Tóm tắt

• Hầu hết người dùng tiền điện tử không bị hack thông qua các khai thác phức tạp, mà họ bị hack bằng cách nhấp chuột, ký vào, hoặc tin tưởng vào những thứ sai lầm. Báo cáo này phân tích cách mà những thất bại hàng ngày đó xảy ra.
• Từ bộ công cụ lừa đảo và các ứng dụng rút tiền từ ví đến phần mềm độc hại và các trò lừa đảo hỗ trợ giả, phần lớn các cuộc tấn công nhắm trực tiếp vào người dùng, không phải các giao thức, tạo ra sợi chỉ chung là bối cảnh con người, không phải mã.
• Báo cáo này phác thảo 101 về các lỗ hổng tiền điện tử liên quan đến người dùng cá nhân, bao gồm danh sách các lỗ hổng phổ biến, cũng như các ví dụ thực tế và những điều cần chú ý.

1. Cần biết: Bạn là bề mặt tấn công

Tiền điện tử được thiết kế tự quản lý. Đó là tính năng. Nhưng thuộc tính nền tảng này, vốn là cốt lõi của các giá trị trong ngành, thường có thể khiến bạn, người dùng, trở thành điểm thất bại duy nhất. Trong nhiều trường hợp cá nhân mất tiền của họ trong tiền điện tử, không phải là một lỗi trong giao thức: đó là một cú nhấp chuột. Một tin nhắn trực tiếp. Một sự chấp thuận. Một khoảnh khắc tin tưởng hoặc bất cẩn khi thực hiện một nhiệm vụ hàng ngày có vẻ không quan trọng nhưng có thể thay đổi hướng đi của những trải nghiệm tiền điện tử của một người.

Báo cáo này không phải là một tài liệu kỹ thuật hay một đánh giá về logic hợp đồng thông minh mà là một mô hình mối đe dọa cho các cá nhân. Một phân tích cách mà người dùng bị khai thác trong thực tế, và những gì cần làm về điều đó. Báo cáo sẽ tập trung vào các lỗ hổng cấp cá nhân: lừa đảo, phê duyệt ví, kỹ thuật xã hội, phần mềm độc hại. Nó cũng sẽ đề cập ngắn gọn đến các rủi ro cấp giao thức ở cuối để cung cấp một cái nhìn tổng quan về phổ lỗ hổng xảy ra trong tiền điện tử.

2. Sổ tay khai thác hoàn chỉnh (Đại loại)

Tính vĩnh viễn và không thể đảo ngược của các giao dịch diễn ra trong các thiết lập không cần sự cho phép, thường là không có sự can thiệp của các trung gian, kết hợp với thực tế rằng người dùng cá nhân chịu trách nhiệm tương tác với các đối tác ẩn danh trên cùng các thiết bị và trình duyệt chứa tài sản tài chính, khiến tiền điện tử trở thành một mảnh đất săn lùng độc đáo cho các hacker và tội phạm khác. Dưới đây là một danh sách rộng rãi về các loại khai thác mà cá nhân có thể gặp phải, nhưng người đọc nên biết rằng mặc dù danh sách này bao gồm phần lớn các hình thức khai thác, nhưng nó không đầy đủ. Danh sách này có thể gây choáng ngợp cho những người không quen thuộc với tiền điện tử, nhưng một phần lớn trong số này là các hình thức khai thác "thông thường" đã xảy ra trong một thời gian dài trong kỷ nguyên internet và không phải là độc quyền của ngành này. §3 sẽ đề cập đến một vài phương pháp khai thác chính một cách chi tiết.

2.1 Các cuộc tấn công kỹ thuật xã hội

Các cuộc tấn công dựa vào sự thao túng tâm lý để lừa dối cá nhân làm lộ ra sự an toàn của họ.

• Lừa đảo: Email, tin nhắn hoặc trang web giả mạo các nền tảng thực để đánh cắp thông tin đăng nhập hoặc cụm từ hạt giống (thêm thông tin trong §3).
• Lừa đảo mạo danh: Kẻ tấn công giả mạo là những người có ảnh hưởng, lãnh đạo dự án hoặc hỗ trợ khách hàng để giành được sự tin tưởng và trục lợi tiền hoặc thông tin nhạy cảm.
• Lừa đảo cụm từ khôi phục: Người dùng bị lừa để tiết lộ cụm từ khôi phục thông qua các công cụ khôi phục giả mạo hoặc quà tặng.
• Airdrop giả: Kích thích người dùng bằng các token miễn phí để thúc đẩy các tương tác ví không an toàn hoặc chia sẻ khóa riêng.
• Công việc giả mạo: Ngụy trang dưới hình thức cơ hội việc làm nhưng nhằm cài đặt phần mềm độc hại hoặc thu thập dữ liệu nhạy cảm.
• Các kế hoạch bơm và xả: Nỗ lực phối hợp xã hội để thổi phồng và xả token lên những người tham gia bán lẻ không nghi ngờ.

Hình 1: Hậu quả của kỹ thuật xã hội có thể rất nghiêm trọng
Nguồn: Cointelegraph

2.2 Viễn thông & Chiếm đoạt tài khoản

Khai thác cơ sở hạ tầng viễn thông hoặc điểm yếu cấp tài khoản để vượt qua xác thực.

