Những điều cần kiểm tra trước khi 'cập nhật'

Nhà nghiên cứu bảo mật trên chuỗi ZachXBT đã cảnh báo hàng trăm ví trên nhiều chuỗi EVM bị rút cạn với số tiền nhỏ, thường dưới 2.000 đô la mỗi nạn nhân, chuyển vào một địa chỉ đáng ngờ duy nhất.

Tổng số tiền bị đánh cắp đã vượt qua 107.000 đô la và tiếp tục tăng. Nguyên nhân gốc rễ vẫn chưa được xác định, nhưng người dùng báo cáo đã nhận được email giả mạo ngụy trang như một nâng cấp bắt buộc của MetaMask, kèm theo logo con cáo đội mũ tiệc và dòng tiêu đề "Chúc mừng năm mới!".

Cuộc tấn công này xảy ra khi các nhà phát triển đang nghỉ lễ, các kênh hỗ trợ đang hoạt động với đội ngũ tối thiểu và người dùng đang cuộn qua hộp thư đầy rẫy các chương trình khuyến mãi năm mới.

Kẻ tấn công khai thác khoảng thời gian đó. Số tiền nhỏ trên mỗi nạn nhân cho thấy kẻ rút tiền hoạt động dựa trên phê duyệt hợp đồng thay vì xâm phạm hoàn toàn cụm từ khóa trong nhiều trường hợp, điều này giữ cho tổn thất cá nhân dưới ngưỡng mà nạn nhân phát hiện ngay lập tức nhưng cho phép kẻ tấn công mở rộng quy mô trên hàng trăm ví.

Ngành công nghiệp vẫn đang xử lý một sự cố riêng biệt về tiện ích mở rộng trình duyệt Trust Wallet, trong đó mã độc hại trong tiện ích mở rộng Chrome v2.68 đã thu thập khóa riêng tư và rút cạn ít nhất 8,5 triệu đô la từ 2.520 ví trước khi Trust Wallet vá lỗi lên v2.69.

Hai lỗ hổng khác nhau, cùng một bài học: điểm cuối người dùng vẫn là mắt xích yếu nhất.

Phân tích email giả mạo hoạt động hiệu quả

Email giả mạo theo chủ đề MetaMask chứng minh tại sao các cuộc tấn công này thành công.

Danh tính người gửi hiển thị "MetaLiveChain," một cái tên nghe có vẻ liên quan đến DeFi nhưng không có liên kết nào với MetaMask.

Tiêu đề email chứa liên kết hủy đăng ký cho "[email protected]," tiết lộ rằng kẻ tấn công đã sao chép mẫu từ các chiến dịch tiếp thị hợp pháp. Nội dung email có logo con cáo của MetaMask đội mũ tiệc, kết hợp niềm vui theo mùa với sự khẩn cấp giả tạo về "bản cập nhật bắt buộc".

Sự kết hợp đó vượt qua những phương pháp phát hiện mà hầu hết người dùng áp dụng cho các vụ lừa đảo rõ ràng.

Tài liệu bảo mật chính thức của MetaMask thiết lập các quy tắc rõ ràng. Email hỗ trợ chỉ đến từ các địa chỉ đã được xác minh, chẳng hạn như [email protected], và không bao giờ từ các tên miền bên thứ ba.

Nhà cung cấp ví không gửi email không được yêu cầu đòi xác minh hoặc nâng cấp.

Ngoài ra, không có đại diện nào sẽ yêu cầu Cụm từ khóa. Tuy nhiên, những email này hoạt động vì chúng khai thác khoảng cách giữa những gì người dùng biết về mặt trí tuệ và những gì họ làm một cách phản xạ khi một tin nhắn trông có vẻ chính thức đến.

Bốn dấu hiệu phát hiện giả mạo trước khi thiệt hại xảy ra.

Đầu tiên, không khớp thương hiệu-người gửi, vì thương hiệu MetaMask từ "MetaLiveChain" báo hiệu sự đánh cắp mẫu. Thứ hai, sự khẩn cấp giả tạo xung quanh các bản cập nhật bắt buộc mà MetaMask nói rõ sẽ không gửi.

