Tấn công cross-chain lan rộng, Trust Wallet bị hack đánh cắp seed phrase hơn 8,5 triệu USD

Một cuộc tấn công mạng quy mô lớn đang diễn ra trên nhiều chuỗi khối khác nhau, khiến cộng đồng tiền mã hóa không khỏi lo ngại về mức độ nghiêm trọng của tình trạng bảo mật Web3 hiện nay. Vụ việc mới nhất cho thấy tin tặc đang nhắm vào các ví tiền mã hóa thuộc các chuỗi tương thích EVM để lấy cắp tài sản với giá trị nhỏ lẻ nhưng xảy ra hàng loạt. Theo đánh giá của chuyên gia phân tích blockchain ZachXBT, tổng giá trị bị đánh cắp đã vượt mốc 107.000 USD, tương đương hơn 1,5 tỷ đồng.

Theo cảnh báo từ ZachXBT đăng tải ngày 2 (giờ địa phương), phần lớn nạn nhân bị đánh cắp không đến 2.000 USD mỗi người, tuy nhiên số lượng địa chỉ ví bị xâm nhập rất lớn và đang tăng lên nhanh chóng. ZachXBT nhận định đây là “một cuộc tấn công đang diễn ra” và lưu ý rằng mức độ lan rộng của vụ việc nguy hiểm không kém so với quy mô thiệt hại tài chính.

Vụ việc lần này được cho là tiếp nối chuỗi tấn công mạng diễn ra trong tháng 12, thời điểm ghi nhận 26 sự cố bảo mật lớn khiến tổng số thiệt hại lên đến 76 triệu USD. Trong đó, vụ hack xảy ra đúng vào ngày Giáng sinh nhắm vào tiện ích mở rộng của Trust Wallet gây ảnh hưởng nặng nề, khi khoảng 7 triệu USD đã bị đánh cắp thông qua trình duyệt web.

Tấn công đồng loạt trên nhiều chuỗi, có tổ chức và khó phát hiện

Một điểm đáng chú ý là tin tặc sử dụng hình thức tấn công phân tán trên nhiều chuỗi khác nhau, hay còn gọi là “tấn công đa chuỗi (cross-chain)”, thay vì nhắm vào một ví có giá trị lớn. Kẻ xâm nhập đã chọn cách lấy cắp tài sản nhỏ lẻ từ nhiều ví riêng biệt trên các chuỗi EVM như Ethereum(ETH), BNB Chain hay Fantom bằng cách sử dụng kỹ thuật “địa chỉ giả mạo (address poisoning)” hoặc đánh cắp khóa riêng (private key).

ZachXBT đã công bố một địa chỉ nghi ngờ có liên quan tới vụ hack là ‘0xAc2***9bFB’ và đang thu thập danh sách các ví bị ảnh hưởng. Anh cũng kêu gọi cộng đồng người dùng báo cáo thêm nếu phát hiện bất thường qua nền tảng X (trước đây là Twitter).

Bình luận: Hình thức tấn công này cho thấy sự chuyên nghiệp và tổ chức chặt chẽ của các nhóm tin tặc trong thời gian gần đây, khi họ sử dụng hạ tầng tinh vi để phân phối mã độc trên nhiều chuỗi cùng lúc, khiến cho việc phát hiện và phản ứng trở nên vô cùng khó khăn.

Trust Wallet đứng giữa cuộc khủng hoảng bảo mật trình duyệt

Song song, vụ tấn công nhằm vào tiện ích mở rộng của Trust Wallet trên Chrome vẫn đang để lại hậu quả lớn. Trình duyệt này từng bị loại bỏ khỏi Chrome Web Store, khiến tiến trình khôi phục và hỗ trợ người dùng bị trì hoãn. Theo CEO của Trust Wallet, ông Eowyn Chen, trục trặc xuất hiện trong quá trình phát hành phiên bản Chrome mới đã khiến mã độc vượt qua được khâu kiểm duyệt.

