Giải thích về vụ hack TrustWallet: Từ cập nhật đến việc rút tiền ví trị giá $16M trong $TWT, BTC, ETH

Chuyện Chính Xác Xảy Ra Trong Vụ Việc Trust Wallet

Bước 1: Phiên Bản Mới Của Tiện Ích Mở Rộng Trình Duyệt Được Phát Hành

Một bản cập nhật mới cho tiện ích mở rộng Trust Wallet đã được phát hành vào ngày 24 tháng 12.

• Bản cập nhật có vẻ như là thủ tục thông thường.

• Không có cảnh báo bảo mật lớn nào đi kèm.

• Người dùng cài đặt qua quy trình cập nhật thông thường.

Lúc này, không có gì đáng ngờ.

Bước 2: Mã Mới Được Thêm Vào Tiện Ích

Sau khi cập nhật, các nhà nghiên cứu kiểm tra các tệp của tiện ích nhận thấy có sự thay đổi trong một tệp JavaScript gọi là 4482.js.

Quan sát chính:

• Mã mới không có trong các phiên bản trước.

• Nó giới thiệu các yêu cầu mạng liên quan đến hành động của người dùng.

Điều này quan trọng vì ví trình duyệt rất nhạy cảm; bất kỳ logic gửi đi nào mới đều có nguy cơ cao.

Bước 3: Mã Giả Danh Như “Phân Tích Dữ Liệu”

Logic bổ sung xuất hiện như mã phân tích hoặc telemetry.

Cụ thể:

• Trông giống như logic theo dõi của các SDK phân tích phổ biến.

• Không kích hoạt liên tục.

• Chỉ hoạt động trong một số điều kiện nhất định.

Thiết kế này khiến việc phát hiện dễ dàng hơn trong quá trình kiểm thử thông thường.

Bước 4: Điều Kiện Kích Hoạt — Nhập Seed Phrase

Phân tích ngược cộng đồng cho thấy logic này được kích hoạt khi người dùng nhập seed phrase vào tiện ích.

Tại sao điều này quan trọng:

• Nhập seed phrase cho phép ví kiểm soát hoàn toàn.

• Đây là một khoảnh khắc có giá trị cao, chỉ diễn ra một lần.

• Mã độc chỉ cần hành động một lần là đủ.

Người dùng chỉ sử dụng ví đã có thể không kích hoạt được đường dẫn này.

Bước 5: Dữ Liệu Ví Bị Gửi Ra Ngoài

Khi điều kiện kích hoạt xảy ra, mã được cho là đã gửi dữ liệu đến một điểm cuối bên ngoài:

metrics-trustwallet[.]com

Điều gây chú ý:

• Tên miền trông giống như một tên miền phụ hợp lệ của Trust Wallet.

• Được đăng ký chỉ vài ngày trước đó.

• Không có tài liệu công khai.

• Sau đó đã ngừng hoạt động.

Ít nhất, điều này xác nhận có sự giao tiếp không mong muốn từ tiện ích ví.

Bước 6: Kẻ Tấn Công Hành Động Ngay Lập Tức

Ngay sau khi nhập seed phrase, người dùng báo cáo:

• Ví bị rút sạch trong vòng vài phút.

• Nhiều tài sản bị chuyển nhanh chóng.

• Không cần thêm tương tác của người dùng.

Hành vi trên chuỗi cho thấy:

• Các mẫu giao dịch tự động.

• Nhiều địa chỉ đích.

• Không có quy trình phê duyệt lừa đảo rõ ràng.

Điều này cho thấy kẻ tấn công đã có đủ quyền truy cập để ký các giao dịch.

Bước 7: Quỹ Được Tập Trung Qua Các Địa Chỉ

Các tài sản bị đánh cắp được chuyển qua nhiều ví do kẻ tấn công kiểm soát.

Tại sao điều này quan trọng:

• Gợi ý có sự phối hợp hoặc kịch bản tự động.

• Giảm phụ thuộc vào một địa chỉ duy nhất.

• Phù hợp với hành vi của các vụ khai thác có tổ chức.

Ước tính dựa trên các địa chỉ theo dõi cho thấy hàng triệu đô la đã bị chuyển, mặc dù tổng số có thể khác nhau.

Bước 8: Tên Miền Biến Mất Tín Hiệu

Sau khi sự chú ý tăng lên:

• Tên miền đáng ngờ ngừng phản hồi.

• Không có lời giải thích công khai ngay lập tức.

• Các ảnh chụp màn hình và bằng chứng đã lưu trữ trở nên quan trọng.

Điều này phù hợp với giả thuyết rằng kẻ tấn công đã phá hủy hạ tầng khi bị phát hiện.

Bước 9: Thông Báo Chính Thức Sau Đó

Trust Wallet sau đó xác nhận:

• Một sự cố bảo mật ảnh hưởng đến một phiên bản cụ thể của tiện ích trình duyệt.

• Người dùng di động không bị ảnh hưởng.

• Người dùng nên nâng cấp hoặc vô hiệu hóa tiện ích.

Tuy nhiên, không có phân tích kỹ thuật đầy đủ ngay lập tức để giải thích:

• Tại sao tên miền tồn tại.

• Liệu seed phrase có bị lộ không.

• Đây có phải là vấn đề nội bộ, của bên thứ ba hay bên ngoài.

Khoảng trống này thúc đẩy các giả thuyết liên tục.

Những Điều Được Xác Nhận

• Một bản cập nhật tiện ích mở rộng trình duyệt đã giới thiệu hành vi gửi đi mới.

• Người dùng mất tiền ngay sau khi nhập seed phrase.

• Sự cố chỉ giới hạn trong một phiên bản cụ thể.

• Trust Wallet thừa nhận có vấn đề bảo mật.

Những Điều Được Cho Là Rất Nghi Ngờ

• Vấn đề chuỗi cung ứng hoặc tiêm mã độc.

• Seed phrase hoặc khả năng ký bị lộ.

• Logic phân tích dữ liệu bị lạm dụng hoặc biến thành vũ khí.

Những Điều Vẫn Chưa Rõ

• Liệu mã có cố ý độc hại hay bị xâm phạm từ upstream.

• Có bao nhiêu người dùng bị ảnh hưởng.

• Có dữ liệu nào khác bị lấy đi không.

• Xác định chính xác thủ phạm.

Tại Sao Vụ Việc Này Quan Trọng

Đây không phải là lừa đảo phishing điển hình.

Nó làm nổi bật:

• Mối nguy hiểm của tiện ích mở rộng trình duyệt.

• Rủi ro của việc tin tưởng mù quáng vào các bản cập nhật.

• Cách mã phân tích dữ liệu có thể bị lạm dụng.

• Tại sao xử lý seed phrase là khoảnh khắc quan trọng nhất trong bảo mật ví.

Ngay cả một lỗ hổng ngắn hạn cũng có thể gây hậu quả nghiêm trọng.