Thứ ba, URL đích không khớp với các tên miền được tuyên bố, di chuột trước khi nhấp sẽ tiết lộ mục tiêu thực tế. Thứ tư, các yêu cầu vi phạm quy tắc cơ bản của ví, chẳng hạn như yêu cầu cụm từ khóa hoặc nhắc ký vào các tin nhắn ngoài chuỗi không rõ ràng.

Trường hợp ZachXBT chứng minh cơ chế giả mạo chữ ký. Các nạn nhân đã nhấp vào liên kết nâng cấp giả có thể đã ký phê duyệt hợp đồng cấp cho kẻ rút tiền quyền di chuyển token.

Chữ ký duy nhất đó đã mở cửa cho việc trộm cắp liên tục trên nhiều chuỗi. Kẻ tấn công chọn số tiền nhỏ trên mỗi ví vì phê duyệt hợp đồng thường mang giới hạn chi tiêu không giới hạn theo mặc định, nhưng rút cạn mọi thứ sẽ kích hoạt điều tra ngay lập tức.

Phân tán hành vi trộm cắp trên hàng trăm nạn nhân với mức 2.000 đô la mỗi người bay dưới radar cá nhân trong khi tích lũy tổng số sáu con số.

Thu hồi phê duyệt và thu hẹp phạm vi ảnh hưởng

Một khi liên kết giả mạo được nhấp vào hoặc phê duyệt độc hại được ký, ưu tiên chuyển sang kiểm soát. MetaMask hiện cho phép người dùng xem và thu hồi quyền token trực tiếp bên trong MetaMask Portfolio.

Revoke.cash hướng dẫn người dùng qua một quy trình đơn giản: kết nối ví của bạn, kiểm tra phê duyệt trên mỗi mạng và gửi giao dịch thu hồi cho các hợp đồng không đáng tin cậy.

Trang Token Approvals của Etherscan cung cấp cùng chức năng để thu hồi thủ công phê duyệt ERC-20, ERC-721 và ERC-1155. Những công cụ này quan trọng vì các nạn nhân hành động nhanh có thể cắt đứt quyền truy cập của kẻ rút tiền trước khi mất tất cả.

Sự phân biệt giữa xâm phạm phê duyệt và xâm phạm cụm từ khóa xác định liệu ví có thể được cứu vãn hay không. Hướng dẫn bảo mật của MetaMask vẽ một ranh giới cứng: nếu bạn nghi ngờ Cụm từ khóa của mình đã bị lộ, hãy ngừng sử dụng ví đó ngay lập tức.

Tạo ví mới trên thiết bị mới, chuyển tài sản còn lại và coi cụm từ khóa gốc là bị đốt cháy vĩnh viễn. Thu hồi phê duyệt giúp ích khi kẻ tấn công chỉ nắm giữ quyền hợp đồng; nếu cụm từ khóa của bạn đã mất, toàn bộ ví phải bị bỏ rơi.

Chainalysis đã ghi nhận khoảng 158.000 vụ xâm phạm ví cá nhân ảnh hưởng đến ít nhất 80.000 người vào năm 2025, mặc dù tổng giá trị bị đánh cắp giảm xuống khoảng 713 triệu đô la.

Kẻ tấn công tấn công nhiều ví hơn với số tiền nhỏ hơn, mô hình mà ZachXBT xác định. Hàm ý thực tế: tổ chức ví để giới hạn phạm vi ảnh hưởng quan trọng không kém việc tránh giả mạo.

Một ví bị xâm phạm duy nhất không nên có nghĩa là mất toàn bộ danh mục đầu tư.

Xây dựng phòng thủ theo chiều sâu

Các nhà cung cấp ví đã triển khai các tính năng có thể ngăn chặn cuộc tấn công này nếu được áp dụng.

MetaMask hiện khuyến khích đặt giới hạn chi tiêu cho phê duyệt token thay vì chấp nhận quyền "không giới hạn" mặc định. Revoke.cash và bảng điều khiển Shield của De.Fi ủng hộ coi đánh giá phê duyệt là vệ sinh thường xuyên cùng với việc sử dụng ví cứng cho tài sản nắm giữ dài hạn.

MetaMask kích hoạt cảnh báo bảo mật giao dịch từ Blockaid theo mặc định, gắn cờ các hợp đồng đáng ngờ trước khi chữ ký được thực hiện.

