🎄Một đêm Giáng sinh kinh hoàng! Tóm tắt các cuộc tấn công Trust Wallet
Ai nắm giữ gia vị, người đó nắm giữ vũ trụ.
Ai kiểm soát được gia vị sẽ kiểm soát được cả vũ trụ.
Đây là một câu trích dẫn từ bộ phim Dune, được để lại trên trang metrics-trustwallet[.]com, tên miền liên quan đến vụ tấn công mới nhất vào Trust Wallet.
Thoạt nghe có vẻ như lời nhận xét mỉa mai của một hacker, nhưng đó cũng là một lời nhắc nhở khắc nghiệt: Cụm từ hạt giống giống như gia vị trong phim; một khi đã nắm quyền kiểm soát, chúng đồng nghĩa với việc nắm giữ hoàn toàn tài sản.
Đối với nhiều người dùng Trust Wallet, đêm Giáng sinh năm nay không hề yên bình chút nào. Điều đáng lẽ là một kỳ nghỉ vui vẻ cho gia đình lại biến thành một cú sốc nặng nề khi tài sản của họ bị rút sạch.
Chuyện này xảy ra như thế nào? Là những người dùng thông thường, liệu chúng ta thực sự không còn lựa chọn nào khác ngoài việc đầu hàng?
🔹Tóm tắt sự kiện: Một vụ cướp được lên kế hoạch tỉ mỉ
Khoảng ngày 24 tháng 12, mở rộng trình duyệt Trust Wallet đã phát hành phiên bản 2.68.
Với việc mở rộng trình duyệt tự động cập nhật, nhiều người dùng đã hoàn tất quá trình nâng cấp mà không cần thực hiện bất kỳ thao tác chủ động nào. Điều vốn được thiết kế để cải thiện bảo mật giờ đây lại trở thành kênh để mã độc xâm nhập vào thiết bị của người dùng.
Không có cảnh báo bật lên hay thông báo về hành vi bất thường nào; mọi thứ dường như bình thường.
Sáng ngày 25 tháng 12, cơn ác mộng bắt đầu khi mọi người thức dậy và kiểm tra ví tiền của mình.
Ngày càng nhiều người dùng đưa ra cảnh báo trên mạng xã hội và trong các cộng đồng: tài sản trong ví của họ đang bị chuyển đi mà không có cảnh báo, và tài sản trên nhiều Chuỗi như Bitcoin, Ethereum và Solana đang bị ảnh hưởng đồng thời.
Ngày 26 tháng 12, Trust Wallet chính thức thông báo rằng phiên bản tiện ích mở rộng trình duyệt 2.68 có rủi ro bảo mật và khẩn cấp khuyến cáo người dùng nên vô hiệu hóa phiên bản này ngay lập tức và nâng cấp lên phiên bản 2.69.
Nhưng đối với nhiều người dùng, đã quá muộn. Theo thống kê từ cộng đồng và Chuỗi , hơn 6 triệu đô la tài sản crypto đã bị đánh cắp trong vụ việc lần.
🔹Phương thức tấn công: Mã độc ẩn trong bản cập nhật Các nhà nghiên cứu bảo mật đã phát hiện ra điều đáng ngờ trong một tệp JavaScript có tên 4482.js ở phiên bản 2.6.8. Mã độc này ngụy trang thành một chức năng "phân tích dữ liệu" hoặc "giám sát hiệu suất" thông thường.
Các điều kiện kích hoạt khác nhau:
Nó không chỉ kích hoạt khi người dùng nhập Cụm từ hạt giống , mà còn đánh cắp và gửi Cụm từ hạt giống đã lưu trữ đến tên miền mục tiêu khi người dùng chỉ cần nhập mật khẩu để mở khóa mở rộng .
metrics-trustwallet[.]com trông rất giống chính thức tên miền thống kê dữ liệu hoặc giám sát chính thức .
Khi người dùng nhập Cụm từ hạt giống trong phiên bản 2.68, hoặc chỉ đơn giản là mở khóa ví bằng mật khẩu, đoạn mã này sẽ âm thầm thu thập dữ liệu Cụm từ hạt giống và gửi đến máy chủ hacker. Người dùng hoàn toàn không hay biết cho đến khi tài sản bị xóa sạch.
