Tiêu đề gốc: Vụ tấn công plug-in Trust Wallet gây thiệt hại hơn 6 triệu đô la; Bản vá chính thức được phát hành ngay lập tức
Tác giả gốc: ChandlerZ, Foresight News
Sáng ngày 26 tháng 12, Trust Wallet đã phát đi cảnh báo bảo mật, xác nhận lỗ hổng bảo mật trong tiện ích mở rộng trình duyệt Trust Wallet phiên bản 2.68. Người dùng phiên bản 2.68 nên tắt tiện ích mở mở rộng ngay lập tức và nâng cấp lên phiên bản 2.69. Vui lòng nâng cấp thông qua liên kết chính thức Chrome Web Store.
Theo dõi từ PyDun, hacker đã đánh cắp hơn 6 triệu đô la tài sản crypto từ các nạn nhân thông qua lỗ hổng bảo mật Trust Wallet.
Hiện tại, khoảng 2,8 triệu đô la Mỹ tiền bị đánh cắp vẫn còn trong ví của hacker(Bitcoin / EVM / Solana ), trong khi hơn 4 triệu đô la Mỹ tài sản crypto đã được chuyển đến nền tảng giao dịch tập trung, cụ thể là: khoảng 3,3 triệu đô la Mỹ đến ChangeNOW, khoảng 340.000 đô la Mỹ đến FixedFloat và khoảng 447.000 đô la Mỹ đến Kucoin.
Khi số lượng người dùng bị ảnh hưởng tăng vọt, một kiểm toán mã nguồn của Trust Wallet phiên bản 2.68 đã được tiến hành. Đội ngũ phân tích bảo mật SlowMist, bằng cách so sánh sự khác biệt trong mã nguồn giữa phiên bản 2.68.0 (phiên bản bị nhiễm) và 2.69.0 (phiên bản đã được vá lỗi), đã phát hiện ra rằng hacker đã cài đặt một đoạn mã thu thập dữ liệu có vẻ hợp pháp, biến plug-in chính thức thành một cửa hậu để đánh cắp thông tin cá nhân.
Phân tích: Các thiết bị hoặc kho mã nguồn của các nhà phát triển liên kết với Trust Wallet có thể đã bị tin tặc xâm nhập.
Theo phân tích của đội ngũ bảo mật SlowMist , phương thức tấn lần chính được xác định là tiện mở rộng trình duyệt Trust Wallet phiên bản 2.68.0. Bằng cách so sánh với phiên bản đã được vá lỗi 2.69.0, các nhà nghiên cứu bảo mật đã phát hiện ra một đoạn mã độc hại được ngụy trang rất tinh vi trong phiên bản cũ hơn. (Xem hình ảnh).
Mã độc cửa sau thêm một chương trình PostHog để thu thập nhiều thông tin riêng tư của người dùng ví (bao gồm cả Cụm từ hạt giống) và gửi chúng đến máy chủ của kẻ tấn công api.metrics-trustwallet[.] com.
Dựa trên những thay đổi trong mã nguồn và hoạt động Chuỗi, SlowMist đã đưa ra ước tính về mốc thời gian cho cuộc tấn công lần:
Ngày 8 tháng 12: Quân tấn công bắt đầu chuẩn bị.
Ngày 22 tháng 12: Ra mắt thành công phiên bản 2.68 với phần mềm độc hại được cài đặt sẵn;
Ngày 25 tháng 12: Lợi dụng kỳ nghỉ lễ Giáng sinh, tin tặc bắt đầu chuyển tiền dựa trên Cụm từ hạt giống bị đánh cắp, sau đó vụ việc đã bị phát hiện.
Hơn nữa, phân tích SlowMist cho rằng những kẻ tấn công dường như rất quen thuộc với mã nguồn mở rộng của Trust Wallet. Điều đáng chú ý là mặc dù bản vá hiện tại (2.69.0) đã ngăn chặn việc truyền tải độc hại, nhưng nó không loại bỏ thư viện PostHog JS.
Trong khi đó, 23pds, Giám đốc An ninh Thông tin của SlowMist Technology, đã đăng tải trên mạng xã hội: "Dựa trên phân tích SlowMist, có lý do để tin rằng các thiết bị hoặc kho mã nguồn của nhà phát triển Trust Wallet có thể đã bị tin tặc xâm nhập. Vui lòng ngắt kết nối internet ngay lập tức và kiểm tra thiết bị của những người có liên quan." Ông cũng nhấn mạnh thêm: "Người dùng các phiên bản Trust Wallet bị ảnh hưởng phải ngắt kết nối internet trước, sau đó xuất Cụm từ hạt giống) để chuyển tài sản; nếu không, việc mở ví trực tuyến sẽ dẫn đến việc bị đánh cắp tài sản. Cụm từ hạt giống phải chuyển tài sản trước khi nâng cấp ví."
Các sự cố bảo mật plug-in xảy ra thường xuyên.
Báo cáo cũng chỉ ra rằng những kẻ tấn công dường như rất quen thuộc với mã nguồn mở rộng của Trust Wallet, khi đã chèn PostHog JS để thu thập nhiều thông tin khác nhau từ ví của người dùng. Bản vá lỗi hiện tại của Trust Wallet không loại bỏ được PostHog JS.
Lần phiên bản chính thức của Trust Wallet bị nhiễm phần mềm độc hại đã gợi nhớ đến một số cuộc tấn công rủi ro cao nhắm vào các giao diện ví nóng trong những năm gần đây. Những trường hợp này, từ phương thức tấn công đến nguyên nhân gây ra các lỗ hổng, cung cấp những điểm tham khảo quan trọng để hiểu rõ sự cố lần.
