Phân tích sự kiện an ninh Web3: Ví lạnh của một nền tảng giao dịch bị tấn công nghiêm trọng
Vào ngày 21 tháng 2 năm 2025, một nền tảng giao dịch nổi tiếng đã bị tấn công vào ví lạnh Ethereum, khoảng 401,346 ETH, 15,000 cmETH, 8,000 mETH, 90,375 stETH và 90 USDT đã được chuyển đến địa chỉ không xác định, tổng giá trị khoảng 14.6 triệu USD.
Kẻ tấn công đã lừa đảo người ký của ví tiền đa chữ ký của nền tảng này thông qua phương pháp lừa đảo để ký giao dịch độc hại. Các bước tấn công như sau:
Kẻ tấn công triển khai trước hợp đồng độc hại chứa lỗ hổng chuyển tiền.
Can thiệp vào giao diện quản lý an ninh, khiến cho thông tin giao dịch mà người ký nhìn thấy không khớp với dữ liệu thực tế được gửi đến Ví lạnh.
Bằng cách giả mạo giao diện để lấy ba chữ ký hợp lệ, thay thế hợp đồng thực hiện của ví đa chữ ký bằng phiên bản độc hại, từ đó kiểm soát ví lạnh và chuyển tiền.
Công ty an ninh được ủy thác tiến hành điều tra chứng cứ hiện đã phát hiện:
Trong lưu trữ đám mây của nền tảng quản lý an toàn, tài nguyên đã bị tiêm mã JavaScript độc hại.
Phân tích mã cho thấy mục đích chính của nó là thao tác nội dung giao dịch trong quá trình ký.
Mã độc có điều kiện kích hoạt, chỉ được kích hoạt tại địa chỉ hợp đồng cụ thể.
Sau khi thực hiện giao dịch độc hại, phiên bản cập nhật của tài nguyên JavaScript đã được tải lên, mã độc đã bị xóa.
Đánh giá ban đầu cho thấy cuộc tấn công xuất phát từ hạ tầng đám mây của nền tảng quản lý an ninh.
Hiện tại không phát hiện dấu hiệu nào cho thấy cơ sở hạ tầng của nền tảng giao dịch này bị xâm nhập.
Từ thông tin hiện có, vấn đề chính không phải nằm ở phía trước, mà then chốt là dịch vụ lưu trữ đám mây bị xâm nhập dẫn đến JavaScript bị thao túng. Nhưng nếu nền tảng quản lý an toàn ở phía trước thực hiện xác minh tính toàn vẹn cơ bản, thì ngay cả khi JavaScript bị thay đổi cũng sẽ không gây ra hậu quả nghiêm trọng như vậy. Tất nhiên, nền tảng giao dịch cũng khó thoát khỏi trách nhiệm, họ đã xác nhận khi ví lạnh không hiển thị thông tin giao dịch cụ thể, và sự tin tưởng vào nền tảng quản lý an toàn ở phía trước vốn đã có rủi ro.
Ví tiền phần cứng có những hạn chế khi xử lý các giao dịch phức tạp, không thể phân tích và hiển thị đầy đủ dữ liệu giao dịch chi tiết của ví nhiều chữ ký, dẫn đến việc người ký thực hiện "ký mù" mà chưa hoàn toàn xác minh nội dung giao dịch.
Tin tặc rất thành thạo trong việc lợi dụng những thiếu sót trong thiết kế quy trình tương tác để lừa đảo tài sản của người dùng, như chiếm đoạt giao diện người dùng, lừa đảo chữ ký, lợi dụng chữ ký mù, lạm dụng chữ ký Permit, lừa đảo TransferFrom không có chuyển khoản, lừa đảo airdrop với số cuối giống nhau, lừa đảo NFT, v.v.
Với sự phát triển của công nghệ Web3, ranh giới giữa an ninh frontend và an ninh blockchain ngày càng trở nên mờ nhạt. Các lỗ hổng frontend truyền thống được gán cho các chiều tấn công mới trong ngữ cảnh Web3, các lỗ hổng hợp đồng thông minh, thiếu sót trong quản lý khóa riêng, và những vấn đề khác càng làm gia tăng rủi ro.
Tham số giao dịch bị giả mạo: Giao diện hiển thị chuyển khoản, thực tế thực hiện ủy quyền
Người dùng thấy cửa sổ ví hiển thị "Chuyển 1 ETH đến 0xUser...", nhưng thực tế trên chuỗi thực hiện là "approve(attacker, unlimited)", tài sản có thể bị chuyển đi bất cứ lúc nào.
Giải pháp: Xác minh chữ ký có cấu trúc EIP-712
Tạo dữ liệu có thể xác minh từ phía trước
Xác minh chữ ký hợp đồng thông minh
Vì vậy, bất kỳ sự thay đổi nào của tham số phía trước sẽ dẫn đến việc chữ ký không khớp, giao dịch sẽ tự động quay lại.
