Lỗ hổng Ill Bloom làm thất thoát 3.1 triệu USD khỏi ví crypto: Bạn có đang gặp rủi ro?

  • Coinspect cho biết bộ tạo số ngẫu nhiên yếu đã tạo ra các cụm từ seed ví dễ đoán.
  • Kẻ tấn công đã rút tiền từ 431 ví với tổng cộng 3.1 triệu USD trong một đợt quét phối hợp vào ngày 27/05/2024.
  • Người dùng ví cứng không bị ảnh hưởng; Coinspect khuyến nghị chuyển sang ví mới.
Promo

Coinspect vừa công bố lỗ hổng Ill Bloom – một lỗi bảo mật nghiêm trọng trên ví crypto khiến các cụm từ phục hồi (recovery phrase) yếu trên nhiều blockchain. Lợi dụng điểm yếu này vào ngày 27/05, hacker đã rút tiền từ 431 ví với tổng giá trị khoảng 3.1 triệu USD.

Teams Coinspect đã truy tìm nguồn gốc lỗ hổng và phát hiện nguyên nhân là hệ thống sinh số ngẫu nhiên giả bảo mật kém khi tạo ví mới. Lỗi này ảnh hưởng đến nhiều blockchain, bao gồm cả Bitcoin (BTC), Ethereum (ETH) và Solana (SOL).

Được tài trợ
Được tài trợ

Cách lỗ hổng Ill Bloom đe dọa ví crypto như thế nào

Theo Coinspect, hệ thống tạo số ngẫu nhiên kém đã tạo ra các cụm từ phục hồi không đủ mạnh về mặt bảo mật. Do đó, kẻ tấn công có thể tái tạo toàn bộ các cụm từ phục hồi này và quét sạch tài sản trên bất kỳ địa chỉ ví nào có tiền.

Các nhà nghiên cứu đã thử nghiệm lại toàn bộ quá trình tấn công. Họ tạo ra mọi địa chỉ ví mà các cụm từ yếu này có thể sinh ra, sau đó so sánh với các ví có tiền trên các blockchain công khai. Nhiều địa chỉ bị ảnh hưởng từ tận năm 2018, chủ yếu xuất phát từ các ứng dụng ví di động ít tên tuổi.

Coinspect khuyến nghị người dùng nên kiểm tra lại các địa chỉ ví mình từng sử dụng. Nếu bạn dùng ví cứng (hardware wallet), sẽ không bị ảnh hưởng bởi lỗ hổng này. Đầu năm nay, Binance cũng đã phát ra cảnh báo bảo mật quan trọng dành cho người dùng ứng dụng di động trên iOS.

Đợt tấn công rút tiền đồng loạt ngày 27/05 ảnh hưởng đến 431 ví

Theo phân tích của Coinspect, họ đã theo dõi 2,114 địa chỉ ví được nạp tiền trên các mạng như Bitcoin, Ethereum, Tron, Rootstock và Polygon. Vào ngày 27/05, các ví bị tấn công đã chuyển hết số dư về vài địa chỉ thu gom trong một khoảng thời gian ngắn.

Bitcoin bị thiệt hại nặng nhất với 2.57 triệu USD, riêng một ví đã mất hơn 1.1 triệu USD. Tổng cộng, các ví bị lộ thông tin từng nắm giữ tới 12.56 triệu USD vào đỉnh điểm tháng 04/2022.

Được tài trợ
Được tài trợ

Coinspect cũng lưu ý con số 3.1 triệu USD chỉ là ước tính tối thiểu vì vẫn còn thêm các tài khoản bị phát hiện mới. Vụ việc này còn góp phần nâng tổng thiệt hại do các vụ hack ví và trộm tiền mã hóa trong năm nay, chỉ riêng tháng 01 đã vượt 400 triệu USD.

Khi khóa riêng tư bị lộ, tài sản trong ví có thể bị rút sạch rất nhanh, giống như trường hợp bị hack private key gần đây trên Humanity Protocol. Đáng chú ý, các vụ việc trước đó, như lỗ hổng Milk Sad, cũng bắt nguồn từ lỗi tạo số ngẫu nhiên yếu tương tự.

Số tiền bị đánh cắp do lỗ hổng Ill Bloom trên các blockchain lớn.
Số tiền bị đánh cắp do lỗ hổng Ill Bloom trên các blockchain lớn. Nguồn: Coinspect / Chainalysis

Người dùng crypto nên bảo vệ tài sản như thế nào?

Coinspect đã công khai một công cụ kiểm tra để so sánh địa chỉ ví bạn với những địa chỉ được xác định là có khả năng bị ảnh hưởng. Tuy nhiên, nếu kết quả là “không có” thì cũng chưa chắc an toàn tuyệt đối, vì danh sách này vẫn chưa đầy đủ.

Nếu phát hiện ví mình trùng với dữ liệu rủi ro, bạn nên tạo ví crypto mới và chuyển toàn bộ tài sản sang địa chỉ này. Việc nhập lại cụm từ phục hồi cũ vào app khác không giúp bảo vệ tài sản, mà có thể vẫn bị hacker chiếm đoạt.

Bên cạnh đó, các chiêu trò lừa đảo lợi dụng sự kiện này cũng xuất hiện, như vụ giả mạo airdrop trên Hyperliquid gần đây đã khiến nhiều người mất tiền. Coinspect nhấn mạnh họ không bao giờ yêu cầu bạn cung cấp bí mật ví.

“Chúng tôi không bao giờ yêu cầu bạn cung cấp seed phrase, private key, chữ ký, xác thực, hoặc yêu cầu chuyển tiền để ‘khôi phục’ hay bảo vệ ví.”

Các nhà cung cấp ví vẫn liên tục cải tiến để nâng cao bảo mật mặc định, ví dụ như chuẩn Clear Signing mới của Ethereum. Tuy nhiên, trong thời gian tới chúng ta sẽ biết rõ ứng dụng nào từng tạo ra các cụm từ yếu này. Trong khi chờ đợi, cách an toàn nhất vẫn là chuyển tiền khỏi các địa chỉ có nguy cơ bị lộ.


Để đọc các phân tích thị trường tiền điện tử mới nhất từ BeInCrypto, nhấp vào đây.

Tuyên bố miễn trừ trách nhiệm

Tất cả thông tin có trên trang web của chúng tôi được xuất bản với thiện chí và chỉ dành cho mục đích thông tin chung. Bất kỳ hành động nào người đọc thực hiện đối với thông tin được tìm thấy trên trang web của chúng tôi, họ cần phải đánh giá lại và hoàn toàn chịu rủi ro từ quyết định của chính họ. Vui lòng tham khảo Điều khoản và Điều kiện, Chính sách quyền riêng tư, và Tuyên bố miễn trừ trách nhiệm của chúng tôi.

Được tài trợ
Được tài trợ