Hàng trăm ví crypto tương thích EVM đang bị rút tiền theo từng khoản nhỏ (thường dưới 2.000 USD mỗi nạn nhân), với tổng thất thoát được ghi nhận đã vượt 107.000 USD.
Chuỗi sự cố xuất hiện từ cuối tháng 12 và có dấu hiệu liên quan đến tấn công chuỗi cung ứng tiện ích mở rộng ví trên trình duyệt, khiến kẻ xấu thu thập cụm từ khôi phục (seed phrase) rồi rút tài sản trên nhiều blockchain EVM.
- Nhiều ví EVM bị rút tiền lẻ tẻ, cộng dồn đã vượt 107.000 USD, mỗi nạn nhân thường mất dưới 2.000 USD.
- Tài sản bị gom về một địa chỉ, nắm giữ token từ gần 20 blockchain, nổi bật là Ethereum và BNB Chain.
- Dấu vết được cho là liên quan sự cố chuỗi cung ứng của Trust Wallet Chrome Extension, có nguy cơ bị rửa qua nhiều dịch vụ trộn/cầu nối.
Cuộc tấn công đang rút tiền hàng loạt ví EVM theo khoản nhỏ
Các cuộc tấn công bắt đầu từ cuối tháng 12 đang rút tài sản từ nhiều ví tương thích EVM, thường dưới 2.000 USD mỗi nạn nhân, và tổng số tiền bị siphon được ghi nhận đã vượt 107.000 USD.
Nhà điều tra blockchain ZachXBT cho biết có “hàng trăm ví” đang bị rút tiền trên nhiều mạng EVM, trong khi nguyên nhân gốc vẫn chưa được xác định rõ tại thời điểm cập nhật. Mẫu hình “ăn cắp ít nhưng nhiều nạn nhân” giúp kẻ tấn công khó bị chú ý hơn, đồng thời kéo dài thời gian khai thác trước khi người dùng kịp khóa ví hoặc chuyển tài sản.
Dòng tiền bị gom về địa chỉ 0xAc2e…ad8Bf9bFB. Dữ liệu on-chain cho thấy địa chỉ này đang nắm giữ tài sản đến từ gần 20 blockchain khác nhau, phản ánh mức độ lan rộng của chiến dịch và khả năng kẻ tấn công tận dụng hệ sinh thái EVM đa chuỗi để thu gom, hoán đổi và dịch chuyển tài sản.
“Có vẻ hàng trăm ví hiện đang bị rút tiền trên nhiều chuỗi EVM với số tiền nhỏ (< 2.000 USD tổng mỗi nạn nhân), nguyên nhân gốc hiện vẫn chưa được xác định.”
– ZachXBT, kênh Investigations trên Telegram
Tài sản bị dồn về một địa chỉ nắm giữ token từ gần 20 blockchain
Tài sản bị đánh cắp được chuyển về địa chỉ 0xAc2e…ad8Bf9bFB, nơi đang giữ danh mục trải rộng trên nhiều chain, với Ethereum và BNB Chain chiếm tỷ trọng lớn nhất theo dữ liệu được chia sẻ.
Theo thông tin blockchain từ Debank được chia sẻ trên Telegram, danh mục ở địa chỉ này gồm khoảng 54.655 USD trên Ethereum, tương ứng 51% tổng số dư. BNB Chain đứng thứ hai với khoảng 25.545 USD, tương ứng 24%.
Tại thời điểm ghi nhận, các mạng khác cũng có số dư đáng chú ý gồm Base (8.688 USD), Arbitrum (6.273 USD), Polygon (3.498 USD), Optimism (1.480 USD), Zora (994 USD), Linea (909 USD) và Avalanche (386 USD). Việc phân bổ rộng như vậy thường gợi ý kẻ tấn công đang rải dòng tiền qua nhiều mạng để tối ưu phí, tốc độ, và khả năng che giấu dấu vết.
Ảnh chụp nguồn tham chiếu của ZachXBT: bài đăng trên Telegram.
Dấu vết hướng tới sự cố chuỗi cung ứng của Trust Wallet Chrome Extension
Phân tích cho thấy địa chỉ nói trên được xác nhận là một ví của kẻ tấn công liên quan đến sự cố chuỗi cung ứng “Shai-Hulud” nhắm vào Trust Wallet Chrome Extension trong giai đoạn Giáng sinh.
Một số suy đoán trên Crypto Twitter cho rằng kẻ xấu có thể dùng email giả mạo MetaMask trong kỳ nghỉ để lừa người dùng cung cấp seed phrase. Tuy nhiên, theo phân tích từ Nansen, địa chỉ này được xác nhận thuộc nhóm ví tấn công liên quan đến sự cố chuỗi cung ứng Trust Wallet Chrome Extension “Shai-Hulud”, bắt đầu trong thời gian Giáng sinh.
Trust Wallet cho biết bí mật GitHub của đội ngũ phát triển bị lộ, tạo điều kiện để kẻ tấn công truy cập mã nguồn tiện ích mở rộng và khóa API của Chrome Web Store. Từ đó, kẻ tấn công có thể tải bản dựng lên trực tiếp mà không qua quy trình phát hành chuẩn vốn cần phê duyệt nội bộ và rà soát thủ công.
