Google cảnh báo bộ công cụ Coruna nhắm ví Bitcoin(BTC), Ethereum(ETH), Solana(SOL) trên iPhone, săn seed phrase để rút sạch tiền

Theo Google Threat Analysis Group(TAG) đưa tin ngày 20 tháng 1 năm 2025 (giờ địa phương), bộ “*Coruna exploit kit*” đang bị tội phạm mạng khai thác ngoài thực tế, nhắm thẳng vào người dùng iPhone(iOS) giao dịch và lưu trữ tiền mã hóa trên thiết bị di động. Bộ công cụ này tận dụng tới 23 lỗ hổng iOS, không chỉ gây lỗi quảng cáo hay treo ứng dụng, mà trực tiếp săn tìm “*seed phrase*” theo chuẩn BIP39 và *khóa riêng* của ví tiền mã hóa để rút sạch tài sản.

Coruna hoạt động gần như vô hình. Theo mô tả trong báo cáo, bộ kit lợi dụng lỗ hổng trình duyệt để xâm nhập thiết bị, sau đó âm thầm quét toàn bộ hệ thống. Nó tìm “cụm từ ghi nhớ” (seed/niemonic) được lưu trong ứng dụng Ghi chú, trích xuất mã QR chứa khóa hoặc địa chỉ ví trong thư viện ảnh, và với các thiết bị chưa vá đầy đủ, có thể tiếp cận sâu hơn để đánh cắp *khóa riêng* rồi triển khai cơ chế *drainer* – tự động rút toàn bộ tiền khỏi ví. Người dùng chưa kịp nhận ra trình duyệt đã bị khai thác thì tiền mã hóa đã bị chuyển đi, không thể đảo ngược.

*bình luận* Đây là kịch bản rủi ro tối đa đối với người dùng ví *phi tập trung* tự lưu ký, bởi chỉ cần lộ *seed phrase* hoặc *private key* là mất vĩnh viễn quyền kiểm soát tài sản trên blockchain.

Theo TAG, điều khiến giới an ninh mạng đặc biệt lo ngại là “cấp độ” của cuộc tấn công. Trước đây, chuỗi tấn công nhiều tầng (multistage exploit chain) trên iOS chủ yếu xuất hiện trong các chiến dịch của nhóm tin tặc được nhà nước bảo trợ hoặc những bộ công cụ giám sát siêu đắt, nhắm vào nhà báo, nhà ngoại giao, nhà hoạt động… Nay, Coruna cho thấy loại công nghệ ở “đẳng cấp quốc gia” này đang được “đóng gói” thành *bộ công cụ tội phạm phổ thông*, bán cho bất kỳ ai đủ tiền mua.

Các nhà phân tích gọi đây là một dạng “regime change” – công cụ vốn dùng cho do thám, giờ chuyển sang phục vụ trộm cắp bán lẻ trên diện rộng. Từ góc nhìn thị trường, bối cảnh cũng không mấy tích cực: theo hãng phân tích on-chain Chainalysis ước tính trước đó, quy mô “thị trường trộm cắp tiền mã hóa” có thể vượt 75 tỉ USD vào năm 2025, trong đó các ví *drainer* chiếm tỷ trọng đáng kể. Sự xuất hiện của bộ công cụ *Coruna* nhắm riêng vào hệ sinh thái iOS, với khả năng tự động hóa cao, có thể tạo ra cú sốc trực tiếp cho nhóm nhà đầu tư dùng ví di động – vốn chiếm tỷ lệ lớn tại nhiều thị trường.

Coruna được mô tả là dạng tấn công “*1-click*”: chỉ cần người dùng truy cập *trang web đã bị cài mã độc* là cuộc tấn công khởi động. Các website này thường ngụy trang thành nền tảng cá cược, cổng tin tức hay trang dịch vụ bình thường, sau đó dụ người dùng nhấn vào các nút, banner để kích hoạt chuỗi khai thác dựa trên lỗ hổng WebKit. Tiếp theo, bộ kit liên tục tận dụng các lỗ hổng leo thang đặc quyền (Local Privilege Escalation) để thoát khỏi sandbox của trình duyệt và tiến sâu vào hệ thống.

Google TAG cho biết, khi phân tích các phiên bản từ iOS 13.0 đến 17.2.1, họ nhận thấy kẻ tấn công không chỉ dùng “một lỗi duy nhất” mà còn kết hợp nhiều điểm xâm nhập khác nhau để đưa payload xuống thiết bị. Mục tiêu cuối cùng đều là biến thiết bị thành “cửa hậu” cho ví *drainer*: truy quét hệ thống file để tìm chuỗi liên quan đến *tiền mã hóa*, quét thư viện ảnh tìm mã QR của ví, và trích xuất seed phrase trong ứng dụng Ghi chú.

Với loại tấn công này, thiệt hại diễn ra ngay lập tức và không thể hoàn tác, bởi tài sản trên blockchain gần như không thể thu hồi sau khi giao dịch hoàn tất. Với nhà đầu tư sử dụng iPhone để giao dịch hoặc lưu trữ ví, việc cập nhật hệ điều hành và vá lỗi bảo mật đúng hạn trở thành “tuyến phòng thủ đầu tiên” cho tài sản.