Sự cố tiện ích mở rộng Trust Wallet củng cố nhu cầu về phòng thủ theo chiều sâu. Lỗ hổng đó đã vượt qua quyết định của người dùng và mã độc hại trong danh sách Chrome chính thức tự động thu thập khóa.

Người dùng phân chia tài sản trên ví cứng (lưu trữ lạnh), ví phần mềm (giao dịch ấm) và ví burner (giao thức thử nghiệm) đã giới hạn rủi ro.

Mô hình ba cấp đó tạo ra ma sát, nhưng ma sát là điểm mấu chốt. Một email giả mạo chiếm được ví burner có giá hàng trăm hoặc vài nghìn đô la. Cùng một cuộc tấn công chống lại một ví duy nhất nắm giữ toàn bộ danh mục đầu tư có giá tiền thay đổi cuộc sống.

Kẻ rút tiền ZachXBT thành công vì nó nhắm vào mối nối giữa tiện lợi và bảo mật. Hầu hết người dùng giữ mọi thứ trong một phiên bản MetaMask duy nhất vì quản lý nhiều ví cảm thấy cồng kềnh.

Kẻ tấn công đặt cược rằng một email trông chuyên nghiệp vào ngày đầu năm mới sẽ bắt được đủ số người không cảnh giác để tạo ra khối lượng có lợi nhuận. Cược đó đã có hiệu quả, với 107.000 đô la và vẫn tiếp tục tăng.

Điều gì đang bị đe dọa

Sự cố này đặt ra một câu hỏi sâu sắc hơn: ai chịu trách nhiệm về bảo mật điểm cuối trong thế giới tự giám sát?

Các nhà cung cấp ví xây dựng công cụ chống giả mạo, các nhà nghiên cứu xuất bản báo cáo mối đe dọa và các cơ quan quản lý cảnh báo người tiêu dùng. Tuy nhiên, kẻ tấn công chỉ cần một email giả, logo nhái và hợp đồng rút tiền để xâm phạm hàng trăm ví.

Cơ sở hạ tầng cho phép tự giám sát, giao dịch không cần phép, địa chỉ giả danh và chuyển khoản không thể đảo ngược cũng làm cho nó không khoan nhượng.

Ngành công nghiệp coi đây là vấn đề giáo dục: nếu người dùng xác minh địa chỉ người gửi, di chuột qua liên kết và thu hồi phê duyệt cũ, các cuộc tấn công sẽ thất bại.

Tuy nhiên, dữ liệu của Chainalysis về 158.000 vụ xâm phạm cho thấy giáo dục một mình không mở rộng quy mô. Kẻ tấn công thích nghi nhanh hơn người dùng học. Email giả mạo MetaMask đã phát triển từ các mẫu thô sơ "Ví của bạn bị khóa!" thành các chiến dịch theo mùa được đánh bóng.

Lỗ hổng tiện ích mở rộng Trust Wallet đã chứng minh rằng ngay cả người dùng cẩn thận cũng có thể mất tiền nếu các kênh phân phối bị xâm phạm.

Những gì hoạt động: ví cứng cho tài sản nắm giữ có ý nghĩa, thu hồi phê duyệt tàn nhẫn, phân chia ví theo hồ sơ rủi ro và hoài nghi đối với bất kỳ tin nhắn không được yêu cầu nào từ các nhà cung cấp ví.

Những gì không hoạt động: giả định giao diện ví an toàn theo mặc định, coi phê duyệt là quyết định một lần hoặc hợp nhất tất cả tài sản trong một ví nóng duy nhất để thuận tiện. Kẻ rút tiền ZachXBT sẽ bị tắt vì địa chỉ được gắn cờ và các sàn giao dịch sẽ đóng băng tiền nạp.

Nhưng một kẻ rút tiền khác sẽ ra mắt vào tuần tới với mẫu hơi khác và địa chỉ hợp đồng mới
.

Chu kỳ tiếp tục cho đến khi người dùng nội tâm hóa rằng sự tiện lợi của tiền điện tử tạo ra một bề mặt tấn công cuối cùng sẽ bị khai thác. Sự lựa chọn không phải giữa bảo mật và khả năng sử dụng, mà phần nào giữa ma sát bây giờ và mất mát sau này.