Kẻ tấn công được cho là đã đăng ký domain “metrics-trustwallet[.]com” và phát tán phiên bản tiện ích mở rộng bị cài mã độc, có cửa hậu thu thập cụm từ ghi nhớ (mnemonic) rồi gửi về “api.metrics-trustwallet[.]com”. Trust Wallet cho biết khoảng 1 triệu người dùng Chrome extension đã được yêu cầu cập nhật lên phiên bản 2.69 sau khi bản cập nhật bị xâm phạm được đẩy lên marketplace vào ngày 24/12.
Công ty mô tả đây là tấn công chuỗi cung ứng diện rộng, ảnh hưởng nhiều doanh nghiệp ở nhiều lĩnh vực, bao gồm crypto. Thông tin công bố cũng đề cập “Shai-Hulud 3.0”, biến thể mới mà các nhà nghiên cứu cho rằng tập trung vào che giấu chuỗi ký tự, xử lý lỗi và tương thích Windows để kéo dài tuổi thọ chiến dịch, hơn là bổ sung kỹ thuật khai thác hoàn toàn mới.
Rủi ro rửa tiền qua Tornado Cash, cầu nối và OTC
Nansen dự báo token bị đánh cắp có thể được luân chuyển qua các dịch vụ trộn, cầu nối, hoán đổi và kênh OTC như Tornado Cash, eXch, Railgun, THORChain, Debridge và TRON OTC.
Trong các vụ trộm crypto đa chuỗi, kẻ tấn công thường chia nhỏ tài sản, chuyển qua nhiều lớp công cụ để giảm khả năng bị phong tỏa và gây khó cho việc truy vết. Người dùng và dự án có liên quan thường theo dõi các địa chỉ nhận tiền trung gian, các giao dịch swap nhanh, và các giao dịch vào/ra dịch vụ trộn, từ đó phối hợp cảnh báo sàn giao dịch và nhà cung cấp hạ tầng để chặn dòng tiền khi có thể.
Lừa đảo mùa lễ hội tiếp tục là điểm nóng, thiệt hại crypto tăng mạnh
Các cảnh báo từ cơ quan chức năng và thống kê từ các hãng theo dõi cho thấy mùa lễ hội là giai đoạn bùng nổ phishing, trong khi thiệt hại trộm cắp crypto năm gần đây ghi nhận ở mức cao kỷ lục.
Đầu tháng 12, Trung tâm Khiếu nại Tội phạm Internet (IC3) của FBI cảnh báo về email gian lận và phishing. Cơ quan này cho biết người dân Mỹ mất hơn 785 triệu USD mỗi năm do các chiêu trò “không thanh toán/không giao hàng” trong dịp lễ, và gian lận thẻ tín dụng gây thêm khoảng 199 triệu USD.
Các công ty giám sát blockchain Chainalysis và TRM Labs ước tính tội phạm mạng đã đánh cắp 2,7 tỷ USD tiền điện tử trong năm trước, mức cao nhất theo năm từng được ghi nhận. Vụ lớn nhất là sự cố sàn Bybit có trụ sở tại Dubai, với khoảng 1,4 tỷ USD bị lấy đi, vượt các kỷ lục trước đó như vụ Ronin Network 624 triệu USD và Poly Network 611 triệu USD (năm 2022).
Chainalysis và Elliptic cho biết phần lớn sự cố trộm cắp crypto được quy cho các nhóm hacker liên quan nhà nước Triều Tiên, với ít nhất 2 tỷ USD bị đánh cắp trong năm, và ước tính khoảng 6 tỷ USD kể từ 2017.
Những câu hỏi thường gặp
Ví EVM là gì và vì sao lại bị nhắm đến?
Ví EVM là ví hỗ trợ các mạng tương thích Ethereum Virtual Machine như Ethereum, BNB Chain, Arbitrum, Base, Polygon và Optimism. Do người dùng trải rộng nhiều mạng và thường dùng tiện ích mở rộng trình duyệt, các chiến dịch phishing và tấn công chuỗi cung ứng có thể lan nhanh và rút tài sản trên nhiều chain.
Kẻ tấn công rút tiền theo cách nào trong vụ này?
Điểm chung được mô tả là rút các khoản nhỏ (thường dưới 2.000 USD mỗi nạn nhân) từ nhiều ví, sau đó gom về một địa chỉ trung tâm. Phân tích cũng liên hệ hoạt động này với sự cố chuỗi cung ứng của Trust Wallet Chrome Extension, nơi mã độc có thể thu thập cụm từ khôi phục ví.
Làm sao giảm rủi ro bị đánh cắp seed phrase khi dùng ví trình duyệt?
Không nhập seed phrase từ bất kỳ đường link/email nào, chỉ cập nhật tiện ích từ nguồn chính chủ, kiểm tra kỹ tên miền và thông báo bảo mật. Ưu tiên ví phần cứng cho số tiền lớn, bật khóa bảo mật bổ sung, và thường xuyên rà soát các tiện ích mở rộng/ứng dụng lạ có quyền đọc dữ liệu trình duyệt.
Tài sản bị đánh cắp thường được rửa qua đâu?
Theo kỳ vọng của Nansen, token bị đánh cắp có thể được chuyển qua các tuyến như Tornado Cash, eXch, Railgun, THORChain, Debridge và kênh TRON OTC để gây khó truy vết. Các tuyến này thường kết hợp trộn, swap và bắc cầu qua nhiều mạng.