Sáng ngày 26 tháng 12, Trust Wallet đã phát đi cảnh báo bảo mật, xác nhận lỗ hổng bảo mật trong tiện ích mở rộng trình duyệt Trust Wallet phiên bản 2.68. Người dùng phiên bản 2.68 nên tắt tiện ích mở rộng ngay lập tức và nâng cấp lên phiên bản 2.69. Vui lòng nâng cấp thông qua liên kết chính thức trên Chrome Web Store.
Theo dõi từ PyShield, tin tặc đã đánh cắp hơn 6 triệu đô la tài sản tiền điện tử từ các nạn nhân thông qua lỗ hổng bảo mật Trust Wallet.
Hiện tại, khoảng 2,8 triệu đô la Mỹ tiền bị đánh cắp vẫn còn trong ví của tin tặc (Bitcoin / EVM / Solana), trong khi hơn 4 triệu đô la Mỹ tài sản tiền điện tử đã được chuyển đến các sàn giao dịch tập trung, cụ thể là: khoảng 3,3 triệu đô la Mỹ đến ChangeNOW, khoảng 340.000 đô la Mỹ đến FixedFloat và khoảng 447.000 đô la Mỹ đến Kucoin.
Khi số lượng người dùng bị ảnh hưởng tăng vọt, một cuộc kiểm tra mã nguồn của Trust Wallet phiên bản 2.68 đã được tiến hành. Nhóm phân tích bảo mật SlowMist, bằng cách so sánh sự khác biệt trong mã nguồn giữa phiên bản 2.68.0 (phiên bản bị nhiễm) và 2.69.0 (phiên bản đã được vá lỗi), đã phát hiện ra rằng tin tặc đã cài đặt một đoạn mã thu thập dữ liệu có vẻ hợp pháp, biến plugin chính thức thành một cửa hậu để đánh cắp thông tin cá nhân.
Theo phân tích của nhóm bảo mật SlowMist, phương thức tấn công chính được xác định là tiện ích mở rộng trình duyệt Trust Wallet phiên bản 2.68.0. Bằng cách so sánh với phiên bản đã được vá lỗi 2.69.0, các nhà nghiên cứu bảo mật đã phát hiện ra một đoạn mã độc hại được ngụy trang rất tinh vi trong phiên bản cũ hơn. (Xem hình ảnh).
Mã độc cửa sau thêm một chương trình PostHog để thu thập nhiều thông tin riêng tư của người dùng ví (bao gồm cả cụm từ ghi nhớ) và gửi chúng đến máy chủ của kẻ tấn công api.metrics-trustwallet[.] com.
Dựa trên những thay đổi trong mã nguồn và hoạt động trên chuỗi khối, SlowMist đã đưa ra ước tính về mốc thời gian cho cuộc tấn công này:
Ngày 8 tháng 12: Quân tấn công bắt đầu chuẩn bị.
Ngày 22 tháng 12: Phát hành thành công phiên bản 2.68 với phần mềm độc hại được cài đặt sẵn;
Ngày 25 tháng 12: Lợi dụng kỳ nghỉ lễ Giáng sinh, tin tặc bắt đầu chuyển tiền dựa trên các cụm từ ghi nhớ bị đánh cắp, sau đó vụ việc đã bị phát hiện.
Hơn nữa, phân tích của SlowMist cho thấy những kẻ tấn công dường như rất quen thuộc với mã nguồn mở rộng của Trust Wallet. Điều đáng chú ý là mặc dù bản vá hiện tại (2.69.0) đã ngăn chặn việc truyền tải độc hại, nhưng nó không loại bỏ thư viện PostHog JS.
Trong khi đó, 23pds, Giám đốc An ninh Thông tin của SlowMist Technology, đã đăng tải trên mạng xã hội: "Dựa trên phân tích của SlowMist, có lý do để tin rằng các thiết bị hoặc kho mã nguồn của nhà phát triển Trust Wallet có thể đã bị tin tặc xâm nhập. Vui lòng ngắt kết nối internet ngay lập tức và kiểm tra thiết bị của những người có liên quan." Ông cũng nhấn mạnh thêm: "Người dùng các phiên bản Trust Wallet bị ảnh hưởng phải ngắt kết nối internet trước, sau đó xuất cụm từ ghi nhớ (mnemonic phrase) để chuyển tài sản; nếu không, việc mở ví trực tuyến sẽ dẫn đến việc bị đánh cắp tài sản. Những người đã sao lưu cụm từ ghi nhớ phải chuyển tài sản trước khi nâng cấp ví."
Báo cáo cũng chỉ ra rằng những kẻ tấn công dường như rất quen thuộc với mã nguồn mở rộng của Trust Wallet, khi đã chèn PostHog JS để thu thập nhiều thông tin khác nhau từ ví của người dùng. Bản vá lỗi hiện tại của Trust Wallet không loại bỏ được PostHog JS.
Việc phiên bản chính thức của Trust Wallet bị nhiễm phần mềm độc hại đã gợi nhớ đến một số cuộc tấn công rủi ro cao nhắm vào các giao diện ví nóng trong những năm gần đây. Từ phương thức tấn công đến nguyên nhân gây ra lỗ hổng, những trường hợp này cung cấp những điểm tham chiếu quan trọng để hiểu rõ hơn về sự cố này.