Mù ký chiếm đoạt: Nguyên nhân ví lạnh bị tấn công
Kẻ tấn công có thể chiếm đoạt mã nguồn phía trước, gửi calldata giả mạo đến Ví lạnh. Màn hình Ví lạnh hiển thị thông tin giao dịch bình thường, nhưng thực tế thực thi là "approve(attacker, unlimited)".
Giải pháp: Phân tích ngữ nghĩa Ví tiền phần cứng + Xác thực thứ hai trên chuỗi
Nâng cấp firmware ví tiền phần cứng hỗ trợ EIP-712
Khớp ngữ nghĩa bắt buộc trên chuỗi
Kết luận
Sự kết hợp giữa an ninh phía trước và an ninh Web3 vừa là thách thức vừa là cơ hội. Sự kiện này đã phơi bày những vấn đề sâu sắc trong quản lý an ninh và kiến trúc công nghệ của ngành công nghiệp tiền điện tử. Ngành cần phải nâng cao khả năng bảo vệ từ nhiều khía cạnh như an ninh thiết bị, xác thực giao dịch và cơ chế quản lý rủi ro để đối phó với các mối đe dọa ngày càng phức tạp. Phát triển phía trước cần phải xác thực lặp đi lặp lại các bước như truy cập DApp, kết nối Ví tiền, ký tin nhắn, ký giao dịch và xử lý sau giao dịch, để đạt được sự chuyển mình từ "sửa chữa thụ động" sang "miễn dịch chủ động". Chỉ có như vậy, mới có thể bảo vệ giá trị và sự tin tưởng của mỗi giao dịch trong thế giới mở của Web3.
Tất nhiên, việc kiểm toán an ninh hợp đồng trên chuỗi là không thể thiếu đối với mỗi Dapp. Các công cụ quét an ninh hỗ trợ AI có thể đảm bảo tính chính xác của mã thông qua xác minh hình thức và các tiêu chuẩn an ninh hỗ trợ AI, cung cấp phân tích tương đồng mã và rủi ro sở hữu trí tuệ cho một lượng lớn hợp đồng đã triển khai, giám sát 24/7 và thông báo ngay lập tức về các lỗ hổng zero-day và sự kiện an ninh có thể ảnh hưởng đến dự án. Một số công cụ còn sở hữu mô hình AI tối ưu hóa dựa trên cơ sở dữ liệu lỗ hổng quy mô lớn, được sử dụng để phát hiện các lỗ hổng thực tế khác nhau trong hợp đồng thông minh.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
13 thích
Phần thưởng
13
6
Chia sẻ
Bình luận
0/400
GameFiCritic
· 17giờ trước
Một lần nữa, cuộc tấn công từ phía trước, xác minh khả năng hiển thị dữ liệu vẫn chưa được thực hiện tốt.
Xem bản gốcTrả lời0
MidnightSeller
· 17giờ trước
Thật thú vị khi lại có một cái đen nữa.
Xem bản gốcTrả lời0
AirdropHuntress
· 17giờ trước
Mười bốn chữ ký đều bị mắc bẫy rồi. Thuế IQ à.
Xem bản gốcTrả lời0
quiet_lurker
· 17giờ trước
Vấn đề an ninh luôn là một bài toán khó!
Xem bản gốcTrả lời0
BoredApeResistance
· 18giờ trước
又被 Được chơi cho Suckers了 Web3咋了
Xem bản gốcTrả lời0
ChainWallflower
· 18giờ trước
Điều này thật sự quá tàn nhẫn, Cắt 50% một số lượng lớn người.
Nền tảng giao dịch Web3 bị tấn công Ví lạnh 1,46 tỷ USD, an ninh phía trước trở thành vấn đề chính.
Phân tích sự kiện an ninh Web3: Ví lạnh của một nền tảng giao dịch bị tấn công nghiêm trọng
Vào ngày 21 tháng 2 năm 2025, một nền tảng giao dịch nổi tiếng đã bị tấn công vào ví lạnh Ethereum, khoảng 401,346 ETH, 15,000 cmETH, 8,000 mETH, 90,375 stETH và 90 USDT đã được chuyển đến địa chỉ không xác định, tổng giá trị khoảng 14.6 triệu USD.
