Lỗ hổng EngageLab SDK trên Android đe dọa hàng chục triệu ví tiền mã hóa, Microsoft(MSFT) cảnh báo người dùng phải xoay vòng seed phrase

Theo Microsoft(MSFT) cho biết ngày 13 (giờ địa phương), một lỗ hổng nghiêm trọng trong bộ công cụ phát triển phần mềm EngageLab SDK trên Android đã từng đe dọa tới hàng chục triệu ứng dụng *từ* ví tiền mã hóa *từ*. Dù bản vá đã được phát hành, nhiều người dùng vẫn chưa cập nhật, làm dấy lên lo ngại về nguy cơ lộ địa chỉ ví, cụm từ khôi phục (seed phrase) và khóa riêng tư.

Theo Microsoft(MSFT) công bố, nhóm Defender Security Research Team đã tiết lộ lỗ hổng này vào tuần trước, cho biết họ phát hiện vấn đề từ tháng 4 năm 2025. Cốt lõi của lỗ hổng là kỹ thuật “chuyển hướng intent” (intent redirection): ứng dụng của kẻ tấn công gửi một thông điệp được thiết kế đặc biệt tới ứng dụng bị lỗi, khiến ứng dụng này vô tình trao quyền truy cập dữ liệu của mình cho ứng dụng độc hại. Cách khai thác này cho phép kẻ tấn công *từ* vượt qua cơ chế sandbox bảo vệ trên Android *từ*, vốn được thiết kế để cách ly dữ liệu giữa các ứng dụng.

Microsoft(MSFT) cho biết họ đã chia sẻ chi tiết kỹ thuật với Google(GOOGL) và đội ngũ bảo mật Android vào tháng 5 năm 2025, sau đó EngageLab phát hành phiên bản đã sửa lỗi là SDK 5.2.1. Tuy vậy, các ứng dụng được cài đặt dưới dạng file APK từ bên ngoài, không qua kiểm chứng trên Google Play, bị đánh giá là có nguy cơ cao hơn vì không chịu sự rà soát và ép buộc cập nhật từ hệ thống phân phối chính thức.

Theo ước tính của Microsoft(MSFT), lỗ hổng trong EngageLab SDK từng ảnh hưởng tới hơn 50 triệu ứng dụng trong hệ sinh thái Android, trong đó khoảng 30 triệu là ứng dụng *từ* ví tiền mã hóa *từ*. Đáng chú ý, cuộc tấn công có thể xảy ra mà không cần thao tác của người dùng: chỉ cần trên cùng một thiết bị tồn tại song song ứng dụng chứa lỗ hổng và ứng dụng tấn công là kịch bản khai thác đã có thể được kích hoạt. Điều này làm gia tăng đáng kể mức độ nghiêm trọng của rủi ro bảo mật.

Các chuyên gia bảo mật cảnh báo, với những người dùng *từ* ví tiền mã hóa *từ* không cập nhật ứng dụng kể từ giữa năm 2025, việc chỉ cập nhật lên phiên bản mới có bản vá có thể là chưa đủ. Những ví đã từng hoạt động trong thời gian lỗ hổng tồn tại và chưa được vá cần được xem là “có khả năng đã bị xâm phạm”. Khuyến nghị được đưa ra là người dùng nên tạo một ví mới với cụm từ khôi phục (seed) hoàn toàn mới, sau đó chuyển toàn bộ tài sản sang ví này để giảm thiểu rủi ro.

bình luận: Với các ví tự quản lý (non-custodial), nếu seed phrase hoặc khóa riêng tư đã từng bị rò rỉ, kẻ tấn công có thể chờ nhiều tháng hoặc nhiều năm rồi mới di chuyển tài sản, nên việc “phòng trước” bằng cách di dời tài sản sang ví mới là bước an toàn hơn so với chỉ tin vào bản cập nhật.

Diễn biến này diễn ra trong bối cảnh gần đây liên tiếp xuất hiện cảnh báo về lỗ hổng phần cứng trên chip Android, cùng với kế hoạch của Bộ Tài chính Mỹ chia sẻ thông tin *từ* đe dọa an ninh mạng với doanh nghiệp tiền mã hóa *từ*. Việc lỗ hổng trên EngageLab SDK bị phơi bày cho thấy an ninh di động đang trở thành một biến số then chốt trong bảo vệ tài sản tiền mã hóa, khi phần lớn người dùng hiện nay quản lý ví và giao dịch qua điện thoại thông minh.

bình luận: Vụ việc này nhấn mạnh một thực tế khó tránh khỏi của thị trường crypto: rủi ro không chỉ đến từ sàn giao dịch hay hợp đồng thông minh, mà còn nằm ở tầng rất “cơ bản” như SDK, thư viện bên thứ ba và thói quen cài APK ngoài chợ ứng dụng chính thức. Đối với nhà đầu tư cá nhân, việc cập nhật thiết bị, ứng dụng và chủ động xoay vòng ví định kỳ đang trở thành một phần không thể thiếu trong chiến lược bảo vệ tài sản.