• Đổi SIM: Kẻ tấn công chiếm đoạt số điện thoại di động của nạn nhân để chặn mã 2FA và đặt lại thông tin tài khoản (thêm thông tin trong §3).
• Credential Stuffing: Sử dụng lại thông tin đăng nhập bị rò rỉ từ các vụ vi phạm để truy cập vào ví hoặc tài khoản sàn giao dịch.
• Bỏ qua 2FA: Lợi dụng xác thực yếu hoặc dựa trên SMS để có được quyền truy cập trái phép.
• Chiếm đoạt phiên: Đánh cắp phiên trình duyệt thông qua phần mềm độc hại hoặc mạng không an toàn để chiếm quyền tài khoản đã đăng nhập.

Hình 2: Một tweet giả từ SEC qua một cuộc đổi SIM
Nguồn: Twitter

2.3 Phần mềm độc hại & Lỗ hổng thiết bị

Làm lộ thiết bị của người dùng để lấy quyền truy cập ví hoặc can thiệp vào các giao dịch (thêm thông tin trong §3).

• Keyloggers: Ghi lại các phím bấm để đánh cắp mật khẩu, mã PIN và cụm từ hạt giống.
• Các phần mềm đánh cắp clipboard: Thay thế địa chỉ ví đã dán bằng các địa chỉ do kẻ tấn công kiểm soát.
• Trojan truy cập từ xa (RATs): Cho phép kẻ tấn công toàn quyền kiểm soát máy của nạn nhân, bao gồm cả ví.
• Tiện ích mở rộng trình duyệt độc hại: Các tiện ích mở rộng bị xâm phạm hoặc giả mạo đánh cắp dữ liệu hoặc thao túng giao dịch.
• Ví hoặc ứng dụng giả: Ứng dụng giả mạo (di động hoặc trình duyệt) làm cạn kiệt quỹ khi sử dụng.
• Tấn công Man-in-the-Middle (MITM): Chặn và sửa đổi thông tin liên lạc giữa người dùng và dịch vụ, đặc biệt trên các mạng không an toàn.
• Các cuộc tấn công Wi-Fi không bảo mật: Wi-Fi công cộng hoặc bị xâm phạm cho phép chặn dữ liệu nhạy cảm trong quá trình đăng nhập hoặc chuyển giao.

Hình 3: Ví giả là một trò lừa đảo phổ biến nhắm vào người dùng tiền điện tử mới bắt đầu
Nguồn: cryptorank

2.4 Lợi dụng cấp ví

Các cuộc tấn công nhắm vào cách người dùng quản lý hoặc tương tác với ví và giao diện ký.

• Phê duyệt Rút tiền: Hợp đồng thông minh độc hại lợi dụng các phê duyệt token trước đó để rút token.
• Tấn công ký mù: Người dùng ký các tải trọng mờ ám dẫn đến mất quỹ (ví dụ từ ví phần cứng).
• Trộm cụm từ khôi phục: Lấy cắp cụm từ khôi phục thông qua phần mềm độc hại, lừa đảo hoặc thói quen lưu trữ kém.
• Khóa riêng bị xâm phạm: Lưu trữ không an toàn (ví dụ: trên ổ đĩa đám mây hoặc ghi chú văn bản thuần túy) dẫn đến rò rỉ khóa.
• Ví cứng bị xâm phạm: Các thiết bị bị giả mạo hoặc bị sửa đổi rò rỉ khóa riêng cho kẻ tấn công.

2.5 Rủi ro hợp đồng thông minh và cấp độ giao thức

Rủi ro phát sinh từ việc tương tác với mã on-chain độc hại hoặc dễ bị tổn thương.

• Hợp đồng thông minh gian lận: Logic độc hại ẩn giấu khiến tiền bị rút khi tương tác.
• Tấn công Flash Loan: Các lỗ hổng sử dụng khoản vay không có tài sản đảm bảo để thao túng giá hoặc logic của giao thức.
• Lợi dụng Oracle: Kẻ tấn công làm sai lệch dữ liệu giá để khai thác các giao thức phụ thuộc vào dữ liệu sai.
• Lừa đảo thanh khoản thoát: Các nhà sáng tạo thiết kế các token/pool mà chỉ họ mới có thể rút giá trị, để người dùng bị mắc kẹt.
• Tấn công Sybil: Danh tính giả làm sai lệch các hệ thống phi tập trung, đặc biệt là quản trị hoặc đủ điều kiện airdrop.

Hình 4: Một khoản vay chớp nhoáng đã gây ra một trong những cuộc khai thác lớn nhất của DeFi
Nguồn: Elliptic

2.6. Lừa đảo thao túng Dự án & Thị trường

Các trò lừa đảo liên quan đến cấu trúc của token, các dự án DeFi, hoặc bộ sưu tập NFT.

• Rug Pulls: Các nhà sáng lập dự án biến mất sau khi huy động vốn, để lại các token vô giá trị.
• Dự án giả: Các bộ sưu tập giả mạo dụ dỗ người dùng tham gia vào các trò lừa đảo minting hoặc ký các giao dịch có hại.
  Các cuộc tấn công Dust: Các chuyển khoản token nhỏ bé được sử dụng để làm lộ danh tính ví và xác định mục tiêu cho các cuộc lừa đảo hoặc lừa đảo.

2.7. Các cuộc tấn công vào Web & Hạ tầng

Khai thác hạ tầng phía trước hoặc cấp độ DNS mà người dùng phụ thuộc vào.

