Phiên bản plugin Trust Wallet bị tấn công, thiệt hại hơn 6 triệu đô la Mỹ, đội ngũ chính thức phát hành bản vá khẩn cấp

Kẻ tấn công đã bắt đầu chuẩn bị ít nhất từ ngày 8 tháng 12, ngày 22 tháng 12 đã thành công cấy cửa hậu, và đến ngày 25 tháng 12 (Giáng sinh) bắt đầu chuyển tiền.

Tác giả: ChandlerZ, Foresight News

Vào sáng ngày 26 tháng 12, Trust Wallet đã phát hành cảnh báo an ninh, xác nhận rằng phiên bản 2.68 của tiện ích mở rộng Trust Wallet trên trình duyệt tồn tại lỗ hổng bảo mật. Người dùng phiên bản 2.68 nên ngay lập tức vô hiệu hóa tiện ích này và nâng cấp lên phiên bản 2.69, vui lòng nâng cấp thông qua liên kết chính thức trên Chrome Web Store.

Theo giám sát của PeckShield, hacker đã lợi dụng lỗ hổng Trust Wallet để đánh cắp hơn 6 triệu đô la tài sản mã hóa từ các nạn nhân.

Hiện tại, khoảng 2.8 triệu đô la tài sản bị đánh cắp vẫn còn trong ví của hacker (Bitcoin / EVM / Solana), trong khi hơn 4 triệu đô la tài sản mã hóa đã được chuyển vào các sàn giao dịch tập trung, cụ thể: khoảng 3.3 triệu đô la chuyển đến ChangeNOW, khoảng 340,000 đô la chuyển đến FixedFloat, khoảng 447,000 đô la chuyển đến Kucoin.

Khi số lượng người dùng bị ảnh hưởng tăng mạnh, công tác kiểm tra mã nguồn phiên bản 2.68 của Trust Wallet cũng được tiến hành ngay lập tức. Nhóm phân tích bảo mật SlowMist đã so sánh sự khác biệt giữa mã nguồn của phiên bản 2.68.0 (phiên bản bị nhiễm độc) và 2.69.0 (phiên bản đã sửa lỗi), phát hiện hacker đã cấy một đoạn mã thu thập dữ liệu trông rất hợp pháp, biến tiện ích chính thức thành một cửa hậu đánh cắp thông tin cá nhân.

Phân tích: Thiết bị hoặc kho mã nguồn của nhà phát triển Trust Wallet có thể đã bị kiểm soát bởi kẻ tấn công

Theo phân tích của nhóm bảo mật SlowMist, phương tiện tấn công cốt lõi lần này được xác nhận là phiên bản 2.68.0 của tiện ích mở rộng Trust Wallet trên trình duyệt. Khi so sánh với phiên bản 2.69.0 đã được sửa lỗi, các chuyên gia bảo mật đã phát hiện một đoạn mã độc có khả năng ngụy trang rất cao trong phiên bản cũ. Như hình dưới đây.

Mã cửa hậu đã thêm PostHog để thu thập nhiều thông tin cá nhân của người dùng ví (bao gồm cả cụm từ ghi nhớ), và gửi đến máy chủ của kẻ tấn công tại api.metrics-trustwallet [.] com.

Dựa trên thay đổi mã nguồn và hoạt động on-chain, SlowMist đã đưa ra dòng thời gian dự kiến của cuộc tấn công lần này:

• Ngày 08 tháng 12: Kẻ tấn công bắt đầu chuẩn bị các công việc liên quan;
• Ngày 22 tháng 12: Thành công phát hành phiên bản 2.68 có cấy cửa hậu;
• Ngày 25 tháng 12: Lợi dụng kỳ nghỉ Giáng sinh, kẻ tấn công bắt đầu chuyển tiền dựa trên cụm từ ghi nhớ đã đánh cắp, sau đó sự việc bị phát hiện.

Thêm vào đó, phân tích của SlowMist cho rằng, kẻ tấn công dường như rất am hiểu mã nguồn tiện ích mở rộng của Trust Wallet. Đáng chú ý, phiên bản sửa lỗi hiện tại (2.69.0) dù đã cắt đứt truyền dữ liệu độc hại, nhưng vẫn chưa loại bỏ thư viện PostHog JS.

Đồng thời, Giám đốc An ninh Thông tin của SlowMist, 23pds, đã đăng trên mạng xã hội rằng, "Qua phân tích của SlowMist, có lý do để tin rằng thiết bị hoặc kho mã nguồn của các nhà phát triển Trust Wallet có thể đã bị kiểm soát bởi kẻ tấn công, hãy nhanh chóng ngắt kết nối mạng và kiểm tra thiết bị của các nhân sự liên quan." Ông nhấn mạnh, "Người dùng các phiên bản bị ảnh hưởng của Trust Wallet nhất định phải ngắt kết nối mạng trước, sau đó mới xuất cụm từ ghi nhớ để chuyển tài sản, nếu mở ví khi đang online thì tài sản sẽ bị đánh cắp. Ai đã sao lưu cụm từ ghi nhớ thì nhất định phải chuyển tài sản trước, rồi mới nâng cấp ví."

Sự cố an ninh liên quan đến tiện ích mở rộng xảy ra thường xuyên

Ông cũng chỉ ra rằng, kẻ tấn công dường như rất am hiểu mã nguồn tiện ích mở rộng của Trust Wallet, đã cấy PostHog JS để thu thập nhiều thông tin ví của người dùng. Hiện tại, phiên bản sửa lỗi của Trust Wallet vẫn chưa loại bỏ PostHog JS.