Khi các kênh chính thức không còn an toàn nữa
Các cuộc tấn công tương tự nhất với lần việc Trust Wallet là những cuộc tấn công nhắm vào Chuỗi cung ứng phần mềm và các kênh phân phối. Trong những trường hợp này, người dùng không những không làm gì sai mà thậm chí còn bị thiệt hại vì đã tải xuống "phần mềm hợp pháp".
Sự cố đầu độc Ledger Connect Kit (tháng 12 năm 2023): Mã nguồn giao diện người dùng của Ledger, gã khổng lồ trong lĩnh vực ví phần cứng, đã bị hacker xâm nhập thông qua hình thức lừa đảo trực tuyến (Phishing) và tải lên gói cập nhật độc hại. Điều này dẫn đến việc giao diện người dùng của một số ứng dụng phi tập trung (dApps) hàng đầu, bao gồm cả SushiSwap , bị nhiễm độc, hiển thị các cửa sổ kết nối ngụy tạo. Sự cố này được coi là một trường hợp điển hình của "tấn công Chuỗi cung ứng", cho thấy ngay cả đối với các công ty có danh tiếng bảo mật xuất sắc, các kênh phân phối Web2 của họ (như NPM) vẫn là những điểm yếu có rủi ro cao.
Vụ tấn công chiếm đoạt tài khoản Hola VPN và Mega Mở rộng (2018): Vào năm 2018, tài khoản nhà phát triển mở rộng Chrome của dịch vụ VPN có tiếng Hola đã bị tấn công. Hacker đã phát hành một "bản cập nhật chính thức" chứa mã độc được thiết kế đặc biệt để theo dõi và đánh cắp private key của người dùng MyEtherWallet.
• Lỗi mã hóa: Rủi ro Cụm từ hạt giống bị "trống rỗng"
Bên cạnh các nguy cơ bị tấn công từ bên ngoài, những lỗi trong quá trình xử lý dữ liệu nhạy cảm của ví điện tử, chẳng hạn như Cụm từ hạt giống và private key, cũng có thể dẫn đến tổn thất tài sản trên diện rộng.
Tranh cãi về hệ thống ghi nhật ký ví Slope liên quan đến việc thu thập thông tin nhạy cảm (tháng 8 năm 2022): Một vụ trộm tiền điện tử quy mô lớn đã xảy ra Solana . Các cuộc điều tra sau đó báo cáo ra ví Slope là yếu tố chính, cáo buộc rằng một phiên bản của ví đã gửi private key hoặc Cụm từ hạt giống đến dịch vụ của Sentry (Sentry ở đây đề cập đến một dịch vụ được đội ngũ Slope triển khai riêng, chứ không phải giao diện hoặc dịch vụ chính thức của Sentry). Tuy nhiên, các công ty bảo mật cũng đã phân tích rằng cuộc điều tra về ứng dụng ví Slope cho đến nay vẫn chưa chứng minh được một cách chắc chắn rằng nguyên nhân gốc rễ của sự cố nằm ở ví Slope. Vẫn lượng lớn công việc kỹ thuật cần phải thực hiện và cần thêm bằng chứng để giải thích nguyên nhân cơ bản của sự cố lần.
Lỗ hổng tạo khóa có độ ngẫu nhiên thấp của Trust Wallet (được tiết lộ là CVE-2023-31290, khai thác có thể truy vết đến năm 2022/2023): Mở rộng trình duyệt của Trust Wallet được phát hiện có độ ngẫu nhiên không đủ: kẻ tấn công có thể khai thác khả năng liệt kê được cung cấp bởi hạt giống 32 bit để xác định và suy luận một cách hiệu quả các địa chỉ ví có khả năng bị ảnh hưởng trong một phạm vi phiên bản cụ thể, từ đó đánh cắp tiền.
Cuộc chiến giữa hàng thật và hàng giả.
Mở rộng từ lâu đã bị ảnh hưởng bởi một Chuỗi chợ đen liên quan đến plug-in giả mạo, trang tải xuống giả mạo, cửa sổ bật lên cập nhật giả mạo và tin nhắn riêng tư giả mạo của bộ phận chăm sóc khách hàng. Khi người dùng cài đặt các plugin này thông qua các kênh chính thức hoặc nhập Cụm từ hạt giống/ private key của họ trên các trang Phishing , tài sản có thể bị mất trắng ngay lập tức. Khi tình hình leo thang đến mức ngay cả phiên bản chính thức cũng có thể gặp rủi ro, ranh giới bảo mật của người dùng càng bị thu hẹp, và các vụ lừa đảo lần thường bùng phát trong bối cảnh hỗn loạn đó.
Tính đến thời điểm hiện tại, Trust Chính thức đã kêu gọi tất cả người dùng bị ảnh hưởng cập nhật tài khoản của họ càng sớm càng tốt. Tuy nhiên, với hoạt động bất thường liên tục của số tiền bị đánh cắp trên Chuỗi, hậu quả của "vụ trộm Giáng sinh" này rõ ràng vẫn chưa kết thúc.
Dù là nhật ký dạng văn bản thuần của Slope hay phần mềm độc hại dạng cửa hậu của Trust Wallet, lịch sử dường như luôn lặp lại. Điều này là lời nhắc nhở mạnh mẽ cho mọi người dùng crypto: đừng bao giờ tin tưởng mù quáng vào bất kỳ phần mềm nào. Định kì kiểm tra quyền truy cập, phân tán tài sản ở nhiều nơi lưu trữ khác nhau và luôn cảnh giác với các bản cập nhật phiên bản bất thường có lẽ là chìa khóa để tồn tại trong khu rừng đen tối crypto.