• Lừa đảo Giao diện Người Dùng / Giả mạo DNS: Kẻ tấn công chuyển hướng người dùng đến các giao diện độc hại để đánh cắp thông tin xác thực hoặc yêu cầu các giao dịch không an toàn.
• Lỗ hổng cầu nối: Các vụ tấn công vào cầu nối chuỗi chéo gây thiệt hại cho quỹ của người dùng trong quá trình chuyển giao.

2.8. Các mối đe dọa vật lý

Rủi ro trong thế giới thực liên quan đến ép buộc, trộm cắp hoặc giám sát.

• $5 Wrench Attack: Nạn nhân bị ép buộc về mặt thể chất để chuyển tiền hoặc tiết lộ cụm từ hạt giống.
• Trộm cắp vật lý: Thiết bị hoặc bản sao (ví dụ: ví phần cứng, sổ tay) bị đánh cắp để truy cập.
• Lén nhìn: Quan sát hoặc quay phim người dùng nhập dữ liệu nhạy cảm trong các không gian công cộng hoặc riêng tư.

Hình 5: Thật không may, các mối đe dọa vật lý đã trở nên phổ biến.
Nguồn: The New York Times

3. Những lỗ hổng chính cần chú ý

Một số lỗ hổng xảy ra nhiều hơn những lỗ hổng khác. Dưới đây là ba lỗ hổng mà những người nắm giữ hoặc tương tác với tiền điện tử nên biết, bao gồm cả cách ngăn chặn chúng. Một tập hợp các kỹ thuật phòng ngừa và các đặc điểm chính cần chú ý sẽ được liệt kê ở cuối phần này vì có sự chồng chéo giữa các phương pháp khai thác khác nhau.

3.1 Lừa đảo (Bao gồm Ví giả & Airdrop)

Lừa đảo qua mạng đã tồn tại trước tiền điện tử hàng thập kỷ và thuật ngữ này xuất hiện vào những năm 1990 để mô tả những kẻ tấn công "câu" thông tin nhạy cảm, thường là thông tin đăng nhập, thông qua các email và trang web giả. Khi tiền điện tử xuất hiện như một hệ thống tài chính song song, lừa đảo qua mạng tự nhiên đã phát triển để nhắm vào các cụm từ hạt giống, khóa riêng và quyền hạn ví, tức là, các tương đương trong tiền điện tử của "quyền kiểm soát đầy đủ."

Lừa đảo tiền điện tử đặc biệt nguy hiểm vì không có biện pháp khắc phục: không có hoàn trả, không có bảo vệ chống gian lận, và không có dịch vụ khách hàng nào có thể đảo ngược giao dịch. Khi khóa của bạn bị đánh cắp, tiền của bạn coi như đã mất. Cũng cần nhớ rằng lừa đảo đôi khi chỉ là bước đầu tiên trong một cuộc tấn công rộng hơn, làm cho rủi ro thực sự không phải là tổn thất ban đầu, mà là những hậu quả kéo dài theo sau, chẳng hạn như thông tin xác thực bị xâm phạm có thể cho phép kẻ tấn công mạo danh nạn nhân và lừa đảo người khác.

Phishing hoạt động như thế nào?

Về bản chất, phishing khai thác lòng tin của con người bằng cách trình bày một phiên bản giả mạo của giao diện đáng tin cậy, hoặc bằng cách giả mạo một người có thẩm quyền, để đánh lừa người dùng tự nguyện cung cấp thông tin nhạy cảm hoặc chấp thuận các hành động độc hại. Có vài phương thức truyền tải chính:

• Các trang web lừa đảo
  • Phiên bản giả của ví (ví dụ: MetaMask, Phantom), sàn giao dịch (ví dụ: Binance), hoặc dApps.
  • Thường được quảng bá thông qua quảng cáo Google hoặc chia sẻ qua các nhóm Discord/Twitter, được thiết kế để trông giống hệt như trang web thật.
  • Người dùng có thể được nhắc “nhập ví” hoặc “khôi phục tài sản”, thu thập cụm từ hạt giống hoặc khóa riêng của họ.
• Email và Tin nhắn Lừa đảo
  • Trông giống như thông báo chính thức (ví dụ: "cập nhật bảo mật khẩn cấp" hoặc "tài khoản bị xâm phạm").
  • Bao gồm liên kết đến các cổng đăng nhập giả hoặc hướng dẫn bạn tương tác với các token hoặc hợp đồng thông minh độc hại.
  • Thường thấy trên Telegram, Discord, Twitter DMs, và cả SMS.
• Ví giả hoặc Tiện ích mở rộng trình duyệt
  • Có sẵn trên các cửa hàng ứng dụng hoặc dưới dạng tiện ích mở rộng Chrome.
  • Mô phỏng chức năng của ví thật, nhưng chuyển tiếp khóa riêng của bạn hoặc dữ liệu giao dịch cho kẻ tấn công.
  • Một số thậm chí cho phép bạn chuyển tiền vào chỉ để bị rút cạn vài phút sau.
• Lừa đảo Airdrop
  • Các đợt phát token giả được gửi đến ví (đặc biệt là trên các chuỗi EVM).
  • Nhấp vào token hoặc cố gắng giao dịch nó sẽ kích hoạt một tương tác hợp đồng độc hại.
  • Có thể âm thầm yêu cầu phê duyệt token không giới hạn hoặc đánh cắp token gốc của bạn thông qua một payload đã ký.

