Tuần trước, một người dùng Trust Wallet đã bị mất tiền đột ngột qua đêm, theo một báo cáo gần đây được chia sẻ với BeInCrypto. Khi anh ta liên hệ với ví để tìm hiểu chuyện gì đã xảy ra, họ thông báo rằng anh ta đã vô tình cấp quyền cho các trang web hoặc ứng dụng độc hại.
Eve Lam, Giám đốc An ninh Thông tin tại Trust Wallet, cho biết trong một cuộc phỏng vấn với BeInCrypto rằng hầu hết các vụ rút tiền điện tử trái phép đều bắt nguồn từ các vấn đề của người dùng. Dmytro Yasmanovych, Trưởng phòng Tuân thủ tại Hacken, chia sẻ quan điểm này và cung cấp hướng dẫn về các bước người dùng nên thực hiện nếu họ nghi ngờ ví tiền điện tử của mình đã bị xâm phạm.
Mất mát qua đêm
Tuần trước, Matias, một người dùng tiền điện tử từ Chile, đi ngủ mà không lo lắng gì. Tuy nhiên, khi anh thức dậy, mọi thứ đã thay đổi. Theo thông tin được chia sẻ với BeInCrypto, khi Matias truy cập vào Trust Wallet của mình, anh thấy rằng tiền của mình đã bị rút khỏi tài khoản.
Một tình huống như thế này chưa từng xảy ra với anh trong suốt năm năm sử dụng ví di động của mình. Matias sớm nhận thấy rằng vào lúc 8 giờ sáng, một lượng nhỏ tiền điện tử đã được nạp vào tài khoản của anh. Ngay sau đó, tài khoản của anh đã bị rút sạch.
Matias không biết làm thế nào mà chuyện này có thể xảy ra. Sau khi liên hệ với đội ngũ bảo mật của Trust Wallet để tìm lời giải thích, anh biết rằng vấn đề bắt nguồn từ một hành động mà anh đã vô tình thực hiện.
“Dựa trên dữ liệu nội bộ và các cuộc điều tra phản hồi sự cố của chúng tôi, phần lớn các vụ rút tiền trái phép đều được truy ngược lại các vấn đề từ phía người dùng,” Lam nói với BeInCrypto.
Cô giải thích nhiều cách mà người dùng có thể vô tình chia sẻ thông tin nhạy cảm với các tác nhân độc hại.
Thực tế về lỗ hổng phía người dùng
Phân tích của Trust Wallet về dữ liệu nội bộ và các cuộc điều tra phản hồi sự cố cho thấy rằng các vấn đề từ phía người dùng gây ra hầu hết các vụ rút tiền điện tử trái phép.
Những vấn đề này thường liên quan đến việc rò rỉ hoặc bị xâm phạm cụm từ khởi tạo, thường do các chiến thuật kỹ thuật xã hội, lưu trữ không an toàn và các phê duyệt hợp đồng thông minh độc hại được người dùng cấp.
Các sự cố xâm phạm ở cấp độ thiết bị và các sự cố khác, như tấn công hoán đổi SIM hoặc trộm cắp thiết bị không khóa, cũng góp phần vào các vụ rút tiền trái phép này.
“Trong tất cả các trường hợp này, ứng dụng Trust Wallet không bị xâm phạm—vấn đề xuất phát từ môi trường bên ngoài mà nó đang được sử dụng hoặc từ các hành động đã thực hiện trước khi cài đặt,” Lam chi tiết.
Những phương pháp khai thác này hiện là một trong những kỹ thuật tấn công phổ biến nhất để đánh cắp tiền điện tử từ ví di động.
Lỗi người dùng so với hack ví: Tổn thất xảy ra nhiều nhất ở đâu?
Mặc dù Hacken thiếu dữ liệu nội bộ cụ thể về xu hướng tấn công ví di động đang phát triển, Yasmanovych giải thích với BeInCrypto rằng các trường hợp mất tiền do hành động của người dùng ngày càng rõ ràng trong các vụ việc mà công ty an ninh mạng điều tra.
“Những gì chúng tôi thấy trong các cuộc điều tra và công cụ của mình chỉ ra một vấn đề rộng lớn hơn nhiều: hầu hết các vụ mất mát quy mô lớn trong tiền điện tử ngày nay ít liên quan đến phần mềm độc hại di động và nhiều hơn về thất bại trong quy trình ký, bảo mật giao diện và kiểm soát truy cập,” Yasmanovych nêu rõ.
Quy trình ký liên quan đến việc ủy quyền giao dịch tiền điện tử bằng khóa riêng. Nếu các khóa này bị xâm phạm, nó cho phép ký giao dịch trái phép trực tiếp. Trong khi đó, giao diện người dùng (UI) bị lỗi trong ví tiền điện tử và dApps có thể khiến người dùng thực hiện các giao dịch có hại. Các phương pháp tấn công bao gồm đầu độc địa chỉ, nơi kẻ tấn công tạo ra các địa chỉ trông giống nhau để chặn tiền.
Họ cũng triển khai các dApps giả mạo hoặc độc hại được thiết kế để đánh cắp thông tin đăng nhập hoặc gây ra các ký giao dịch có hại. Ngoài ra, UI redressing liên quan đến các lớp phủ lừa đảo khiến người dùng thực hiện các hành động không mong muốn.
Thường thì, người dùng cũng vô tình ủy quyền cho các hợp đồng thông minh độc hại.