Lần này, phiên bản chính thức của Trust Wallet biến thành trojan, khiến thị trường liên tưởng đến nhiều vụ tấn công nguy hiểm nhắm vào giao diện ví nóng trong những năm gần đây. Từ phương thức tấn công đến nguyên nhân lỗ hổng, các trường hợp này cung cấp tham chiếu quan trọng để hiểu về sự kiện lần này.

• Khi kênh chính thức không còn an toàn

Trường hợp tương tự nhất với sự kiện Trust Wallet lần này là các cuộc tấn công vào chuỗi cung ứng phần mềm và kênh phân phối. Trong những sự kiện này, người dùng không mắc lỗi nào, thậm chí bị hại vì đã tải "phần mềm chính hãng".

Sự cố đầu độc Ledger Connect Kit (tháng 12 năm 2023): Kho mã nguồn giao diện của hãng ví cứng Ledger đã bị hacker chiếm quyền thông qua phương thức phishing, tải lên gói cập nhật độc hại. Điều này khiến giao diện của nhiều dApp lớn như SushiSwap bị nhiễm độc, xuất hiện cửa sổ kết nối giả mạo. Sự kiện này được xem là ví dụ điển hình của "tấn công chuỗi cung ứng", chứng minh rằng ngay cả những công ty có uy tín bảo mật cao, kênh phân phối Web2 (như NPM) vẫn là điểm yếu dễ bị tấn công.

Sự cố chiếm quyền tiện ích Hola VPN và Mega (2018): Từ năm 2018, tài khoản nhà phát triển tiện ích Chrome của dịch vụ VPN nổi tiếng Hola đã bị hack. Hacker đã phát hành bản cập nhật "chính thức" chứa mã độc, chuyên theo dõi và đánh cắp khóa riêng của người dùng MyEtherWallet.

• Lỗi mã nguồn: Rủi ro "lộ" cụm từ ghi nhớ

Bên cạnh các cuộc tấn công từ bên ngoài, các lỗi trong quá trình xử lý cụm từ ghi nhớ, khóa riêng và các dữ liệu nhạy cảm khác của ví cũng có thể gây ra tổn thất tài sản quy mô lớn.

Tranh cãi về hệ thống ghi log thu thập thông tin nhạy cảm của Slope Wallet (tháng 8 năm 2022): Hệ sinh thái Solana từng xảy ra vụ đánh cắp coin quy mô lớn, sau đó báo cáo điều tra đã chỉ ra một nguyên nhân là Slope Wallet, một phiên bản đã gửi khóa riêng hoặc cụm từ ghi nhớ đến dịch vụ Sentry (dịch vụ Sentry ở đây là do nhóm Slope tự triển khai, không phải dịch vụ chính thức của Sentry). Tuy nhiên, các công ty bảo mật cũng phân tích rằng, đến nay vẫn chưa thể xác định nguyên nhân gốc rễ của sự cố là do Slope Wallet, còn rất nhiều công việc kỹ thuật cần hoàn thành và cần thêm bằng chứng để giải thích nguyên nhân gốc rễ của sự kiện này.

Lỗ hổng sinh khóa entropy thấp của Trust Wallet (công bố là CVE-2023-31290, khai thác có thể truy vết từ 2022/2023): Tiện ích mở rộng Trust Wallet từng bị phát hiện có vấn đề về tính ngẫu nhiên không đủ: kẻ tấn công có thể tận dụng tính liệt kê của seed 32-bit, trong phạm vi phiên bản nhất định có thể xác định và suy đoán hiệu quả các địa chỉ ví có khả năng bị ảnh hưởng, từ đó đánh cắp tài sản.

• Cuộc chiến giữa "hàng thật" và "hàng giả"

Hệ sinh thái ví mở rộng và tìm kiếm trình duyệt từ lâu đã tồn tại các chuỗi xám như tiện ích giả, trang tải giả, cửa sổ cập nhật giả, tin nhắn riêng giả từ bộ phận hỗ trợ khách hàng. Nếu người dùng cài đặt từ kênh không chính thức, hoặc nhập cụm từ ghi nhớ/khóa riêng vào trang phishing, tài sản có thể bị đánh cắp ngay lập tức. Khi sự kiện phát triển đến mức phiên bản chính thức cũng có thể gặp rủi ro, ranh giới an toàn của người dùng càng bị thu hẹp, các vụ lừa đảo thứ cấp thường bùng phát trong hỗn loạn.

Tính đến thời điểm phát hành, Trust Wallet đã kêu gọi tất cả người dùng bị ảnh hưởng nhanh chóng cập nhật phiên bản. Tuy nhiên, khi tài sản bị đánh cắp trên chuỗi vẫn tiếp tục di chuyển, dư âm của "cuộc cướp Giáng sinh" này rõ ràng vẫn chưa kết thúc.

Dù là log rõ ràng của Slope hay cửa hậu độc hại của Trust Wallet, lịch sử luôn lặp lại một cách đáng kinh ngạc. Điều này một lần nữa nhắc nhở mọi người dùng crypto không nên mù quáng tin tưởng bất kỳ phần mềm đơn lẻ nào. Kiểm tra quyền truy cập thường xuyên, phân tán lưu trữ tài sản, cảnh giác với các bản cập nhật bất thường, có lẽ là quy tắc sinh tồn để vượt qua "khu rừng đen tối" của crypto.