Hacker tấn công chuỗi cung ứng trên npm, Polygon(MATIC), Ledger và Trezor đồng loạt trấn an

Một trong những cuộc tấn công chuỗi cung ứng nghiêm trọng nhất trong lịch sử vừa xảy ra trên nền tảng lưu trữ mã nguồn JavaScript lớn nhất thế giới - npm, đã gây chấn động cộng đồng tiền mã hóa. Trong bối cảnh đó, các doanh nghiệp lớn trong ngành như Polygon(MATIC), Ledger và Trezor đồng loạt lên tiếng trấn an người dùng về mức độ ảnh hưởng của sự cố, khẳng định hệ thống của họ hoàn toàn an toàn.

Theo thông báo ngày 8 (giờ địa phương), Polygon cho biết không hề bị ảnh hưởng bởi sự cố bảo mật trên nền tảng npm. Công ty khẳng định kiến trúc kỹ thuật của mình “hoàn toàn an toàn và không chịu bất kỳ rủi ro nào”, đồng thời nhấn mạnh cả cấu trúc chính của nền tảng là Polygon PoS lẫn giải pháp Layer 2 - Agglayer đều duy trì tính toàn vẹn. Polygon hiện là một trong những nền tảng lớp thứ hai dựa trên Ethereum(EVM) phổ biến nhất, đóng vai trò hạ tầng cho hàng loạt nhà phát triển và dApp trong hệ sinh thái blockchain.

Danh tính người đầu tiên cảnh báo về cuộc tấn công này là Charles Guillemet, Giám đốc công nghệ (CTO) của công ty ví phần cứng Ledger. Trong tuyên bố chính thức, Ledger nhấn mạnh các thiết bị của họ chưa bao giờ nằm trong phạm vi ảnh hưởng của cuộc tấn công chuỗi cung ứng lần này. Guillemet cho biết: “Ledger được thiết kế ngay từ đầu để phòng vệ trước những kiểu tấn công như vậy”.

Cũng trong cùng ngày, Trezor – một thương hiệu ví cứng nổi tiếng khác – đưa ra tuyên bố xác nhận mọi thiết bị và phần mềm của công ty đều an toàn. Đặc biệt, ứng dụng Trezor Suite - phần mềm dùng để kết nối ví với máy tính - không bị ảnh hưởng bởi mã độc được phát tán qua npm.

Sự cố tấn công bắt đầu khi tài khoản npm của một lập trình viên JavaScript nổi tiếng bị chiếm đoạt. Hacker đã lợi dụng quyền kiểm soát này để tung lên một gói mã độc chứa phần mềm độc hại dạng “clipper malware” – loại mã độc có khả năng tự động thay đổi địa chỉ ví tiền mã hóa mà người dùng dán vào giao dịch, từ đó đánh cắp tài sản bằng cách chuyển hướng dòng tiền đến ví của hacker.

Với việc JavaScript là ngôn ngữ lập trình phổ biến xuyên suốt các lĩnh vực như phát triển phần mềm, web và blockchain, nguy cơ gói npm bị nhiễm độc được tải về hàng tỷ lần là hoàn toàn khả thi. Đây cũng là lý do thị trường gọi đây là “cuộc tấn công chuỗi cung ứng lớn nhất từ trước đến nay” trong lĩnh vực tiền mã hóa.

Các chuyên gia cảnh báo người dùng nên tăng cường bảo mật bằng cách kiểm tra kỹ địa chỉ ví trước khi ký giao dịch trên các ví Web3, cũng như cẩn trọng với bất kỳ hành động phê duyệt đáng ngờ nào.

Bình luận: Đây là lời cảnh tỉnh rõ ràng cho cộng đồng rằng vấn đề *bảo mật trong tiền mã hóa* không chỉ dựa vào công nghệ, mà *sự cẩn trọng của cá nhân* mới là lớp phòng thủ quan trọng nhất trong môi trường Web3 ngày càng phức tạp.