Hình 6: Luôn cẩn thận khi bạn thấy "miễn phí" trong tiền điện tử
Nguồn: Presto Research

Ví dụ về lừa đảo qua mạng
Cuộc tấn công vào Atomic Wallet vào tháng 6 năm 2023, được cho là do Nhóm Lazarus của Triều Tiên thực hiện, được coi là một trong những cuộc tấn công lừa đảo thuần túy tàn khốc nhất trong lịch sử tiền điện tử. Nó đã dẫn đến việc đánh cắp hơn 100 triệu đô la tiền điện tử bằng cách xâm phạm hơn 5.500 ví không lưu ký mà không yêu cầu người dùng ký bất kỳ giao dịch độc hại nào hoặc tương tác với hợp đồng thông minh. Cuộc tấn công này chỉ tập trung vào việc trích xuất cụm từ hạt giống và khóa riêng thông qua các giao diện lừa đảo và phần mềm độc hại - một ví dụ điển hình về việc đánh cắp thông tin xác thực dựa trên lừa đảo.
Atomic Wallet là một ví không lưu giữ, đa chuỗi hỗ trợ hơn 500 loại tiền điện tử. Trong sự cố này, những kẻ tấn công đã phát động một chiến dịch lừa đảo có phối hợp, khai thác lòng tin mà người dùng đặt vào hạ tầng hỗ trợ của ví, quy trình cập nhật và danh tính thương hiệu. Các nạn nhân đã bị lừa qua email, các trang web giả mạo và các bản cập nhật phần mềm bị trojan hóa, tất cả đều được thiết kế để bắt chước các thông tin liên lạc hợp pháp từ Atomic Wallet.

Các vector lừa đảo bao gồm:

• Email giả mạo mạo danh hỗ trợ hoặc cảnh báo bảo mật của Atomic Wallet, thúc giục hành động khẩn cấp.
• Các trang web giả mạo (ví dụ như atomic-wallet[.]co) mà mô phỏng giao diện phục hồi ví hoặc yêu cầu thưởng.
• Các bản cập nhật độc hại được phân phối qua Discord, email và các diễn đàn bị xâm phạm, dẫn dắt người dùng đến các trang lừa đảo hoặc trích xuất thông tin đăng nhập thông qua phần mềm độc hại cục bộ.

Khi người dùng nhập cụm từ hạt giống 12 hoặc 24 từ hoặc khóa riêng vào các giao diện giả mạo này, các kẻ tấn công đã có quyền truy cập hoàn toàn vào ví của họ. Lỗ hổng này không liên quan đến bất kỳ tương tác nào trên chuỗi từ nạn nhân: không có kết nối ví, không có yêu cầu chữ ký và không có sự tham gia của hợp đồng thông minh. Thay vào đó, nó hoàn toàn dựa vào kỹ thuật xã hội và sự sẵn lòng của người dùng trong việc khôi phục hoặc xác minh ví của họ trên một nền tảng có vẻ đáng tin cậy.

3.2 Máy rút ví & Phê duyệt độc hại

Một trình rút ví là một loại hợp đồng thông minh hoặc dApp độc hại được thiết kế để trích xuất tài sản từ ví của bạn, không phải bằng cách đánh cắp khóa riêng của bạn, mà bằng cách lừa bạn cho phép truy cập token hoặc ký các giao dịch nguy hiểm. Khác với lừa đảo qua mạng, tìm kiếm thông tin xác thực của bạn, các trình rút lợi dụng quyền hạn - cơ chế tin cậy cơ bản điều khiển Web3.

Khi các ứng dụng DeFi và Web3 trở nên phổ biến, các ví như MetaMask và Phantom đã làm nổi bật ý tưởng "kết nối" với dApps. Điều này mang lại sự tiện lợi nhưng cũng tạo ra một bề mặt tấn công lớn. Trong giai đoạn 2021–2023, các công cụ rút quyền phê duyệt đã bùng nổ về độ phổ biến thông qua việc phát hành NFT, airdrop giả mạo, và các dApps bị rug-pull bắt đầu nhúng các hợp đồng độc hại vào các giao diện mà người dùng đã quen thuộc. Người dùng, thường thì phấn khích hoặc phân tâm, sẽ kết nối ví của họ và nhấp vào "Phê duyệt" mà không nhận ra họ đang cấp quyền gì.

Điều này khác gì so với lừa đảo qua mạng?
Lừa đảo trực tuyến liên quan đến việc lừa ai đó tự nguyện tiết lộ thông tin nhạy cảm, chẳng hạn như cụm từ hạt giống, mật khẩu hoặc khóa riêng. Kết nối ví của bạn không tiết lộ các khóa hoặc cụm từ của bạn vì bạn không giao nộp bí mật, bạn đang ký kết các giao dịch hoặc cấp quyền. Những lỗ hổng này xảy ra thông qua logic hợp đồng thông minh, không phải là việc đánh cắp thông tin đăng nhập của bạn, làm cho chúng khác biệt về mặt cơ học so với lừa đảo trực tuyến. Bạn đang ủy quyền cho việc rút tiền, thường mà không nhận ra, điều này giống như một "bẫy đồng ý" hơn là đánh cắp thông tin đăng nhập.
Bạn có thể coi lừa đảo như là dựa trên THÔNG TIN ĐĂNG NHẬP và các công cụ rút tiền / phê duyệt độc hại là dựa trên QUYỀN TRUY CẬP.

Cơ chế của cuộc tấn công
Các phê duyệt độc hại khai thác hệ thống quyền hạn trong các tiêu chuẩn blockchain như ERC-20 (token) và ERC-721/ERC-1155 (NFT). Chúng đánh lừa người dùng cấp quyền truy cập liên tục cho kẻ tấn công vào tài sản của họ.

