Hơn 6 triệu USD bị đánh cắp: Mã nguồn Trust Wallet bị tấn công, phiên bản chính thức trở thành cửa sau cho hacker?

Tiêu đề gốc: "Phiên bản Plugin Trust Wallet bị tấn công, thiệt hại hơn 6 triệu USD, bản vá khẩn cấp đã được phát hành"

Tác giả gốc: ChandlerZ, Foresight News

Vào sáng ngày 26/12, Trust Wallet đã đưa ra cảnh báo bảo mật, xác nhận một lỗ hổng bảo mật trong tiện ích mở rộng trình duyệt Trust Wallet phiên bản 2.68. Người dùng phiên bản 2.68 nên vô hiệu hóa tiện ích này ngay lập tức và nâng cấp lên phiên bản 2.69. Vui lòng nâng cấp thông qua liên kết chính thức trên Chrome Web Store.

Theo giám sát của PeckShield, việc khai thác lỗ hổng Trust Wallet đã khiến hacker đánh cắp hơn 6 triệu USD tiền điện tử từ các nạn nhân.

Hiện tại, khoảng 2,8 triệu USD tiền bị đánh cắp vẫn nằm trong ví của hacker (btc-42">Bitcoin / ethereum-virtual-machine-evm-144">EVM / Solana), trong khi hơn 4 triệu USD tiền điện tử đã được chuyển đến các cex-7529">centralized exchange (CEX), bao gồm: khoảng 3,3 triệu USD đến ChangeNOW, khoảng 340.000 USD đến FixedFloat và khoảng 447.000 USD đến Kucoin.

Khi số lượng người dùng bị ảnh hưởng tăng vọt, việc kiểm toán mã nguồn cho Trust Wallet phiên bản 2.68 đã được bắt đầu ngay lập tức. Đội ngũ phân tích bảo mật SlowMist, bằng cách so sánh sự khác biệt mã nguồn giữa 2.68.0 (phiên bản độc hại) và 2.69.0 (phiên bản đã sửa lỗi), đã phát hiện ra rằng hacker đã cài cắm một đoạn mã thu thập dữ liệu trông có vẻ hợp pháp, biến plugin chính thức thành một cửa sau đánh cắp quyền riêng tư.

Analysis: Trust Wallet Developer's Device or Code Repository Compromised by Attacker

Theo phân tích của đội ngũ bảo mật SlowMist, vật chủ cốt lõi của cuộc tấn công này được xác nhận là tiện ích mở rộng trình duyệt Trust Wallet phiên bản 2.68.0. Bằng cách so sánh với phiên bản đã sửa lỗi 2.69.0, các nhân viên bảo mật đã tìm thấy một đoạn mã độc hại được ngụy trang kỹ lưỡng trong phiên bản cũ. Như trong hình.

Đoạn mã cửa sau đã thêm PostHog để thu thập nhiều thông tin riêng tư khác nhau của người dùng ví (bao gồm cả cụm từ khôi phục) và gửi nó đến máy chủ của kẻ tấn công api.metrics-trustwallet [.] com.

Dựa trên những thay đổi về mã và hoạt động trên chuỗi, SlowMist đã cung cấp mốc thời gian ước tính của cuộc tấn công:

· Ngày 8/12: Kẻ tấn công bắt đầu các bước chuẩn bị liên quan;

· Ngày 22/12: Triển khai thành công phiên bản 2.68 với cửa sau đã được cài cắm;

· Ngày 25/12: Tận dụng kỳ nghỉ Giáng sinh, kẻ tấn công bắt đầu chuyển tiền dựa trên các cụm từ khôi phục đã đánh cắp, sau đó bị phơi bày.

Hơn nữa, phân tích của SlowMist cho rằng kẻ tấn công có vẻ rất am hiểu mã nguồn tiện ích mở rộng của Trust Wallet. Đáng chú ý là phiên bản đã vá hiện tại (2.69.0) đã cắt đứt việc chuyển tiền độc hại nhưng chưa loại bỏ thư viện PostHog JS.

Ngoài ra, Giám đốc An ninh Thông tin của SlowMist Technology, 23pds, đã đăng trên mạng xã hội rằng: "Theo phân tích của SlowMist, có lý do để tin rằng các thiết bị hoặc kho mã nguồn của nhà phát triển liên quan đến Trust Wallet có thể đã bị kẻ tấn công xâm nhập. Vui lòng ngắt kết nối mạng kịp thời để điều tra các thiết bị của nhân sự liên quan." Ông chỉ ra: "Người dùng bị ảnh hưởng bởi phiên bản Trust Wallet này trước tiên phải ngắt kết nối mạng, sau đó xuất cụm từ khôi phục để chuyển tài sản. Nếu không, tài sản sẽ bị đánh cắp khi ví được mở trực tuyến. Những người có bản sao lưu cụm từ khôi phục phải chuyển tài sản trước khi nâng cấp ví."

Plugin Security Incidents are Common

Đồng thời, ông chỉ ra rằng kẻ tấn công có vẻ rất am hiểu mã nguồn tiện ích mở rộng của Trust Wallet, cài cắm PostHog JS để thu thập nhiều thông tin ví khác nhau từ người dùng. Phiên bản Trust Wallet đã sửa lỗi hiện tại vẫn chưa loại bỏ PostHog JS.

Việc phiên bản chính thức của Trust Wallet biến thành Trojan này nhắc nhở thị trường về một số cuộc tấn công có rủi ro cao vào giao diện người dùng của hot wallet trong những năm gần đây. Từ phương thức tấn công đến nguyên nhân lỗ hổng, những trường hợp này cung cấp các điểm tham chiếu quan trọng để hiểu về sự cố này.

