Vào ngày 22 tháng 3, Google đã phát hành bản cập nhật bảo mật khẩn cấp cho trình duyệt Chrome của mình vì 3,2 tỷ người dùng có nguy cơ bị tấn công. Bản cập nhật này đã làm nổi bật một lỗ hổng bảo mật duy nhất có thể có tác động lớn đến tất cả mọi người, đặc biệt là người dùng tiền điện tử.

Không có nhiều thông tin công khai ở giai đoạn này về CVE-2022-1096 ngoài việc nó là “Loại nhầm lẫn trong V8.” Điều này đề cập đến công cụ JavaScript được sử dụng bởi Chrome. Lỗ hổng bảo mật bao gồm Dự án Chromium mã nguồn mở và có thể bản cập nhật này được đưa ra như một phản hồi cho người dùng báo cáo ‘ví nóng’ tiền điện tử của họ bị tấn công thông qua trình duyệt.

Đầu tuần này, Arthur Cheong, người sáng lập DeFiance Capital và một cá voi tiền điện tử nổi tiếng đã thông báo qua Twitter rằng ví tiền điện tử của anh ta đã bị tấn công khiến anh ta mất hơn 1,5 triệu USD tiền mã hóa và NFT.

Vụ tấn công nhắm mục tiêu vào cái được gọi là ví ‘nóng’. Ví nóng được kết nối trực tiếp với internet chứ không phải ví ‘lạnh’, còn được gọi là ví phần cứng, nơi tài sản có thể được lưu trữ ngoại tuyến và vẫn ngoại tuyến để lưu giữ an toàn và bảo mật. Sau khi chứng kiến ​​những vụ hack tinh vi như thế này, thật an toàn khi nói rằng việc lưu trữ tiền điện tử trong ví lạnh cung cấp các giải pháp an toàn hơn nhiều để nắm giữ tiền điện tử.

Nhiều tuần trước đó, Ledger đã cảnh báo người dùng nhận thức về Chữ ký mù và những nguy hiểm đi kèm với chúng, đồng thời tiếp tục khuyên người dùng nên thận trọng khi duyệt DApps (ứng dụng phi tập trung) và các trang web liên quan khác.

Hai ví nóng chính đang được nhắm mục tiêu có số dư tiền điện tử trị giá hơn 1,5 triệu đô la Mỹ; hầu hết trong số đó chứa NFT trong bộ sưu tập ‘Azukis’. Những NFT phổ biến này ngay lập tức được bán trên OpenSea với giá thấp hơn giá thị trường, dẫn đến việc hacker thu được tiền một cách nhanh nhất có thể.

May mắn thay, toàn bộ cộng đồng tiền điện tử đã nghe thấy tiếng kêu và các hành động đã được thực hiện một cách nhanh chóng. Những người ủng hộ đã nhanh chóng mua lại một số Azuki NFT bị đánh cắp từ tay hacker trong danh sách đen và sẵn sàng nhân từ trả lại NFT cho Arthur với giá cơ bản thay vì bán lại chúng với giá trị thị trường hiện tại, cho phép họ kiếm lời 7-8 + ETH (trị giá khoảng 24 đô la k USD) để đổi lấy. Không phải tất cả các anh hùng mặc áo choàng.

Nhìn chung, hacker đã có thể có được 78 NFT khác nhau từ năm bộ sưu tập được biết đến rộng rãi. Và đó không phải là tất cả.

Không chỉ tập trung vào các bộ sưu tập của Azuki và các NFT khác, họ còn đánh cắp 68 ETH được bọc (wETH), 4.349 DYDX (stkDYDX) và 1.578 mã thông báo LookRare (LOOKS), tổng cộng là $ 293.281,64 tại thời điểm tấn công.

Sau thông báo, Arthur đã tự mình điều tra sâu về vụ khai thác và phát hiện ra rằng hacker chắc chắn đã có được quyền truy cập vào ví của anh ta bằng cách gửi cho anh ta cái được gọi là email lừa đảo trực tuyến. Chỉ riêng điều này đã tiết lộ rằng các email nhận được đã gửi yêu cầu truy cập đầy đủ vào nội dung Google Tài liệu của Arthur. Thoạt nhìn, những yêu cầu này dường như đến từ hai nguồn ‘hợp pháp’ của anh ta. Ngay sau khi mở tệp được chia sẻ, hacker đã lấy được một đoạn trái phép tới cụm từ hạt giống của ví nóng của anh ta. Nói cách khác, mật khẩu chính của ví nóng đã bị xâm phạm ngay lập tức, cấp cho kẻ trộm quyền truy cập vào tất cả các ví tiền điện tử được kết nối với Google Chrome và bòn rút tài sản khó kiếm được ngay trước mặt hắn.

Các vụ tấn công và khai thác tương tự không có gì mới đối với ngành công nghiệp tiền điện tử. Tuy nhiên, rất đáng tiếc phải nói rằng, những cuộc tấn công này đang trở nên cực kỳ phức tạp và các sự kiện thảm khốc giống hệt nhau có thể xảy ra với ngay cả những người dùng có kinh nghiệm nhất. Màn bi kịch này là bằng chứng cho thấy bất kỳ ai cũng có thể trở thành nạn nhân của các cuộc tấn công mạng tương tự và không có gì thực sự “an toàn 100%” như một số người có thể tuyên bố.

Khi nạn nhân của cuộc tấn công mạng đang hồi phục sau đó đã tweet “Tôi không mong đợi điều này xảy ra với tôi.”

Sau vụ hack, khuyến nghị của Arthur là luôn đặt vấn đề bảo mật lên hàng đầu. Ví dụ bao gồm sử dụng trình quản lý mật khẩu đáng tin cậy, cho phép xác thực 2 yếu tố (không phải qua số điện thoại để tránh bẻ khóa thẻ sim và hoán đổi sim) và sử dụng ví lưu trữ lạnh, cụ thể là ví phần cứng Ledger để đảm bảo tiền của bạn được SAFU vĩnh viễn.

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây