Rủi ro đằng sau mã độc: Làm thế nào mã ẩn đã thu thập khóa riêng tư trong Trust Wallet

Một script là gì và tại sao tiện ích mở rộng Chrome của Trust Wallet lại bị tấn công bằng mã độc? Phiên bản cập nhật v2.68 phát hành ngày 24 tháng 12 chứa logic JavaScript đáng ngờ được thiết kế để truyền tải bí mật ví đến các máy chủ bên ngoài. Các nhà điều tra đã xác định các tham chiếu đến một tệp có tên “4482.js” trong gói bị ảnh hưởng, xác nhận rằng script hoạt động theo cách bị che khuất để tránh bị phát hiện.

Phạm vi của sự cố: Từ 6 đến 7 triệu đô la thiệt hại đã được xác nhận

Trust Wallet sau đó xác nhận rằng khoảng 7 triệu đô la đã bị lấy cắp trong sự cố này. Công ty đã phản ứng nhanh chóng, phát hành phiên bản v2.69 vào ngày 25 tháng 12 như một biện pháp khắc phục. Theo các báo cáo của các nạn nhân và nhà điều tra, các vụ trộm bắt đầu xuất hiện vài giờ sau khi phát hành v2.68, gây ra các cảnh báo công khai về phạm vi tiềm năng của sự xâm phạm.

Trang của tiện ích mở rộng trên Chrome Web Store cho biết có khoảng 1.000.000 người dùng đăng ký, điều này đặt ra giới hạn lý thuyết về mức độ phơi nhiễm. Tuy nhiên, lỗ hổng thực tế phụ thuộc vào số lượng người dùng nhập phrase seed trong khi phiên bản bị xâm phạm còn hoạt động trên trình duyệt của họ.

Ai thực sự gặp rủi ro: Tầm quan trọng của phrase seed

Các nhà điều tra nhấn mạnh rằng rủi ro lớn nhất ảnh hưởng đến những người dùng đã nhập hoặc import phrase seed sau khi cài đặt v2.68. Một phrase seed đại diện cho khóa chính có khả năng mở khóa tất cả các địa chỉ hiện tại và tương lai được tạo ra từ nó, khiến nó trở thành mục tiêu ưu tiên của bất kỳ kẻ tấn công nào.

Script độc hại được thiết kế đặc biệt để thu thập loại dữ liệu nhạy cảm này. Trong khi các thành phần khác của tiện ích mở rộng (phiên bản di động và các phân phối khác) không bị ảnh hưởng, thì phiên bản trình duyệt Chrome tập trung toàn bộ khả năng phơi nhiễm trong giai đoạn dễ bị tấn công.

Các bước phục hồi: Cập nhật không đủ nếu phrase seed của bạn đã bị lộ

Sự phân biệt này rất quan trọng đối với người dùng. Cập nhật lên v2.69 sẽ loại bỏ logic độc hại của script từ đó trở đi, nhưng không tự động bảo vệ tài sản nếu phrase seed đã bị truyền đến kẻ tấn công.

Đối với những người đã nhập phrase seed trong khi v2.68 còn hoạt động, các bước tiêu chuẩn bao gồm:

• Tạo ví mới từ một phrase seed hoàn toàn mới
• Chuyển tất cả các quỹ đến các địa chỉ mới được tạo ra
• Thu hồi các quyền phê duyệt token nếu có thể trên chuỗi blockchain
• Xem xét bất kỳ thiết bị nào đã quản lý phrase seed như thể nó có thể đã bị xâm phạm cho đến khi xác minh rõ ràng

Những hành động này đòi hỏi chi phí vận hành đáng kể, bao gồm phí gas cho nhiều giao dịch liên chuỗi và các rủi ro liên quan đến cầu nối tài sản trong giai đoạn di chuyển.

Mô hình tin cậy của các tiện ích mở rộng: Một điểm yếu trong an ninh hệ sinh thái

Các tiện ích mở rộng trình duyệt chiếm vị trí đặc biệt và dễ bị tổn thương: chúng có thể truy cập cùng các giao diện mà người dùng sử dụng để xác minh giao dịch. Các nghiên cứu học thuật đã chứng minh rằng các script độc hại có thể tránh khỏi các kiểm tra tự động của Chrome Web Store và hiệu quả của các hệ thống phát hiện giảm theo thời gian khi kẻ tấn công tiến hóa chiến thuật của họ.

Sự cố này nhấn mạnh nhu cầu triển khai các kiểm soát toàn vẹn build mạnh mẽ hơn, bao gồm các build có thể tái tạo, chữ ký khóa chia nhỏ và các tùy chọn hoàn nguyên rõ ràng được ghi chú cho các tình huống khẩn cấp.

Các kịch bản phát triển của sự cố: Dự đoán về phạm vi cuối cùng

Tổng thiệt hại vẫn còn biến động, phụ thuộc vào các phát hiện muộn của các nạn nhân và việc phân loại lại các địa chỉ trong chuỗi. Các nhà điều tra dự đoán các kịch bản trong 2 đến 8 tuần tới:

Các biến số chính bao gồm việc việc thu thập bí mật chỉ giới hạn trong việc nhập phrase seed trong v2.68, có phát hiện ra các lối thoát khác để phơi nhiễm hay không, và tốc độ loại bỏ các tên miền giả mạo cố gắng lừa người dùng bằng cách cung cấp các giải pháp giả.

Phản ứng của thị trường và khuyến nghị ngay lập tức

Giá của Trust Wallet Token (TWT) đóng cửa ở $0.87, giảm 2.24% trong 24 giờ qua, với mức cao trong ngày là $0.90 và thấp nhất là $0.86. Thị trường phản ứng với sự biến động vừa phải, không có sự điều chỉnh theo chiều hướng rõ ràng.

Khuyến nghị cho người dùng:

1. Tắt ngay tiện ích mở rộng v2.68 nếu còn đang cài đặt
2. Cập nhật lên v2.69 từ Chrome Web Store chính thức
3. Xác định xem bạn có nhập phrase seed trong khi v2.68 còn hoạt động hay không—đây là câu hỏi then chốt
4. Nếu có: chuyển quỹ của bạn sang ví mới; nếu không: việc cập nhật là đủ
5. Bỏ qua bất kỳ liên lạc nào không đến từ các kênh chính thức của Trust Wallet, vì các kẻ lừa đảo cố gắng mạo danh đội ngũ trong quá trình khắc phục

Trust Wallet đã xác nhận cam kết hoàn trả cho tất cả các người dùng bị ảnh hưởng và sẽ sớm chia sẻ hướng dẫn chi tiết về quá trình phục hồi.