• Cơ bản về phê duyệt Token:
  • ERC-20 Tokens: Hàm approve(address spender, uint256 amount) cho phép một "spender" (ví dụ: một DApp hoặc kẻ tấn công) chuyển một số lượng token nhất định từ ví của người dùng.
  • NFTs: Hàm setApprovalForAll(address operator, bool approved) cấp quyền cho một "operator" để chuyển tất cả NFTs trong một bộ sưu tập.
  • Những phê duyệt này là tiêu chuẩn cho DApps (ví dụ, Uniswap cần phê duyệt để hoán đổi token), nhưng các kẻ tấn công đã khai thác chúng một cách độc hại.
• Cách kẻ tấn công có được sự chấp thuận:
  • Các yêu cầu lừa đảo: Một trang web lừa đảo hoặc DApp bị xâm phạm yêu cầu người dùng ký một giao dịch được gán nhãn là “kết nối ví”, “hoán đổi token” hoặc “yêu cầu NFT.” Giao dịch thực sự gọi approve hoặc setApprovalForAll cho địa chỉ của kẻ tấn công.
  • Phê duyệt không giới hạn: Các kẻ tấn công thường yêu cầu giới hạn token không giới hạn (ví dụ: uint256.max) hoặc setApprovalForAll(true), cho phép họ kiểm soát hoàn toàn token hoặc NFT của người dùng.
  • Ký mù: Một số DApps yêu cầu ký dữ liệu không minh bạch, khiến việc phát hiện các khoản phê duyệt độc hại trở nên khó khăn. Ngay cả với các ví phần cứng như Ledger, các chi tiết hiển thị có thể có vẻ vô hại (ví dụ: "Phê duyệt Token") nhưng ẩn chứa ý định của kẻ tấn công.
• Khai thác:
  • Cướp ngay lập tức: Kẻ tấn công sử dụng sự chấp thuận để chuyển token/NFT vào ví của họ ngay sau giao dịch.
  • Trộm cắp chậm: Kẻ tấn công chờ đợi (đôi khi là vài tuần hoặc vài tháng) để rút hết tài sản, giảm nghi ngờ. Ví dụ, một kẻ tấn công với setApprovalForAll có thể chuyển nhượng NFT bất cứ lúc nào họ muốn.
  • Cuộc tấn công quét: Những kẻ tiêu tốn như Angel Drainer quét tìm sự chấp thuận từ nhiều ví và rút tiền hàng loạt trong các đợt bơm thị trường hoặc khi phát hành NFT có giá trị cao.

Ví dụ về các công cụ rút ví / phê duyệt độc hại
Lừa đảo Monkey Drainer, hoạt động chủ yếu vào năm 2022 và đầu năm 2023, là một bộ công cụ lừa đảo “drainer-as-a-service” nổi tiếng, có trách nhiệm đánh cắp hàng triệu USD tiền điện tử (bao gồm cả NFTs) thông qua các trang web lừa đảo và hợp đồng thông minh độc hại. Khác với lừa đảo truyền thống, phụ thuộc vào việc thu thập cụm từ hạt giống của người dùng hoặc mật khẩu, Monkey Drainer hoạt động thông qua các chữ ký giao dịch độc hại và lạm dụng hợp đồng thông minh, cho phép kẻ tấn công trích xuất token và NFTs mà không cần xâm phạm trực tiếp vào thông tin đăng nhập. Bằng cách lừa người dùng ký các phê duyệt trên chuỗi nguy hiểm, Monkey Drainer đã cho phép đánh cắp hơn 4.3 triệu USD qua hàng trăm ví trước khi bị đóng cửa vào đầu năm 2023.

Hình 7: Nhà điều tra on-chain nổi tiếng ZachXBT phát hiện các vụ lừa đảo Monkey Drainer
Nguồn: Twitter (@zachxbt)

Bộ công cụ này rất phổ biến trong số những kẻ tấn công có kỹ năng thấp và được tiếp thị mạnh mẽ trong các cộng đồng Telegram ngầm và dark web. Nó cho phép các chi nhánh sao chép các trang mint giả, mạo danh các dự án thật và cấu hình backend để chuyển tiếp các giao dịch đã ký đến một hợp đồng rút tiền tập trung. Những hợp đồng này được thiết kế để khai thác quyền truy cập token, dựa vào việc người dùng không nhận thức được việc ký các tin nhắn mà cấp quyền truy cập tài sản cho địa chỉ của kẻ tấn công thông qua các chức năng như setApprovalForAll() (NFTs) hoặc permit() (token ERC-20).

Đáng chú ý, quy trình tương tác đã tránh việc lừa đảo trực tiếp: nạn nhân không được yêu cầu cung cấp khóa riêng hoặc cụm từ hạt giống của họ. Thay vào đó, họ tương tác với các dApp có vẻ hợp pháp, thường là trên các trang minting với đồng hồ đếm ngược hoặc thương hiệu được quảng bá. Khi đã kết nối, người dùng sẽ được yêu cầu ký một giao dịch mà họ không hoàn toàn hiểu, thường được che giấu bởi ngôn ngữ chấp thuận chung hoặc sự mờ ám của giao diện ví. Những chữ ký này không chuyển tiền trực tiếp, nhưng cho phép kẻ tấn công thực hiện điều đó bất cứ lúc nào. Với quyền hạn đã được cấp, hợp đồng rút tiền có thể thực hiện các giao dịch rút tiền hàng loạt trong một khối duy nhất.

