó tự tạo ra một danh tính, mua hoặc sử dụng bot để đăng các bài đánh giá giả mạo nhằm tăng thứ hạng tìm kiếm, và ra mắt như một tùy chọn ví điện tử "mới".
Cách tiếp cận này có nghĩa là danh sách không có dấu hiệu cảnh báo ngay lập tức: không có lỗi ngữ pháp, không có quyền lạ và không chuyển hướng đến các tên miền mờ ám.
Trang nhà xuất bản Chrome Web Store không có khiếu nại nào trước đó và URL hỗ trợ của trang này dẫn đến một trang web ngoài nền tảng chưa bị các trình theo dõi bảo mật gắn cờ tại thời điểm Socket phân tích.
Với giao diện bóng bẩy, hầu hết người dùng sẽ không ngần ngại nhấp vào "Thêm vào Chrome". Tiện ích mở rộng này yêu cầu chạy trên "tất cả các trang web", một yêu cầu phổ biến đối với các ví tiền điện tử cần truy cập vào các ứng dụng phi tập trung.
Đáng chú ý, nó không yêu cầu cấp thêm quyền hay cố gắng chèn các tập lệnh nội dung có thể kích hoạt các cảnh báo mạnh mẽ hơn của Chrome. Thương hiệu được thiết kế tối giản, trang web trùng khớp với tên của tiện ích mở rộng, và màn hình thiết lập nhắc người dùng tạo hoặc nhập ví, một lần nữa, đây là hành vi tiêu chuẩn.
Vụ trộm hạt giống được phát sóng trên Sui
Thiệt hại thực sự bắt đầu ngay khi cụm từ hạt giống được nhập vào. Thay vì lưu trữ cục bộ hoặc mã hóa cụm từ để người dùng truy cập, tiện ích mở rộng này âm thầm chia cụm từ thành các phần nhỏ và mã hóa chúng thành những địa chỉ ví ngẫu nhiên.
Nghiên cứu của Socket cho thấy những đoạn mã này đã được chèn vào các giao dịch blockchain Sui. Cụ thể, tiện ích mở rộng này đã phát hành các giao dịch token SUI cực nhỏ, số lượng cực nhỏ, không gây chú ý, đến các địa chỉ do kẻ tấn công kiểm soát.
Ẩn bên trong các giao dịch đó, trong các trường ghi nhớ hoặc địa chỉ được che giấu, là các phần của cụm từ hạt giống của người dùng.
Cách tiếp cận này có những lợi thế về mặt chiến thuật. Nó không yêu cầu tiện ích mở rộng phải gửi yêu cầu ra ngoài đến các máy chủ độc hại. Không có đèn hiệu chỉ huy và điều khiển hay rò rỉ dữ liệu qua HTTP hoặc WebSocket mà trình duyệt hoặc phần mềm diệt vi-rút có thể đánh dấu.
Tải trọng này rời khỏi thiết bị của người dùng như một giao dịch blockchain bình thường, được định tuyến qua một chuỗi được sử dụng rộng rãi với mức phí thấp. Khi đã được đưa lên chuỗi, dữ liệu có thể được truy cập công khai, cho phép kẻ tấn công lấy lại sau, tái tạo cụm từ hạt giống và quét ví mà không cần chạm vào thiết bị của người dùng nữa.
Trên thực tế, trò lừa đảo này đã sử dụng chính blockchain Sui làm kênh liên lạc. Và vì Sui có thời gian xác nhận nhanh và chi phí giao dịch không đáng kể, nên nó hoạt động như một bus tin nhắn có độ trễ thấp.
Socket đã theo dõi nhiều ví dụ về các giao dịch seed-fragment này và xác nhận mối liên hệ giữa việc nhập seed và mất mát tài sản cuối cùng. Mặc dù các vụ trộm xảy ra ngoài chuỗi, trên Ethereum hoặc các L1 khác nơi ví của nạn nhân lưu trữ tiền, nhưng hướng dẫn thực hiện chúng lại được giấu kín.
Trước khi phát hành phiên bản lọt vào top kết quả tìm kiếm ví điện tử của Chrome, nhà phát hành có thể đã thử nghiệm phương pháp này một cách riêng tư. Bằng chứng cho thấy các bản dựng trước đó đã thử nghiệm với các lỗ hổng dữ liệu đơn giản hơn trước khi mã hóa Sui được tinh chỉnh.
