Đêm Giáng sinh vừa qua đã trở thành một sự thảm họa tài chính khi hơn 7 triệu USD bất ngờ đã bốc hơi ra khỏi ví
Trust Wallet của hàng trăm người đăng ký sử dụng. Điều thật kinh khủng nhất của vụ này không nằm ở các trang web lừa đảo thông thường, mà ở chỗ mã độc được nhúng trực tiếp vào bản cập nhật chính thức trên trình duyệt
Chrome. Đây là một cuộc tấn công xâm nhập mạng tàn khốc, biến chính ứng dụng bảo mật mà người ta thấy tin tưởng nhất trở thành vũ khí để cho bọn tin tặc rút sạch tài sản trong ví tiền điện tử chỉ trong vài phút ngắn ngủi.
(Minh họa)
Sự nguy hiểm nằm ở cơ chế cho cập nhật tự động của các tiện ích trên máy tính. Khi phiên bản dính lỗi 2.68.0 được chó phát hành ra, mã độc đã âm thầm được kích hoạt và theo dõi mọi thao tác nhạy cảm. Chỉ cần đăng ký mở ví hoặc nhập
cụm chữ khôi phục (seed phrase), thông tin này ngay lập tức sẽ được gửi về máy chủ của bọn tin tặc mà không để lại bất cứ dấu vết hay báo động nào. Những khoản thiệt hại cá nhân lên đến 300,000 USD đã cho thấy sức tàn phá khủng khiếp của cuộc tấn công này khi các đồng tiền lớn như Bitcoin, Ethereum hay Solana đã bị bọn xấu quét sạch chỉ trong tích tắc.
Trong lúc thiên hạ còn hoang mang tìm cách để khắc phục, các đối tượng tấn công còn cho triển khai thêm chiến dịch lừa đảo. Nhiều trang website giả mạo
Trust Wallet đã thấy xuất hiện, quảng cáo các bản cho
"vá lỗi khẩn cấp" nhưng thực chất là nhằm dụ dổ người dùng nhập
seed phrase, từ đó ra tay chiếm toàn quyền kiểm soát ví.
Ngày 25/12,
Trust Wallet chính thức thừa nhận vụ hack này và cho biết chỉ có phiên bản tiện ích trên trình duyệt Chrome 2.68.0 là bị ảnh hưởng. Công ty đã nhanh chóng cho phát hành ra phiên bản 2.69 để khắc phục lỗ hổng, đồng thời khuyến cáo người sử dụng desktop tạm thời cho xóa ngay tiện ích cũ, cập nhật ngay lên phiên bản mới và không tương tác với các kết nối hỗ trợ
"không chính thức".
Trust Wallet cam kết sẽ hoàn tiền lại cho các nạn nhân bị ảnh hưởng và khẳng định ứng dụng di động không nằm trong phạm vi vụ hack nói trên. Người sáng lập Binance Changpeng Zhao, kẻ mới được TT Trump ký lệnh ân xá, cũng lên tiếng trấn an rằng những ai bị thiệt hại sẽ được bồi hoàn tiền lại đầy đủ.
Sự việc lần này tiếp tục gióng lên hồi chuông cảnh cáo về rủi ro an ninh đối với các ví tiền điện tử trên trình duyệt, đặc biệt trong bối cảnh các cuộc tấn công chuỗi cung ứng ngày càng gia tăng và gây ra thiệt hại lớn cho người tiêu dùng trên toàn cầu.