Một đặc điểm nổi bật của phương pháp Monkey Drainer là việc thực hiện chậm: các tài sản bị đánh cắp thường bị rút ra sau vài giờ hoặc vài ngày, để tránh nghi ngờ và tối đa hóa lợi nhuận. Điều này làm cho nó trở nên đặc biệt hiệu quả đối với những người dùng có ví lớn hoặc hoạt động giao dịch tích cực, những người có phê duyệt hòa vào các mẫu sử dụng bình thường. Các nạn nhân nổi bật bao gồm những người sưu tập NFT đã mất tài sản từ các dự án như CloneX, Bored Apes và Azuki.

Mặc dù Monkey Drainer đã ngừng hoạt động vào năm 2023, có lẽ để "ẩn mình", nhưng thời đại của những kẻ lấy cắp ví vẫn tiếp tục phát triển, tạo ra một mối đe dọa thường trực đối với người dùng không hiểu hoặc đánh giá thấp sức mạnh của một sự phê duyệt trên chuỗi.

3.3 Phần mềm độc hại & Khai thác thiết bị

Cuối cùng, ‘phần mềm độc hại và khai thác thiết bị’ đề cập đến một loạt các cuộc tấn công đa dạng, linh hoạt bao gồm nhiều phương thức tấn công khác nhau, tất cả đều nhằm làm tổn hại đến máy tính, điện thoại hoặc trình duyệt của người dùng, thường thông qua phần mềm độc hại được cài đặt thông qua sự lừa dối. Mục tiêu thường là để đánh cắp thông tin nhạy cảm (ví dụ: cụm từ hạt giống, khóa riêng), chặn các tương tác ví, hoặc cho phép kẻ tấn công điều khiển từ xa thiết bị của nạn nhân. Trong tiền điện tử, những cuộc tấn công này thường bắt đầu bằng kỹ thuật xã hội, chẳng hạn như một lời mời làm việc giả, một bản cập nhật ứng dụng giả mạo, hoặc một tệp được gửi qua Discord, nhưng nhanh chóng leo thang thành sự xâm phạm hệ thống toàn diện.

Malware đã tồn tại từ những ngày đầu của máy tính cá nhân. Trong các bối cảnh truyền thống, nó được sử dụng để đánh cắp thông tin thẻ tín dụng, thu thập thông tin đăng nhập, hoặc chiếm quyền hệ thống để gửi thư rác hoặc ransomware. Khi tiền điện tử ngày càng trở nên phổ biến, các kẻ tấn công đã chuyển hướng: thay vì nhắm vào thông tin đăng nhập cho ngân hàng trực tuyến (có thể bị đảo ngược), họ giờ đây nhắm đến việc đánh cắp tài sản tiền điện tử không thể đảo ngược.

Cách Những Cuộc Tấn Công Này Bắt Đầu… Góc Độ Kỹ Thuật Xã Hội

Hầu hết phần mềm độc hại không lây lan ngẫu nhiên: nó yêu cầu nạn nhân bị lừa thực thi nó. Đây là lúc kỹ thuật xã hội phát huy tác dụng.

Các phương thức giao hàng phổ biến:

• Công việc giả: Nạn nhân nộp đơn xin việc cho một công việc Web3 giả, nhận được "bài kiểm tra kỹ thuật" hoặc "liên kết phỏng vấn" chứa malware.
• Liên kết Discord hoặc Telegram: Gửi dưới dạng "công cụ giveaway", "ảnh chụp màn hình", hoặc tệp hỗ trợ giả.
• Tệp đính kèm email: Định dạng sơ yếu lý lịch, tài liệu trắng hoặc hóa đơn (PDF, .docx, .exe) chứa mã độc.
• Cập nhật giả: Các cửa sổ bật lên hoặc trang web giả mạo cung cấp "phiên bản MetaMask/Phantom mới nhất".
• Tải xuống ngầm: Chỉ cần truy cập một trang web có thể kích hoạt một tải trọng nền, đặc biệt là trên các trình duyệt lỗi thời.

Sợi chỉ chung: Kẻ tấn công tạo ra một bối cảnh đáng tin cậy khiến người dùng nhấp vào, tải xuống, hoặc mở một cái gì đó nguy hiểm.