Trước đây, chuỗi exploit phức tạp kiểu này gần như nằm trong tay các doanh nghiệp chuyên cung cấp công cụ do thám như NSO Group hoặc những nhóm tấn công mang tính “quốc gia”. Những công cụ đắt đỏ đó chủ yếu nhắm vào mục tiêu giá trị cao, khó áp dụng cho tấn công đại trà vì chi phí và độ phức tạp triển khai quá cao.

Coruna đang đảo ngược mô hình đó. Đây được xem là ví dụ điển hình về cách thức vận hành lỗ hổng trong các chiến dịch có yếu tố nhà nước, như “Operation Triangulation”, cuối cùng bị rò rỉ hoặc sao chép vào tay tội phạm tài chính. Hệ quả là rào cản gia nhập cho kẻ tấn công nhắm vào ví *phi tập trung* như *MetaMask*, *Trust Wallet*… bị kéo xuống rất thấp: ngay cả nhóm tội phạm ít kinh nghiệm cũng có thể mua “bộ kit” rồi làm theo hướng dẫn.

Giới an ninh mạng từ lâu đã chỉ ra mô hình lặp đi lặp lại: công cụ gián điệp cấp nhà nước theo thời gian sẽ “rơi” vào hệ sinh thái tội phạm, được chỉnh sửa để phục vụ mục tiêu tiền tệ. Trong trường hợp Coruna, thứ mà kẻ tấn công săn đuổi không phải thông tin mật nhà nước mà là *thanh khoản*. Nền tảng bảo mật iVerify ước tính số thiết bị bị ảnh hưởng đã lên tới ít nhất 42.000 máy, song tổng thiệt hại tài chính chưa được công bố. Với đặc tính phân tán của các ví *drainer*, nhiều chuyên gia lo ngại tổn thất sẽ không xuất hiện dưới dạng “một vụ hack khổng lồ” mà rải rác, tích lũy theo thời gian, khó thống kê.

Đối tượng bị đe dọa rõ rệt nhất là nhà đầu tư “trading trên di động” và sử dụng ví *tự lưu ký* (self-custody), không thông qua sàn tập trung. Con đường tấn công thường ẩn trong các “vùng xám” nơi người dùng tiền mã hóa hay lui tới: trang cá cược chưa được cấp phép, website nhận *airdrop* / claim token đáng ngờ, kho ứng dụng bên thứ ba…

Theo phân tích kỹ thuật, Coruna cố gắng xác định và tiếp cận trực tiếp thư mục dữ liệu của những ví *phi tập trung* phổ biến, trong đó có MetaMask, Bitget Wallet (trước đây là BitKeep) và Trust Wallet. Nếu “két an toàn” (vault) được mã hóa yếu, hoặc người dùng lưu mật khẩu, seed phrase trong Keychain hay Ghi chú, kẻ tấn công chỉ cần khai thác thành công thiết bị là đủ điều kiện rút tiền.

Thói quen sử dụng cũng làm tăng rủi ro. Nhà đầu tư di động thường truy cập DApp, ký giao dịch trong lúc di chuyển, ưu tiên tốc độ hơn kiểm tra an toàn, khiến bề mặt tấn công rộng thêm. Điểm đáng sợ của Coruna là nó không cần lừa nạn nhân ký một giao dịch bất thường như các chiêu lừa *phishing* truyền thống. Chỉ cần lúc bạn đang lướt web, “chiếc chìa khóa của két” – tức seed phrase hoặc private key – đã bị đánh cắp.

Trong ngắn hạn, bước khẩn cấp với người dùng tiền mã hóa trên iPhone là kiểm tra và cập nhật ngay bản iOS mới nhất có vá đầy đủ lỗ hổng, đồng thời rà soát lại: có đang lưu seed phrase, private key, mã QR ví trong Ghi chú, ảnh, email hay không. Nhiều chuyên gia khuyến nghị chuyển phần tài sản dài hạn sang *ví lạnh* như Ledger hoặc Trezor, chỉ giữ trên ví nóng số dư vừa đủ giao dịch.

*bình luận* Sự bùng phát của Coruna cho thấy “tính tiện lợi” của giao dịch di động đang đi kèm cái giá ngày càng đắt về rủi ro bảo mật. Quan niệm “iPhone mặc định an toàn” không còn đúng trong bối cảnh tội phạm mạng trang bị công cụ ở tầm quốc gia. Với nhà đầu tư sử dụng **Bitcoin(BTC)**, **Ethereum(ETH)**, **Solana(SOL)** hay các tài sản khác trên di động, việc cập nhật hệ điều hành, đa dạng hóa phương thức lưu trữ và “không bao giờ lưu seed phrase trên thiết bị kết nối internet” đang trở thành nguyên tắc sống còn trong quản trị rủi ro tài sản số.