· When Official Channels Are No Longer Secure

Giống nhất với sự cố Trust Wallet này là các cuộc tấn công vào chuỗi cung ứng phần mềm và kênh phân phối. Trong những sự kiện như vậy, người dùng không chỉ không mắc sai lầm mà thậm chí còn là nạn nhân vì họ đã tải xuống "phần mềm chính hãng".

Sự cố nhiễm độc Ledger Connect Kit (tháng 12/2023): Kho mã nguồn giao diện người dùng của ví lạnh Ledger đã bị một hacker tấn công, kẻ đã giành được quyền thông qua lừa đảo và tải lên một gói cập nhật độc hại. Điều này đã làm ô nhiễm một số giao diện người dùng dApp hàng đầu, bao gồm SushiSwap, hiển thị các cửa sổ kết nối giả mạo. Sự kiện này được coi là một trường hợp điển hình của "tấn công chuỗi cung ứng", chứng minh rằng ngay cả các công ty có danh tiếng bảo mật xuất sắc, các kênh phân phối Web2 của họ (như NPM) vẫn là các điểm lỗi đơn lẻ có rủi ro cao.

Sự cố chiếm quyền điều khiển tiện ích Hola VPN và Mega (2018): Quay lại năm 2018, tài khoản nhà phát triển của tiện ích Chrome dịch vụ VPN phổ biến Hola đã bị xâm nhập. Hacker đã đẩy một "bản cập nhật chính thức" chứa mã độc được thiết kế đặc biệt để theo dõi và đánh cắp khóa cá nhân của người dùng MyEtherWallet.

· Code Vulnerability: Mnemonic Phrase Exposure Risk

Ngoài các cuộc tấn công chuỗi cung ứng, các lỗ hổng thực thi khi xử lý cụm từ khôi phục, private key và các dữ liệu nhạy cảm khác trong ví cũng có thể dẫn đến mất mát tài sản đáng kể.

Tranh cãi về việc thu thập dữ liệu nhật ký của Slope Wallet (tháng 8/2022): Hệ sinh thái Solana đã trải qua một sự kiện đánh cắp tiền quy mô lớn, và báo cáo điều tra sau sự cố đã nêu bật việc Slope Wallet gửi khóa cá nhân hoặc cụm từ khôi phục đến dịch vụ Sentry (dịch vụ Sentry được đề cập là dịch vụ Sentry do đội ngũ Slope triển khai riêng, không phải giao diện hoặc dịch vụ Sentry chính thức). Tuy nhiên, phân tích của một công ty bảo mật cũng cho biết rằng cuộc điều tra về ứng dụng Slope Wallet cho đến nay vẫn chưa thể chứng minh chắc chắn rằng nguyên nhân gốc rễ của sự kiện là do Slope Wallet. Cần phải thực hiện một lượng lớn công việc kỹ thuật và cần thêm bằng chứng để giải thích nguyên nhân cốt lõi của sự kiện này.

Lỗ hổng tạo khóa entropy thấp của Trust Wallet (được tiết lộ là CVE-2023-31290, các vụ khai thác có thể truy nguyên từ năm 2022/2023): Tiện ích mở rộng trình duyệt Trust Wallet được phát hiện có tính ngẫu nhiên không đủ: kẻ tấn công có thể xác định và suy ra hiệu quả các địa chỉ ví bị ảnh hưởng tiềm năng trong một phạm vi phiên bản cụ thể do khả năng liệt kê được đưa ra bởi hạt giống 32-bit, dẫn đến việc đánh cắp tiền.

· The Game of "The Good, the Bad, and the Ugly"

Trong hệ sinh thái ví tiện ích và tìm kiếm trình duyệt, từ lâu đã tồn tại một chuỗi sản xuất mũ xám bao gồm các plugin giả mạo, trang tải xuống giả mạo, cửa sổ bật lên cập nhật giả mạo, DM dịch vụ khách hàng giả mạo, v.v. Khi người dùng cài đặt từ các kênh không chính thức hoặc nhập cụm từ khôi phục/khóa cá nhân trên các trang web lừa đảo, tài sản của họ có thể bị rút sạch ngay lập tức. Khi các sự kiện leo thang đến mức có khả năng ảnh hưởng đến các phiên bản chính thức, phạm vi bảo mật của người dùng bị thu hẹp hơn nữa, thường dẫn đến sự gia tăng của các vụ lừa đảo thứ cấp.

Tại thời điểm viết bài, Trust Wallet đã thúc giục tất cả người dùng bị ảnh hưởng nhanh chóng hoàn tất cập nhật phiên bản. Tuy nhiên, với các hoạt động di chuyển tiền trên chuỗi bị đánh cắp đang diễn ra, rõ ràng là hậu quả của "vụ trộm Giáng sinh" này còn lâu mới kết thúc.

Cho dù đó là nhật ký văn bản thuần túy của Slope hay cửa sau độc hại của Trust Wallet, lịch sử đang lặp lại một cách đáng báo động. Điều này một lần nữa nhắc nhở mọi người dùng tiền điện tử không nên tin tưởng mù quáng vào bất kỳ điểm cuối phần mềm nào. Thường xuyên kiểm tra các ủy quyền, đa dạng hóa lưu trữ tài sản, cảnh giác với các bản cập nhật phiên bản đáng ngờ—có lẽ đây là hướng dẫn sinh tồn qua khu rừng tối tiền điện tử.

Original Article Link