Các cuộc tấn công tương tự nhất với vụ việc Trust Wallet là những cuộc tấn công nhắm vào chuỗi cung ứng phần mềm và các kênh phân phối. Trong những trường hợp này, người dùng không những không làm gì sai mà thậm chí còn bị thiệt hại vì đã tải xuống "phần mềm hợp pháp".
Sự cố đầu độc Ledger Connect Kit (tháng 12 năm 2023): Mã nguồn giao diện người dùng của Ledger, gã khổng lồ trong lĩnh vực ví phần cứng, đã bị tin tặc xâm nhập thông qua hình thức lừa đảo và tải lên gói cập nhật độc hại. Điều này dẫn đến việc giao diện người dùng của một số dApp hàng đầu, bao gồm cả SushiSwap, bị đầu độc, hiển thị các cửa sổ kết nối giả mạo. Sự cố này được coi là một trường hợp điển hình của "tấn công chuỗi cung ứng", cho thấy ngay cả đối với các công ty có danh tiếng bảo mật xuất sắc, các kênh phân phối Web2 của họ (như NPM) vẫn là những điểm yếu có rủi ro cao.
Vụ tấn công chiếm đoạt tài khoản Hola VPN và Mega Extension (2018): Vào năm 2018, tài khoản nhà phát triển tiện ích mở rộng Chrome của dịch vụ VPN nổi tiếng Hola đã bị tấn công. Tin tặc đã phát hành một "bản cập nhật chính thức" chứa mã độc được thiết kế đặc biệt để theo dõi và đánh cắp khóa riêng tư của người dùng MyEtherWallet.
Bên cạnh các nguy cơ bị tấn công từ bên ngoài, những lỗi trong quá trình xử lý dữ liệu nhạy cảm của ví điện tử, chẳng hạn như cụm từ ghi nhớ và khóa riêng tư, cũng có thể dẫn đến tổn thất tài sản trên diện rộng.
Tranh cãi về hệ thống ghi nhật ký ví Slope liên quan đến việc thu thập thông tin nhạy cảm (tháng 8 năm 2022): Một vụ trộm tiền điện tử quy mô lớn đã xảy ra trong hệ sinh thái Solana. Các cuộc điều tra sau đó chỉ ra ví Slope là yếu tố chính, cáo buộc rằng một phiên bản của ví đã gửi khóa riêng tư hoặc cụm từ ghi nhớ đến dịch vụ của Sentry (Sentry ở đây đề cập đến một dịch vụ được nhóm Slope triển khai riêng, chứ không phải giao diện hoặc dịch vụ chính thức của Sentry). Tuy nhiên, các công ty bảo mật cũng đã phân tích rằng cuộc điều tra về ứng dụng ví Slope cho đến nay vẫn chưa chứng minh được một cách chắc chắn rằng nguyên nhân gốc rễ của sự cố nằm ở ví Slope. Vẫn còn nhiều công việc kỹ thuật cần phải thực hiện và cần thêm bằng chứng để giải thích nguyên nhân cơ bản của sự cố này.
Lỗ hổng tạo khóa có độ ngẫu nhiên thấp của Trust Wallet (được tiết lộ là CVE-2023-31290, khai thác có thể truy vết đến năm 2022/2023): Tiện ích mở rộng trình duyệt của Trust Wallet được phát hiện có độ ngẫu nhiên không đủ: kẻ tấn công có thể khai thác khả năng liệt kê được cung cấp bởi hạt giống 32 bit để xác định và suy luận một cách hiệu quả các địa chỉ ví có khả năng bị ảnh hưởng trong một phạm vi phiên bản cụ thể, từ đó đánh cắp tiền.
Hệ sinh thái ví điện tử và tìm kiếm trên trình duyệt mở rộng từ lâu đã bị ảnh hưởng bởi một chuỗi chợ đen liên quan đến các plugin giả mạo, trang tải xuống giả mạo, cửa sổ bật lên cập nhật giả mạo và tin nhắn riêng tư giả mạo của bộ phận chăm sóc khách hàng. Khi người dùng cài đặt các plugin này thông qua các kênh không chính thức hoặc nhập cụm từ ghi nhớ/khóa riêng tư của họ trên các trang lừa đảo, tài sản của họ có thể bị mất trắng ngay lập tức. Khi tình hình leo thang đến mức ngay cả phiên bản chính thức cũng có thể gặp rủi ro, ranh giới bảo mật của người dùng càng bị thu hẹp, và các vụ lừa đảo thứ cấp thường bùng phát trong bối cảnh hỗn loạn đó.
Tính đến thời điểm hiện tại, Trust Wallet đã kêu gọi tất cả người dùng bị ảnh hưởng cập nhật thiết bị của họ càng sớm càng tốt. Tuy nhiên, với sự di chuyển bất thường liên tục của số tiền bị đánh cắp trên blockchain, hậu quả của "vụ trộm Giáng sinh" này rõ ràng vẫn chưa kết thúc.
Dù là nhật ký dạng văn bản thuần của Slope hay phần mềm độc hại dạng cửa hậu của Trust Wallet, lịch sử dường như luôn lặp lại. Điều này là lời nhắc nhở mạnh mẽ cho mọi người dùng tiền điện tử: đừng bao giờ tin tưởng mù quáng vào bất kỳ phần mềm nào. Thường xuyên kiểm tra quyền truy cập, phân tán tài sản ở nhiều nơi lưu trữ khác nhau và luôn cảnh giác với các bản cập nhật phiên bản bất thường có lẽ là chìa khóa để tồn tại trong khu rừng đen tối của tiền điện tử.