Phiên bản bị nhiễm mã độc là 2.68, trông có vẻ giống một bản cập nhật bình thường, nhưng thực tế chứa đoạn mã ẩn đánh cắp seed phrase – chuỗi phục hồi ví chứa tài sản. Từ ngày 24 đến 26 tháng 12, mã độc này đã lấy trộm tiền mã hóa từ hơn 2.500 ví, với tổng thiệt hại ước tính lên đến 8,5 triệu USD.

Theo kết quả điều tra, đây là một vụ “tấn công chuỗi cung ứng (supply chain attack)” được mã hóa dưới cái tên “Sha1-Hulud”. Kẻ tấn công đã lợi dụng các lỗ hổng trong quản trị bảo mật trên GitHub và API Google để cài đặt mã độc mà không qua kiểm tra thủ công trước khi lên kho ứng dụng trình duyệt.

Lỗi con người tiếp tục là mắt xích yếu nhất trong bảo mật Web3

Trái ngược với những sự cố bảo mật liên quan đến lỗi smart contract, phần lớn các cuộc tấn công gần đây lại xuất phát từ sai sót vận hành, sơ suất khi cập nhật hệ thống hoặc kỹ thuật lừa đảo đánh vào tâm lý người dùng – những chiến thuật mang tính “kỹ nghệ xã hội (social engineering)”.

Mitchell Amador, CEO của nền tảng miễn trừ bảo mật Immunefi, nhận định: “Kẻ tấn công hiện không còn tìm cách vượt qua các đoạn mã an toàn, mà thay vào đó sẽ tập trung vào giai đoạn cập nhật sản phẩm hoặc quy trình tích hợp – nơi con người tham gia nhiều nhất.”

Mặc dù tổng thiệt hại do hack trong tháng 12 giảm khoảng 60% so với tháng trước, vẫn có những vụ đánh cắp có giá trị đơn lẻ lên tới hàng chục triệu USD. Một người dùng đã chuyển nhầm 50 triệu USD vào một địa chỉ giả mạo có ký hiệu gần giống với ví thật. Trong khi một vụ khác liên quan đến việc lộ khóa riêng của ví đa chữ ký gây ra tổn thất đến 27,3 triệu USD.

Thậm chí, tại Mỹ, một cá nhân tên Ronald Spector sống tại Brooklyn (New York) đã giả danh nhân viên Coinbase để gọi điện lừa đảo hơn 100 người dùng, chiếm đoạt tổng cộng 16 triệu USD.

Gia tăng cảnh giác, người dùng cần tự trang bị kỹ năng bảo mật

Loạt sự kiện nói trên khẳng định rằng chỉ có công nghệ thôi là chưa đủ để đảm bảo an toàn trong hệ sinh thái tiền mã hóa. Người dùng phải nâng cao “cảnh giác bảo mật”, đặc biệt với những thao tác tưởng chừng đơn giản như cài đặt tiện ích mở rộng của ví, dán địa chỉ chuyển tiền hay kết nối với DApp không rõ nguồn gốc.

Trust Wallet khuyến nghị người dùng kiểm tra kỹ thông tin nhà phát triển trước khi cài đặt tiện ích, cẩn thận đối chiếu từng ký tự địa chỉ ví khi giao dịch.

Do đặc thù “phi tập trung”, các nền tảng như Trust Wallet, MetaMask hay các chuỗi EVM không có bộ phận quản trị trung tâm. Điều này khiến việc khôi phục tài sản bị hack gần như bất khả thi, nếu người dùng không có biện pháp phòng vệ cá nhân.

Bình luận: Trong kỷ nguyên Web3, nơi quyền sở hữu tài sản số trao về tay người dùng, khả năng tự bảo vệ không còn là tùy chọn – mà là yêu cầu bắt buộc.

Từ khóa: “tấn công cross-chain”, “hack Trust Wallet”, “đánh cắp seed phrase”, “mắt xích yếu bảo mật”, “tấn công chuỗi cung ứng”