Kẻ tấn công đã lừa đảo người ký của ví tiền đa chữ ký của nền tảng này thông qua phương pháp lừa đảo để ký giao dịch độc hại. Các bước tấn công như sau:
Công ty an ninh được ủy thác tiến hành điều tra chứng cứ hiện đã phát hiện:
Từ thông tin hiện có, vấn đề chính không phải nằm ở phía trước, mà then chốt là dịch vụ lưu trữ đám mây bị xâm nhập dẫn đến JavaScript bị thao túng. Nhưng nếu nền tảng quản lý an toàn ở phía trước thực hiện xác minh tính toàn vẹn cơ bản, thì ngay cả khi JavaScript bị thay đổi cũng sẽ không gây ra hậu quả nghiêm trọng như vậy. Tất nhiên, nền tảng giao dịch cũng khó thoát khỏi trách nhiệm, họ đã xác nhận khi ví lạnh không hiển thị thông tin giao dịch cụ thể, và sự tin tưởng vào nền tảng quản lý an toàn ở phía trước vốn đã có rủi ro.
Ví tiền phần cứng có những hạn chế khi xử lý các giao dịch phức tạp, không thể phân tích và hiển thị đầy đủ dữ liệu giao dịch chi tiết của ví nhiều chữ ký, dẫn đến việc người ký thực hiện "ký mù" mà chưa hoàn toàn xác minh nội dung giao dịch.
Tin tặc rất thành thạo trong việc lợi dụng những thiếu sót trong thiết kế quy trình tương tác để lừa đảo tài sản của người dùng, như chiếm đoạt giao diện người dùng, lừa đảo chữ ký, lợi dụng chữ ký mù, lạm dụng chữ ký Permit, lừa đảo TransferFrom không có chuyển khoản, lừa đảo airdrop với số cuối giống nhau, lừa đảo NFT, v.v.
Với sự phát triển của công nghệ Web3, ranh giới giữa an ninh frontend và an ninh blockchain ngày càng trở nên mờ nhạt. Các lỗ hổng frontend truyền thống được gán cho các chiều tấn công mới trong ngữ cảnh Web3, các lỗ hổng hợp đồng thông minh, thiếu sót trong quản lý khóa riêng, và những vấn đề khác càng làm gia tăng rủi ro.
Tham số giao dịch bị giả mạo: Giao diện hiển thị chuyển khoản, thực tế thực hiện ủy quyền
Người dùng thấy cửa sổ ví hiển thị "Chuyển 1 ETH đến 0xUser...", nhưng thực tế trên chuỗi thực hiện là "approve(attacker, unlimited)", tài sản có thể bị chuyển đi bất cứ lúc nào.
Giải pháp: Xác minh chữ ký có cấu trúc EIP-712
Vì vậy, bất kỳ sự thay đổi nào của tham số phía trước sẽ dẫn đến việc chữ ký không khớp, giao dịch sẽ tự động quay lại.
Mù ký chiếm đoạt: Nguyên nhân ví lạnh bị tấn công
Kẻ tấn công có thể chiếm đoạt mã nguồn phía trước, gửi calldata giả mạo đến Ví lạnh. Màn hình Ví lạnh hiển thị thông tin giao dịch bình thường, nhưng thực tế thực thi là "approve(attacker, unlimited)".
Giải pháp: Phân tích ngữ nghĩa Ví tiền phần cứng + Xác thực thứ hai trên chuỗi
Kết luận
Sự kết hợp giữa an ninh phía trước và an ninh Web3 vừa là thách thức vừa là cơ hội. Sự kiện này đã phơi bày những vấn đề sâu sắc trong quản lý an ninh và kiến trúc công nghệ của ngành công nghiệp tiền điện tử. Ngành cần phải nâng cao khả năng bảo vệ từ nhiều khía cạnh như an ninh thiết bị, xác thực giao dịch và cơ chế quản lý rủi ro để đối phó với các mối đe dọa ngày càng phức tạp. Phát triển phía trước cần phải xác thực lặp đi lặp lại các bước như truy cập DApp, kết nối Ví tiền, ký tin nhắn, ký giao dịch và xử lý sau giao dịch, để đạt được sự chuyển mình từ "sửa chữa thụ động" sang "miễn dịch chủ động". Chỉ có như vậy, mới có thể bảo vệ giá trị và sự tin tưởng của mỗi giao dịch trong thế giới mở của Web3.
Tất nhiên, việc kiểm toán an ninh hợp đồng trên chuỗi là không thể thiếu đối với mỗi Dapp. Các công cụ quét an ninh hỗ trợ AI có thể đảm bảo tính chính xác của mã thông qua xác minh hình thức và các tiêu chuẩn an ninh hỗ trợ AI, cung cấp phân tích tương đồng mã và rủi ro sở hữu trí tuệ cho một lượng lớn hợp đồng đã triển khai, giám sát 24/7 và thông báo ngay lập tức về các lỗ hổng zero-day và sự kiện an ninh có thể ảnh hưởng đến dự án. Một số công cụ còn sở hữu mô hình AI tối ưu hóa dựa trên cơ sở dữ liệu lỗ hổng quy mô lớn, được sử dụng để phát hiện các lỗ hổng thực tế khác nhau trong hợp đồng thông minh.