Vào ngày 24 , tiện ích mở rộng trình duyệt phiên bản 2.68 của Trust Wallet được xác nhận chứa mã độc, gây thiệt hại cho người dùng tổng cộng khoảng 7 triệu đô la (thống kê chính thức) chỉ trong hai ngày. CZ ngay lập tức tuyên bố sẽ bồi thường toàn bộ thiệt hại cho chính thức. Vì sự cố này là một cuộc tấn công "phiên bản giả mạo", nên nó tương đương với việc phần mềm chứa lỗ hổng bảo mật ngay từ giai đoạn phát hành, và người dùng không thể tránh khỏi lỗ hổng này bất kể sự cẩn trọng của họ.
Cách phần mềm độc hại xâm nhập vào phiên bản chính thức
Theo kết quả phân tích ngược từ đội ngũ SlowMist , tin tặc đã thêm một tệp có tên 4482.js vào phiên bản 2.68, giả mạo là một mô-đun phân tích. Khi người dùng nhập hoặc nhập Cụm từ hạt giống, tập lệnh sẽ đóng gói private key và gửi nó đến máy chủ đặt tại api.metrics-trustwallet.com. Do quy trình phát hành bị xâm phạm, linh kiện độc hại đã được phân phối cùng với chữ ký chính thức, khiến phần mềm chống virus và kiểm duyệt trình duyệt không thể chặn nó kịp thời.
Các bằng chứng Chuỗi cho thấy tội ác này được thực hiện bởi một "đội ngũ chuyên nghiệp".
Các chuyên gia phân tích Chuỗi ZachXBT và Lookonchain đã theo dõi nhiều tuyến đường rút tiền cực kỳ sôi động: BTC, ETH và SOL đã được chia nhỏ nhanh chóng và chuyển vào các nền tảng như Kucoin, ChangeNOW và FixedFloat, với khoảng 4,25 triệu đô la đã được rửa tiền. Tính đến sáng ngày 26 tháng 12, khoảng 2,8 triệu đô la vẫn còn trong địa chỉ của kẻ tấn công. Tốc độ chia nhỏ quỹ và sự chuẩn bị kỹ lưỡng của các tài khoản trung gian cho thấy đây là một dự án được thực hiện bởi một đội ngũ chuyên nghiệp, chứ không phải một nhóm Phishing được thành lập vội vàng.
Kế hoạch phản hồi và bồi thường chính thức
Hơn 30 giờ sau khi sự việc được phát hiện, Trust Wallet cuối cùng đã đưa ra tuyên bố thừa nhận lỗ hổng. Người điều khiển thực sự, CZ(CZ), sau đó đã đăng tải trên cộng đồng:
Nếu mức thiệt hại nằm trong phạm vi có thể kiểm soát được, chúng tôi sẽ bồi thường đầy đủ thông qua Quỹ SAFU.
Mặc dù lời hứa này đã tạm thời ổn định thị trường, nhưng nó cũng làm nổi bật mâu thuẫn là phi tập trung giải cứu chúng nếu có sự cố xảy ra.
Xử lý sự cố khẩn cấp cho người dùng bị ảnh hưởng
Việc chỉ cập nhật hoặc gỡ bỏ tiện ích mở rộng là không đủ để loại bỏ rủi ro, vì Cụm từ hạt giống đã bị rò rỉ. Đội ngũ an ninh mạng khuyến nghị:
- Ngắt kết nối khỏi mạng và tạo ví mới trong hoàn cảnh ngoại tuyến.
- Chuyển số tài sản còn lại bằng cách nhập private key thông qua ví phần cứng hoặc thiết bị mới.
- Vô hiệu hóa và từ bỏ vĩnh viễn địa chỉ cũ.
Trust Wallet sẽ công bố báo cáo điều tra đầy đủ và các quy trình cải tiến sau. Cộng đồng an ninh mạng đang kêu gọi các dự án mã nguồn mở đẩy nhanh việc áp dụng các bản dựng có thể tái tạo để giảm nguy cơ bị can thiệp vào Chuỗi cung ứng.