Vào thời điểm tiện ích mở rộng đang hoạt động bị gắn cờ, nó đã có đủ lượt cài đặt để lọt vào nhóm "xu hướng" của Chrome, qua đó tăng cường khả năng hiển thị. Brave New Coin báo cáo rằng ví "Safery" nằm trong số các kết quả hàng đầu cho tìm kiếm "ví Ethereum" ngay cả khi có báo cáo về hành vi đáng ngờ lan truyền trên Reddit và Telegram.
Thuật toán Chrome đã để điều đó xảy ra như thế nào
Thành công của "Safery" phụ thuộc vào logic xếp hạng của Chrome. Thuật toán tìm kiếm của Web Store cân nhắc các yếu tố như độ trùng khớp từ khóa, số lượt cài đặt, tốc độ đánh giá, xếp hạng trung bình và thời gian cập nhật gần đây.
Các tiện ích mở rộng có hoạt động bùng nổ, đặc biệt là trong các danh mục ngách, có thể tăng trưởng nhanh chóng nếu các đối thủ cạnh tranh được đánh giá cao hơn không được cập nhật thường xuyên. Trong trường hợp này, "Safery" có một cái tên được đánh giá cao cho các truy vấn phổ biến, một loạt đánh giá tích cực, nhiều mẫu hoặc trùng lặp, và một ngày tải lên mới.
Không có bằng chứng nào cho thấy Google đã xem xét thủ công danh sách này trước khi công bố. Chính sách của Cửa hàng Chrome trực tuyến xử lý hầu hết các tiện ích mở rộng mới bằng quy trình quét tự động ngắn gọn và phân tích tĩnh cơ bản.
Các tiện ích mở rộng sẽ bị kiểm tra kỹ lưỡng hơn khi chúng yêu cầu các quyền cao hơn, chẳng hạn như quyền truy cập vào tab, bảng tạm, hệ thống tệp hoặc lịch sử. Các tiện ích mở rộng ví thường tránh những cờ này bằng cách hoạt động trong iframe hoặc sử dụng các API được phê duyệt. "An toàn" vẫn nằm trong giới hạn đó.
Ngay cả khi người dùng nêu lên lo ngại, thời gian giữa lúc báo cáo và gỡ bỏ vẫn đủ dài để gây ra thiệt hại. Một phần của sự chậm trễ này là do cấu trúc: Chrome không xử lý ngay lập tức các tiện ích mở rộng bị gắn cờ trừ khi có sự đồng thuận áp đảo hoặc các dấu hiệu phần mềm độc hại đã biết.
Trong trường hợp này, phần mềm độc hại là JavaScript được mã hóa dựa trên cơ sở hạ tầng blockchain chứ không phải máy chủ bên ngoài. Các phương pháp phát hiện phần mềm độc hại truyền thống không phát hiện được.
Đây không phải là lần đầu tiên tiện ích mở rộng Chrome bị lợi dụng để đánh cắp tiền điện tử. Các vụ lừa đảo trước đây bao gồm ứng dụng Ledger Live giả mạo yêu cầu người dùng nhập cụm từ khôi phục, hoặc các tiện ích mở rộng hợp pháp bị đánh cắp, cho phép kẻ tấn công truy cập khóa xuất bản của nhà phát triển.
Điểm khác biệt của "Safery" nằm ở sự mượt mà của mặt tiền và không có cơ sở hạ tầng phụ trợ. Không có trang web lừa đảo nào cần gỡ xuống, không có máy chủ nào cần chặn, chỉ có một tiện ích mở rộng chuyển bí mật lên một chuỗi công khai rồi bỏ đi.
Người dùng vẫn còn một số giải pháp. Nếu hành động nhanh chóng, họ có thể hạn chế rủi ro bằng cách luân chuyển seed và thu hồi phê duyệt giao dịch.