Các loại phần mềm độc hại phổ biến trong các cuộc tấn công tiền điện tử

• Keyloggers: Ghi lại mọi phím được gõ, bao gồm cả cụm từ hạt giống, mật khẩu và mã PIN. Đặc biệt nguy hiểm nếu người dùng gõ cụm từ hạt giống vào trình soạn thảo văn bản, đăng nhập sàn giao dịch hoặc trường khôi phục ví.
• Kẻ đánh cắp clipboard: Giám sát các địa chỉ ví đã sao chép và thay thế chúng bằng địa chỉ của kẻ tấn công khi dán. Nạn nhân thường không nhận ra và họ gửi tiền, nghĩ rằng họ đã dán địa chỉ của chính mình, nhưng nó đã bị thay thế.
• Trojan truy cập từ xa (RATs): Cung cấp cho kẻ tấn công quyền kiểm soát hoàn toàn thiết bị của nạn nhân. Điều này bao gồm việc đọc các tệp, xem màn hình, ghi lại phiên duyệt web và thậm chí xuất khẩu các cụm từ hạt giống trực tiếp từ các ứng dụng ví như Exodus hoặc các ví dựa trên trình duyệt.
• Ví hoặc Ứng dụng Giả: Trông giống như ví hợp pháp nhưng đã được tải sẵn mã độc hại. Thường thấy trên các trang APK Android hoặc cửa hàng tiện ích Chrome. Một số có vẻ hoạt động bình thường cho đến khi bạn gửi tiền hoặc khôi phục hạt giống, lúc đó tiền sẽ bị đánh cắp.
• Tiện ích mở rộng trình duyệt độc hại: Thỏa hiệp hoặc mô phỏng các tiện ích mở rộng tiền điện tử thực để theo dõi hoạt động, chèn tải độc hại hoặc yêu cầu ký giả mạo. Chúng thường yêu cầu quyền truy cập rộng rãi dưới vỏ bọc của "tích hợp ví".
• Cơ sở hạ tầng Man-in-the-Middle (MITM): Phần mềm độc hại thiết lập một proxy hoặc đánh cắp DNS để chặn và thao tác lưu lượng giữa bạn và web, bao gồm việc hoán đổi địa chỉ hoặc định tuyến lại các giao dịch đã ký.

Ví dụ: Lừa đảo việc làm Axie Infinity 2022

Cuộc lừa đảo việc làm Axie Infinity năm 2022, dẫn đến vụ hack lớn của Ronin Bridge, là một ví dụ điển hình về phần mềm độc hại và khai thác thiết bị trong lĩnh vực tiền điện tử, được thúc đẩy bởi kỹ thuật xã hội tinh vi. Cuộc tấn công này, được cho là do nhóm Lazarus do nhà nước Triều Tiên tài trợ thực hiện, đã dẫn đến việc đánh cắp khoảng 620 triệu đô la Mỹ tiền điện tử, khiến nó trở thành một trong những vụ hack tài chính phi tập trung (DeFi) lớn nhất cho đến nay.

Hình 8: Cuộc khai thác Axie Infinity đã đến với truyền thông TradFi
Nguồn: Bloomberg TV

Cuộc tấn công là một hoạt động nhiều giai đoạn kết hợp giữa kỹ thuật xã hội, triển khai phần mềm độc hại và khai thác các lỗ hổng hạ tầng blockchain.

Các hacker, giả danh là các nhà tuyển dụng từ một công ty hư cấu, đã nhắm đến nhân viên của Sky Mavis thông qua LinkedIn: Sky Mavis là công ty đứng sau Ronin Network, một sidechain liên kết với Ethereum hỗ trợ Axie Infinity, một trò chơi blockchain phổ biến theo mô hình play-to-earn. Vào thời điểm đó, Ronin và Axie Infinity có vốn hóa thị trường lần lượt khoảng 300 triệu đô la và 4 tỷ đô la.

Nhiều nhân viên đã bị tiếp cận, nhưng một kỹ sư cấp cao trở thành mục tiêu chính mà kẻ tấn công đã thực hiện nhiều vòng phỏng vấn giả để xây dựng lòng tin, cung cấp một gói bồi thường cực kỳ hào phóng để l lure kỹ sư. Kẻ tấn công đã gửi một tài liệu PDF, ngụy trang dưới dạng một lời mời làm việc chính thức, đến kỹ sư. Kỹ sư, tin rằng đó là một phần của quy trình tuyển dụng, đã tải xuống và mở tệp trên máy tính của công ty. Tài liệu PDF chứa một RAT đã lây nhiễm vào hệ thống của kỹ sư ngay khi mở, cho phép hacker truy cập vào hệ thống nội bộ của Sky Mavis, có thể thông qua việc nâng cao quyền hạn hoặc di chuyển ngang trong mạng. Sự xâm phạm này đã cung cấp một vị trí để nhằm vào cơ sở hạ tầng của Ronin Network.

Cách thức của cuộc tấn công mà tiếp tục khai thác cầu Ronin và Axie DAO nằm ngoài phạm vi của bài nghiên cứu này, tuy nhiên, cuộc khai thác này đã dẫn đến một vụ trộm trị giá 620 triệu đô la (173.600 ETH và 25,5 triệu USDC) với chỉ 30 triệu đô la được khôi phục.

4. Cách Bảo Vệ Bản Thân

Các nỗ lực khai thác ngày càng tinh vi, nhưng vẫn dựa vào những dấu hiệu dễ nhận biết. Các dấu hiệu cảnh báo bao gồm:

• “Nhập ví của bạn để yêu cầu X”: Không có dịch vụ hợp pháp nào yêu cầu cụm từ gốc của bạn.
• Tin nhắn trực tiếp không mong muốn: Đặc biệt là những tin nhắn đề nghị hỗ trợ, tiền bạc, hoặc giúp đỡ về một vấn đề mà bạn không yêu cầu.
• Tên miền viết sai chính tả một chút: Ví dụ, metamask.io so với metarnask.io.
• Quảng cáo Google: Các liên kết lừa đảo thường xuất hiện trên liên kết thật trong kết quả tìm kiếm.
• Các ưu đãi quá tốt để trở thành sự thật: Như "nhận 5 ETH" hoặc các chương trình khuyến mãi "gấp đôi đồng của bạn".
• Cấp bách hoặc chiến thuật gây sợ hãi: "Tài khoản của bạn đã bị khóa", "Nhận ngay hoặc mất tiền".
• Phê duyệt Token Không Giới Hạn: Người dùng nên tự thiết lập số lượng token.
• Yêu cầu ký mù: Tải trọng Hex không có giải thích có thể đọc được.
• Hợp đồng không xác minh hoặc không rõ ràng: Nếu một token hoặc dApp mới, hãy kiểm tra những gì bạn đang phê duyệt.
• Thông báo UI khẩn cấp: Các chiến thuật gây áp lực cổ điển như "Bạn phải ký vào đây ngay bây giờ hoặc sẽ bỏ lỡ."
• Thông báo ký MetaMask: Đặc biệt với các tải trọng không rõ ràng, giao dịch không cần gas, hoặc sự kết hợp của các cuộc gọi hàm mà bạn không hiểu.