Hiện đang có nhiều tranh cãi trong cộng đồng về việc mã độc đã xâm nhập vào bản cập nhật chính thức bằng cách nào:
Liệu Chuỗi cung ứng bên ngoài có bị nhiễm độc? Hay là do nhân viên nội bộ trực tiếp tiêm nhiễm? Hay là các tài khoản phát triển đã bị hack? Chính thức Wallet vẫn chưa công bố kết quả điều tra chi tiết.
Nhưng bất kể sự thật là gì, kết quả vẫn như nhau: bản cập nhật được phát hành thông qua các kênh chính thức chứa mã độc, và người dùng hoàn toàn bị bất ngờ.
🔹Tình thế khó xử khi sử dụng ví nóng: Sự cố lần vẫn phản ánh những vấn đề cơ bản của ví phần mềm:
Cụm từ hạt giống được lưu trữ trên các thiết bị được kết nối, và một khi phần mềm bị xâm phạm, tài sản sẽ không được bảo vệ.
Người dùng Trust Wallet không làm gì sai cả. Họ sử dụng các ví điện tử có tiếng, tải xuống từ cửa hàng chính thức và nhận được các bản cập nhật chính thức, vậy mà họ vẫn bị hack. Vậy vấn đề nằm ở đâu?
Đối với ví nóng, Cụm từ hạt giống phải được lưu trữ trong bộ nhớ của thiết bị hoặc trong một tệp crypto để ký các giao dịch. Chừng nào Cụm từ hạt giống còn cần phải được "giải mã - sử dụng - crypto" ở cấp độ phần mềm, thì vẫn có rủi ro bị mã độc đánh cắp.
Mở rộng trình duyệt chứa hàng chục nghìn dòng mã, phụ thuộc vào hàng tá thư viện của bên thứ ba và tự động cập nhật mà không có khoảng thời gian đệm. Một vấn đề ở bất kỳ thành phần nào trong số này đều có thể trở thành điểm yếu để kẻ tấn công khai thác.
Khi chính phần mềm trở thành mục tiêu tấn công, ví nóng dựa vào phần mềm để bảo vệ Cụm từ hạt giống giống như xây lâu đài trên cát lún.
🔹Cơ chế bảo mật của ví lạnh: Ví lạnh phần cứng như Keystone cung cấp một giải pháp đơn giản:
Cách ly hoàn toàn, không bao giờ sử dụng internet.
Một khi Cụm từ hạt giống được Keystone tạo ra nội bộ, nó sẽ không bao giờ xuất hiện trong hoàn cảnh trực tuyến. Ngay cả khi máy tính của bạn bị hacker hoặc mở rộng trình duyệt bị xâm phạm, các mối đe dọa cũng không thể vượt qua sự cô lập về mặt vật lý.
Khi gửi một giao dịch: máy tính tạo dữ liệu giao dịch → truyền dữ liệu đó đến Keystone thông qua Mã QR → thiết bị hoàn tất chữ ký → kết quả chữ ký được gửi lại → phát sóng lên blockchain.
Trong suốt toàn bộ quá trình, Cụm từ hạt giống và private key không bao giờ rời khỏi thiết bị; chỉ có "dữ liệu giao dịch" và "kết quả chữ ký" được truyền đi.
Ngay cả khi người dùng cài đặt một plug-in ví có chứa mã độc vì nhiều lý do khác nhau, Cụm từ hạt giống vẫn được bảo mật khi sử dụng kết nối Keystone và sẽ không được gửi đến máy chủ bên ngoài vì nó không bao giờ tồn tại trong hoàn cảnh ví nóng.
Đây là giá trị cốt lõi của ví lạnh: loại bỏ hoàn toàn Cụm từ hạt giống khỏi bề mặt tấn công và thay thế bảo vệ phần mềm bằng sự cô lập vật lý.
Thay vì lo lắng về mỗi lần cập nhật ví nóng, tại sao không nâng cấp kế hoạch bảo mật của bạn và đặt Cụm từ hạt giống vào một hoàn cảnh an toàn hơn, cho phép bạn tận hưởng mọi kỳ nghỉ với gia đình một cách an tâm? 🎄
twitter.com/KeystoneCN/status/...