Socket và các công ty khác đã cung cấp các bước phân loại cho bất kỳ ai đã cài đặt tiện ích mở rộng: gỡ cài đặt ngay lập tức, thu hồi mọi phê duyệt token, chuyển tài sản sang ví mới bằng thiết bị sạch và theo dõi các địa chỉ liên quan. Đối với những người dùng không nhận thấy việc rò rỉ hoặc lưu trữ số tiền lớn trong ví nóng, khả năng phục hồi vẫn còn thấp.
Rắc rối thực sự bắt đầu trước khi ví được nạp tiền
Các nhà nghiên cứu và nhà phát triển bảo mật đang kêu gọi Chrome áp dụng các phương pháp tìm kiếm mạnh mẽ hơn. Một giải pháp được đề xuất là tự động gắn cờ bất kỳ tiện ích mở rộng nào bao gồm các thành phần giao diện người dùng yêu cầu nhập cụm từ 12 hoặc 24 từ.
Một cách tiếp cận khác là yêu cầu chứng thực của nhà xuất bản đối với các tiện ích mở rộng ví, cung cấp bằng chứng có thể xác minh rằng một nhà xuất bản nhất định kiểm soát cơ sở mã nguồn đằng sau một thương hiệu ví đã biết. Cũng có những yêu cầu kiểm tra chặt chẽ hơn các quyền liên quan đến ví, ngay cả khi chúng không bao gồm các mô hình truy cập nguy hiểm.
Đối với người dùng cuối, Socket đã công bố một danh sách kiểm tra thực tế để quản lý tiện ích mở rộng. Trước khi cài đặt bất kỳ tiện ích mở rộng tiền điện tử nào, người dùng nên xem lại lịch sử của nhà phát hành, xác minh mối liên hệ với một dự án đã biết, kiểm tra mẫu đánh giá, đặc biệt là các đợt đánh giá giống hệt nhau, kiểm tra các liên kết trang web thực sự với kho lưu trữ GitHub công khai và quét tab quyền để tìm quyền truy cập mơ hồ hoặc chung chung.
Tên sạch và xếp hạng cao là chưa đủ.
Trường hợp này đặt ra những câu hỏi rộng hơn về vai trò của trình duyệt trong tiền điện tử. Ví trình duyệt ngày càng phổ biến nhờ tính dễ tiếp cận và dễ sử dụng. Chúng cho phép người dùng tương tác với các ứng dụng phi tập trung mà không cần chuyển đổi nền tảng hoặc tải xuống các ứng dụng riêng biệt.
Nhưng khả năng truy cập đó phải trả giá bằng sự lộ liễu. Trình duyệt là một môi trường có nguy cơ cao bị thao túng tiện ích mở rộng, chiếm quyền điều khiển phiên làm việc, thu thập dữ liệu từ clipboard, và giờ đây là cả việc đánh cắp dữ liệu blockchain một cách bí mật.
Các nhà phát triển ví có thể sẽ xem xét lại mô hình phân phối. Một số nhóm đã không khuyến khích cài đặt Chrome Web Store, thay vào đó ưu tiên ứng dụng di động hoặc tệp nhị phân trên máy tính để bàn. Những nhóm khác có thể xây dựng cảnh báo cho người dùng cố gắng cài đặt từ các nguồn chưa được xác minh.
Vấn đề cốt lõi vẫn còn đó: việc phân phối bị phân mảnh và hầu hết người dùng không biết cách phân biệt ví hợp pháp với ví nhái.
Tiện ích mở rộng "Safery" không cần phải trông giống MetaMask hay ngụy trang thành Phantom. Nó đã tạo ra thương hiệu riêng, gieo mầm tín hiệu tin cậy giả mạo và xây dựng một cửa hậu vô hình sử dụng blockchain Sui làm công cụ chuyển phát nhanh.
Điều đó sẽ buộc phải xem xét lại cách thiết lập lòng tin trong UX tiền điện tử và mức độ gần gũi với kim loại của ngay cả những công cụ thông thường như tiện ích mở rộng trình duyệt.
Người dùng tiền điện tử cho rằng Web3 đồng nghĩa với chủ quyền và quyền tự quản. Nhưng khi rơi vào tay kẻ xấu, ví trình duyệt không phải là kho tiền, mà là một cổng mở. Và Chrome không phải lúc nào cũng cảnh báo bạn trước khi có thông tin nào đó bị rò rỉ.