Các quy tắc OpSec (bảo mật hoạt động) bổ sung:

• Các Quy Tắc Vàng
  • Không bao giờ chia sẻ cụm từ gốc của bạn với bất kỳ ai, vì bất kỳ lý do gì.
  • Đánh dấu các trang chính thức: Luôn điều hướng trực tiếp. Không bao giờ sử dụng công cụ tìm kiếm cho ví hoặc sàn giao dịch.
  • Đừng nhấp vào các token airdrop ngẫu nhiên: Đặc biệt nếu bạn không đăng ký.
  • Tránh tin nhắn trực tiếp không mong muốn: Các dự án hợp pháp HIẾM KHI gửi tin nhắn trước... (Trừ khi họ làm vậy)
  • Sử dụng ví phần cứng: Chúng giảm thiểu rủi ro ký mù và ngăn chặn việc lộ khóa.
  • Bật công cụ bảo vệ chống lừa đảo: Sử dụng các tiện ích mở rộng như PhishFort, Revoke.cash và các trình chặn quảng cáo.
  • Sử dụng các trình khám phá chỉ đọc: Các công cụ như Etherscan Token Approvals hoặc Revoke.cash cho thấy ví của bạn có những quyền hạn gì.
  • Sử dụng ví tạm: Tạo một ví mới với số tiền bằng không~ít để thử nghiệm các mint hoặc liên kết trước. Điều này sẽ giảm thiểu bất kỳ khoản thua lỗ nào.
  • Phân đoạn tài sản của bạn: Đừng để tất cả tài sản của bạn ở một nơi.
• Các Thực Hành Nâng Cao Dành Cho Người Dùng Tiền Điện Tử Kỳ Cựu
  • Sử dụng một thiết bị hoặc hồ sơ trình duyệt riêng cho hoạt động tiền điện tử - ngoài ra, bạn có thể có một thiết bị riêng để mở các liên kết và tin nhắn trực tiếp.
  • Kiểm tra nhãn cảnh báo token trên Etherscan: Nhiều token lừa đảo đã bị đánh dấu.
  • Đối chiếu địa chỉ hợp đồng với thông báo chính thức của dự án.
  • Kiểm tra các URL một cách cẩn thận: Đặc biệt trong email và trò chuyện, các lỗi chính tả tinh vi là rất phổ biến. Nhiều ứng dụng nhắn tin và tất nhiên các trang web cho phép liên kết - điều này cho phép ai đó làm điều này:www.google.com (không sao, bạn có thể nhấp vào liên kết).
  • Hãy cẩn thận với những gì bạn ký: Luôn giải mã các giao dịch (ví dụ: qua MetaMask, Rabby, hoặc một trình giả lập) trước khi xác nhận.

5. Lời Kết

Hầu hết người dùng nghĩ rằng việc khai thác trong tiền điện tử là điều gì đó kỹ thuật và không thể tránh khỏi, đặc biệt là những người mới vào ngành. Mặc dù điều đó có thể đúng với các phương pháp tấn công phức tạp, nhưng thường thì bước đầu tiên lại nhắm vào cá nhân theo những cách không kỹ thuật, làm cho phần còn lại của việc khai thác có thể phòng ngừa.

Đại đa số các tổn thất cá nhân trong lĩnh vực này không đến từ những lỗi zero-day mới lạ hay lỗi giao thức mờ ám, mà chủ yếu là do mọi người ký vào những thứ họ không đọc hoặc nhập ví vào các ứng dụng giả mạo, hoặc tin tưởng vào một tin nhắn trực tiếp có vẻ đủ hợp lý. Các công cụ có thể mới, nhưng các chiến thuật thì cổ xưa như thời gian: lừa dối, khẩn trương, đánh lạc hướng.

Mọi người đến với tiền điện tử vì tính tự quản và bản chất không cần sự cho phép, nhưng người dùng cần nhớ rằng ở đây rủi ro cao hơn; trong tài chính truyền thống, bạn bị lừa và bạn gọi cho ngân hàng. Trong tiền điện tử, bạn bị lừa và đó là kết thúc câu chuyện.

Thông báo:

1. Bài viết này được đăng lại từ [Nghiên cứu Presto]. Tất cả bản quyền thuộc về tác giả gốc [Nghiên cứu Presto]. Nếu có bất kỳ phản đối nào đối với việc in lại này, vui lòng liên hệ với Gate Learn đội, và họ sẽ xử lý nhanh chóng.
2. Tuyên bố miễn trừ trách nhiệm: Quan điểm và ý kiến được nêu trong bài viết này chỉ là của tác giả và không cấu thành bất kỳ lời khuyên đầu tư nào.
3. Các bản dịch của bài viết sang các ngôn ngữ khác được thực hiện bởi đội ngũ Gate Learn. Trừ khi có đề cập, việc sao chép, phân phối hoặc đạo văn các bài viết đã được dịch là bị cấm.