Theo nhóm đằng sau nền tảng bảo mật blockchain Cyvers, hacker Ledger đã bòn rút ít nhất 484.000 USD từ nhiều ứng dụng Web3 vào ngày 14 tháng 12 bằng cách lừa người dùng thực hiện phê duyệt mã thông báo độc hại.

Theo tuyên bố công khai của nhiều bên liên quan, vụ hack xảy ra vào sáng ngày 14 tháng 12 . Kẻ tấn công đã sử dụng cách khai thác lừa đảo để xâm phạm máy tính của một cựu nhân viên Ledger , giành quyền truy cập vào tài khoản JavaScript (NPMJS) trình quản lý gói nút của nhân viên.

Sau khi có được quyền truy cập, họ đã tải một bản cập nhật độc hại lên kho lưu trữ GitHub của Ledger Connect. Ledger Connect là gói được sử dụng phổ biến cho các ứng dụng Web3.

Một số ứng dụng Web3 đã nâng cấp lên phiên bản mới khiến ứng dụng của chúng phát tán mã độc tới trình duyệt của người dùng. Các ứng dụng Web3 Zapper, SushiSwap, Phantom, Balancer và Revoke.cash đã bị nhiễm mã.

Kết quả là kẻ tấn công đã có thể bòn rút ít nhất 484.000 USD từ người dùng các ứng dụng này. Các ứng dụng khác cũng có thể bị ảnh hưởng vàcác chuyên gia đã cảnh báo rằng lỗ hổng này có thể ảnh hưởng đến toàn bộ hệ sinh thái Máy ảo Ethereum (EVM).

Làm sao nó có thể xảy ra được

Nói chuyện với Cointelegraph, Giám đốc điều hành Cyvers Deddy Lavid, giám đốc công nghệ Meir Dolev và nhà phân tích blockchain Hakal Unal đã làm sáng tỏ thêm về cách cuộc tấn công có thể xảy ra.

Theo họ, kẻ tấn công có thể đã sử dụng mã độc để hiển thị dữ liệu giao dịch khó hiểu trong ví của người dùng, khiến người dùng phê duyệt các giao dịch mà họ không có ý định thực hiện.

Dolev cho biết, khi các nhà phát triển tạo ứng dụng Web3, họ sử dụng “bộ công cụ kết nối” mã nguồn mở để cho phép ứng dụng của họ kết nối với ví của người dùng. Các bộ công cụ này là những đoạn mã có sẵn có thể được cài đặt trong nhiều ứng dụng, cho phép chúng xử lý quá trình kết nối mà không cần tốn thời gian viết mã. Bộ công cụ kết nối của Ledger là một trong những tùy chọn có sẵn để xử lý tác vụ này.

Khi nhà phát triển viết ứng dụng lần đầu tiên, họ thường cài đặt bộ kết nối thông qua trình quản lý gói nút. Sau khi tạo bản dựng và tải nó lên trang web của họ, ứng dụng của họ sẽ chứa bộ kết nối như một phần mã của nó, sau đó sẽ được tải xuống trình duyệt của người dùng bất cứ khi nào người dùng truy cập trang web.

Theo nhóm Cyvers, mã độc được chèn vào Ledger Connect Kit có thể cho phép kẻ tấn công thay đổi các giao dịch được đẩy tới ví của người dùng. Ví dụ: là một phần của quá trình sử dụng ứng dụng, người dùng thường cần đưa ra phê duyệt đối với các hợp đồng mã thông báo, cho phép ứng dụng chi tiêu mã thông báo từ ví của người dùng.

Mã độc có thể đã khiến ví của người dùng hiển thị yêu cầu xác nhận phê duyệt mã thông báo nhưng địa chỉ của kẻ tấn công được liệt kê thay vì địa chỉ của ứng dụng. Hoặc, nó có thể khiến xác nhận ví xuất hiện bao gồm mã khó hiểu, khiến người dùng nhầm lẫn nhấn “xác nhận” mà không hiểu họ đang đồng ý điều gì.

Một ví dụ về phê duyệt mã thông báo Web3. Nguồn: MetaMask

Dữ liệu chuỗi khối cho thấy các nạn nhân của cuộc tấn công đã phê duyệt mã thông báo rất lớn cho hợp đồng độc hại. Ví dụ: kẻ tấn công đã rút hơn 10.000 USD từ địa chỉ Ethereum 0xAE49C1ad3cf1654C1B22a6Ee38dD5Bc4ae08fEF7 trong một giao dịch. Nhật ký của giao dịch này cho thấy người dùng đã chấp thuận một lượng rất lớn USD Coin ( USDC ) được chi tiêu bởi hợp đồng độc hại.

Phê duyệt mã thông báo bởi nạn nhân khai thác. Nguồn: Etherscan

Nhóm Cyvers cho biết, việc phê duyệt này có thể do người dùng thực hiện do nhầm lẫn do mã độc. Họ cảnh báo rằng việc tránh kiểu tấn công này là vô cùng khó khăn vì không phải lúc nào ví cũng cung cấp cho người dùng thông tin rõ ràng về những gì họ đồng ý. Một phương pháp bảo mật có thể hữu ích là đánh giá cẩn thận từng thông báo xác nhận giao dịch bật lên trong khi sử dụng ứng dụng. Tuy nhiên, điều này có thể không giúp ích gì nếu giao dịch được hiển thị bằng mã khó đọc hoặc gây nhầm lẫn.

Liên quan: Giám đốc điều hành ConsenSys về bảo mật MetaMask Snaps: ‘Sự đồng ý là vua’

Cyvers tuyên bố rằng nền tảng của họ cho phép các doanh nghiệp kiểm tra địa chỉ hợp đồng và xác định xem những địa chỉ này có liên quan đến sự cố bảo mật hay không. Ví dụ: tài khoản tạo hợp đồng thông minh được sử dụng trong cuộc tấn công này đã bị Cyvers phát hiện có liên quan đến 180 sự cố bảo mật.

Nền tảng bảo mật của Cyvers. Nguồn: Cyvers

Nhóm nói với Cointelegraph rằng mặc dù các công cụ Web3 trong tương lai có thể cho phép phát hiện và ngăn chặn trước các cuộc tấn công như thế này, nhưng ngành công nghiệp vẫn còn “một chặng đường dài phía trước” để giải quyết vấn đề này.