“Đó là một điểm quan trọng—các phê duyệt độc hại có thể tồn tại trước khi Trust Wallet được cài đặt, đặc biệt nếu người dùng đã tương tác với các ứng dụng Web3 bằng các ví hoặc trình duyệt khác,” Lam cảnh báo.
Một khi kịch bản như vậy xảy ra, rất khó để khôi phục lại tiền.
Thách thức trong việc khôi phục quỹ
Với vai trò là một ví không lưu ký, Trust Wallet không thể đảo ngược các giao dịch tiền điện tử sau khi bị lừa đảo. Tuy nhiên, nó hỗ trợ người dùng bằng cách thực hiện phân tích trên chuỗi để truy tìm các khoản tiền bị đánh cắp. Nó cũng cung cấp các báo cáo chi tiết về sự cố cho cơ quan thực thi pháp luật và đôi khi hợp tác với các công ty pháp y.
Mặc dù có những nỗ lực này, khả năng thu hồi tiền vẫn rất thấp.
“Thành công phụ thuộc rất nhiều vào hành động sớm. Khi tiền đến các sàn giao dịch tập trung (CEXs) và người dùng nhanh chóng nộp báo cáo cho cơ quan thực thi pháp luật, có một cơ hội không bằng không để đóng băng tài sản. Trong tất cả các trường hợp liên quan đến lừa đảo, tỷ lệ thành công trong việc thu hồi là thấp, nhưng khi có sự tham gia của các điểm tập trung và cơ quan thực thi pháp luật được tham gia nhanh chóng, chúng tôi đã thấy tiền được thu hồi, như một trường hợp chúng tôi đã hỗ trợ với khoảng 400,000 USD được truy tìm,” Lam nói với BeInCrypto.
Do đó, giáo dục người dùng vẫn là cách hiệu quả nhất để ngăn chặn các vấn đề gây ra những tổn thất này.
Vượt qua phát hiện: Những bước phòng ngừa và phản ứng nào là quan trọng?
Trust Wallet có một công cụ quét bảo mật tích hợp để cảnh báo các mối đe dọa theo thời gian thực như tương tác với các địa chỉ lừa đảo đã biết, các trang web lừa đảo và các phê duyệt đáng ngờ. Nhưng đôi khi, những dấu hiệu cảnh báo này không đủ.
Để bảo vệ ví tiền điện tử, Yasmanovych khuyên rằng các tổ chức và cá nhân nên thực hiện các biện pháp kiểm soát theo Tiêu chuẩn Bảo mật Tiền điện tử (CCSS) để quản lý khóa và đảm bảo an ninh hoạt động.
“Xác định rõ ràng các hành động khi nghi ngờ khóa bị xâm phạm, bao gồm thu hồi, di chuyển quỹ và kiểm toán, yêu cầu [xác thực đa yếu tố] cho tất cả các truy cập vào hệ thống ví và giao diện xử lý khóa, sử dụng truy cập dựa trên nhóm để ngăn chặn bất kỳ cá nhân nào xâm phạm quỹ, [và] thực hiện sao lưu mã hóa, phân phối địa lý với các quy trình khôi phục được xác định rõ ràng để đảm bảo khả năng phục hồi mà không tập trung rủi ro,” ông giải thích.
Yasmanovych cũng nhấn mạnh tầm quan trọng của việc biết phải làm gì sau khi các cuộc tấn công này xảy ra.
“Nếu bạn nghi ngờ ví tiền điện tử của mình đã bị xâm phạm, hãy hành động ngay lập tức: Báo cáo sự cố cho cơ quan thực thi pháp luật và liên hệ với các chuyên gia pháp y tiền điện tử, theo dõi các khoản tiền bị đánh cắp bằng cách sử dụng các công cụ phân tích chuỗi để giám sát chuyển động và xác định các máy trộn hoặc sàn giao dịch liên quan, [và] gửi yêu cầu đến các sàn giao dịch với dữ liệu KYC để cố gắng đóng băng quỹ,” ông nói thêm.
Mặc dù có những biện pháp này, thực tế vẫn là các lỗ hổng từ phía người dùng tiếp tục dẫn đến tổn thất.
Thách thức dai dẳng về lỗ hổng người dùng trong ví di động
Ngay cả với các biện pháp bảo mật chủ động, sự thường xuyên của các tổn thất quỹ vẫn gây lo ngại đáng kể. Sự thường xuyên của các sự kiện này nhấn mạnh thách thức dai dẳng của các lỗ hổng từ phía người dùng khi sử dụng ví di động.
Con đường đến một Web3 an toàn hơn đòi hỏi sự cân bằng giữa các giao thức bảo mật mạnh mẽ và sự chuẩn bị chủ động của người dùng. Do đó, cam kết liên tục đối với giáo dục người dùng và việc áp dụng rộng rãi các biện pháp bảo vệ này vẫn là điều cần thiết để giảm thiểu hiệu quả các cuộc tấn công và thiết lập một môi trường an toàn hơn trong toàn ngành.
Tất cả thông tin có trên trang web của chúng tôi được xuất bản với thiện chí và chỉ dành cho mục đích thông tin chung. Bất kỳ hành động nào người đọc thực hiện đối với thông tin được tìm thấy trên trang web của chúng tôi, họ cần phải đánh giá lại và hoàn toàn chịu rủi ro từ quyết định của chính họ.
