-
09/04/2020
-
95
-
753 bài viết
Lỗ hổng ví Crypto: Truy cập Web là mất tiền!!!
Nhiều ví tiền điện tử phổ biến trên trình duyệt đang tồn tại các lỗ hổng nghiêm trọng, cho phép kẻ tấn công rút tiền mà không cần sự tương tác của người dùng.
Chỉ cần truy cập vào một trang web độc hại, người dùng có thể bị lộ cụm từ khôi phục (seed phrase) một cách âm thầm. Điều đó cho phép kẻ tấn công có thể chiếm đoạt toàn bộ tài sản của bạn bất cứ lúc nào. Thậm chí có thể chờ đến khi ví tích lũy được số dư đáng kể, khiến người dùng khó theo dõi và phát hiện hơn.
Các ví bị ảnh hưởng, bao gồm:
- Điều này cho phép kẻ tấn công trực tiếp lấy seed phrase mà không cần mở khóa ví hoặc có bất kỳ dấu hiệu hiển thị nào cho người dùng. Lỗ hổng này đã được vá trong bản 5.3.1 (CVE-2023-40580).
- Điều này biến trang web độc hại thành công cụ rút tiền (crypto drainer) hoàn chỉnh, không cần bất kỳ tương tác nào từ người dùng. Vấn đề này được báo cáo qua HackenProof và đã được vá vào giữa năm 2023.
- Dù cụm từ này đã được mã hóa, nó vẫn có thể bị giải mã ngoại tuyến hoặc dùng cho các cuộc tấn công phishing có mục tiêu. Tệ hơn, kẻ tấn công còn lấy được địa chỉ ví, cho phép chúng theo dõi ví cho đến khi có giá trị rồi mới tấn công. Lỗ hổng này đã được vá vào ngày 22/11/2024.
Nhiều ví khác, đặc biệt là những ví mới ra mắt, cũng có thể dễ dàng bị ảnh hưởng nếu không sử dụng mã nguồn mở đã được kiểm chứng kỹ lưỡng.
Cơ chế hoạt động và điểm yếu:
Các ví trình duyệt hiện đại kết nối với ứng dụng phi tập trung (dApp) bằng cách nhúng mã JavaScript vào các trang web. Mã này cho phép giao tiếp giữa ví và dApp thông qua API nhà cung cấp, Content Scripts, và các Background Scripts xử lý logic cùng khóa bí mật.
Thông thường, quá trình này cần sự phê duyệt từ người dùng. Tuy nhiên, kẻ tấn công có thể lợi dụng lỗ hổng trong quá trình xử lý tin nhắn của ví để vượt qua lớp bảo vệ đó.
Chỉ cần truy cập vào một trang web độc hại, người dùng có thể bị lộ cụm từ khôi phục (seed phrase) một cách âm thầm. Điều đó cho phép kẻ tấn công có thể chiếm đoạt toàn bộ tài sản của bạn bất cứ lúc nào. Thậm chí có thể chờ đến khi ví tích lũy được số dư đáng kể, khiến người dùng khó theo dõi và phát hiện hơn.
Các ví bị ảnh hưởng, bao gồm:
- Stellar Freighter
- Điều này cho phép kẻ tấn công trực tiếp lấy seed phrase mà không cần mở khóa ví hoặc có bất kỳ dấu hiệu hiển thị nào cho người dùng. Lỗ hổng này đã được vá trong bản 5.3.1 (CVE-2023-40580).
- Frontier Wallet
- Điều này biến trang web độc hại thành công cụ rút tiền (crypto drainer) hoàn chỉnh, không cần bất kỳ tương tác nào từ người dùng. Vấn đề này được báo cáo qua HackenProof và đã được vá vào giữa năm 2023.
- Coin98
- Dù cụm từ này đã được mã hóa, nó vẫn có thể bị giải mã ngoại tuyến hoặc dùng cho các cuộc tấn công phishing có mục tiêu. Tệ hơn, kẻ tấn công còn lấy được địa chỉ ví, cho phép chúng theo dõi ví cho đến khi có giá trị rồi mới tấn công. Lỗ hổng này đã được vá vào ngày 22/11/2024.
Nhiều ví khác, đặc biệt là những ví mới ra mắt, cũng có thể dễ dàng bị ảnh hưởng nếu không sử dụng mã nguồn mở đã được kiểm chứng kỹ lưỡng.
Cơ chế hoạt động và điểm yếu:
Các ví trình duyệt hiện đại kết nối với ứng dụng phi tập trung (dApp) bằng cách nhúng mã JavaScript vào các trang web. Mã này cho phép giao tiếp giữa ví và dApp thông qua API nhà cung cấp, Content Scripts, và các Background Scripts xử lý logic cùng khóa bí mật.
Thông thường, quá trình này cần sự phê duyệt từ người dùng. Tuy nhiên, kẻ tấn công có thể lợi dụng lỗ hổng trong quá trình xử lý tin nhắn của ví để vượt qua lớp bảo vệ đó.
Theo Security Online
Chỉnh sửa lần cuối: