Lưu ý của biên tập viên: Bài viết này đến từChain News ChainNews (ID: chainnewscom)Lưu ý của biên tập viên: Bài viết này đến từ

Chain News ChainNews (ID: chainnewscom)

Chain News ChainNews (ID: chainnewscom)

, của Hugh Karp, Người sáng lập Nexus Mutual, được dịch bởi Lu Jiangfei, được xuất bản với sự cho phép.

bối cảnh thời gian

Vào lúc 9:40 sáng UTC vào thứ Hai, ngày 14 tháng 12, tôi đã bị lừa phê duyệt một giao dịch với tổng số 370.000 mã thông báo NXM. Tôi nghĩ giao dịch là tiền thưởng khai thác của riêng tôi, nhưng hóa ra nó được gửi trực tiếp đến tin tặc, kẻ sau đó đã thanh lý các mã thông báo NXM bị đánh cắp thành Bitcoin và Ethereum, sau đó phân phối tiền cho các địa chỉ và sàn giao dịch khác nhau.

• Tôi đang sử dụng ví Metamask được kết nối với Ledger, tương tác thông qua ứng dụng Nexus Mutual, máy tính là hệ điều hành Windows, khóa cá nhân trên Ledger hiện an toàn, hợp đồng thông minh và tiền của Nexus Mutual không bị ảnh hưởng, vì vậy về cơ bản Nó có thể được đánh giá từ những điều trên rằng lần này chỉ nên là một cuộc tấn công cá nhân.

• Trong sự cố tấn công có chủ đích này, chúng ta có thể biết những điều sau:đâyThứ Sáu, ngày 11 tháng 12, khoảng 10:20 UTC, tôi đang viết email thì đột nhiên màn hình máy tính tối đen trong 2-3 giây nhưng nhanh chóng hoạt động trở lại, lúc đó tôi nghĩ chắc máy tính đang làm gì đó kỳ lạ nên tôi đã không làm thế. không quan tâm nhiều đến nó.

• Khoảng một giờ sau, vào khoảng 11:20 UTC vào Thứ Sáu, ngày 11 tháng 12, đĩa của tôi đã bị nhiễm virus, với tiện ích mở rộng ví Metamask được thay thế bằng phiên bản bị tấn công. Để biết chi tiết, hãy tham khảo

• đây

• và tệp background.js.

• Trên thực tế, tôi đã không giao dịch tiền điện tử thông qua tiện ích mở rộng ví Metamask cho đến Thứ Hai, ngày 14 tháng 12.

Vào thứ Hai, ngày 14 tháng 12 lúc 9:40 sáng UTC, tôi muốn truy cập ứng dụng Nexus Mutual để rút một số mã thông báo để nhận phần thưởng khai thác. Như thường lệ, MetaMask bật lên thông báo xác nhận đơn rút tiền, điều này không có gì đáng ngạc nhiên, vì mọi giao dịch sẽ bật lên thông báo xác nhận và mọi thứ đều bình thường. Nhưng vấn đề là xác nhận này chứa một giao dịch gian lận được gửi đến Ledger. Kết quả là tôi đã nhấp vào "Xác nhận".

Giao dịch nhanh chóng xuất hiện trên Ledger, tôi kiểm tra thông tin giao dịch và bấm “Phê duyệt”. Trên thực tế, nếu tôi kiểm tra địa chỉ "người nhận" và thông tin giao dịch khác tại thời điểm này, tôi có thể phát hiện ra vấn đề. Tuy nhiên, vì Ledger không hỗ trợ trực tiếp NXM nên thông tin giao dịch không bao gồm người nhận và các thông tin liên quan khác theo mặc định. đọc thông tin.

Sau đó, tôi nhận được thông báo từ MetaMask rằng giao dịch đã được thực hiện, nhưng ứng dụng Nexus Mutual vẫn đang chờ xác nhận giao dịch, lúc đó tôi nhận ra có điều gì đó không ổn, đã kiểm tra Etherscan và phát hiện ra rằng số tiền đã được chuyển đến địa chỉ của tin tặc.

Nhìn lại thì bước thứ 5 bên trên mình đã mắc lỗi, lẽ ra mình nên cẩn thận hơn khi giao dịch, có thể nói sự cố hack lần này hoàn toàn do bản thân mình chịu trách nhiệm. Nhưng tôi muốn chỉ ra rằng trừ khi bạn là một người rất quen thuộc với công nghệ mã hóa, nếu không thì rất khó để kiểm tra cẩn thận các thông tin liên quan khi chuyển tiền, xét cho cùng, thông tin ở định dạng thập lục phân rất khó đọc. Cá nhân tôi thực sự có đủ kiến ​​thức kỹ thuật để hiểu những thông báo này có nghĩa là gì, nhưng tôi vẫn mắc lỗi, vì vậy người dùng phổ thông có thể dễ dàng vấp phải ở đây.

• Ngoài ra, tôi đã nhận được mã thông báo phần thưởng tiền điện tử từ các trang web mà tôi tin tưởng trước đây, chẳng hạn như Nexus Mutual APP, vì tôi nghĩ rằng rủi ro giao dịch trên nền tảng chính thức là tương đối thấp, nhưng từ sự cố hack này, tôi thấy rằng liệu nó có đáng tin cậy hay không. hoặc không Trang web, bất kể giá trị giao dịch, phải kiểm tra kỹ thông tin trước khi xác nhận giao dịch mỗi lần.

• Bây giờ, tôi dự định bắt đầu điều tra vụ hack này và theo dõi số tiền với sự giúp đỡ của cộng đồng, cảm ơn sự hỗ trợ của bạn! Tại đây, tôi muốn cảm ơn nhiều người vì sự hỗ trợ của họ, đặc biệt là Sergej Kunz, Julien Bouteloup, Harry Sniko, Richard Chen, Banteg và một số người khác mà tôi không tiện tiết lộ tên vào lúc này.

• Tóm tắt kết quả

• Trước đây, hầu hết các vụ hack MetaMask đều liên quan đến việc lừa người dùng tải xuống phiên bản giả mạo của chương trình có chứa mã độc và sau đó đánh cắp khóa cá nhân của người dùng. Nhưng lần này tình hình đã khác. Máy tính của tôi bị hỏng và ứng dụng MetaMask trên đĩa đã bị giả mạo, điều đó có nghĩa là sẽ không có thông báo cảnh báo nào xuất hiện khi có sự cố với tiện ích mở rộng của trình duyệt.

• Điều này được hiểu rằng cấu hình tiện ích mở rộng độc hại này được lấy từ coinbene.team và chúng tôi đã truy tìm một số địa chỉ IP từ tên miền này, như thể hiện trong hình bên dưới:

Trình duyệt của tôi đang ở chế độ nhà phát triển, nhưng tôi không phải là nhà phát triển, vì vậy điều này có thể đã được thực hiện bởi một tin tặc.

Cuộc tấn công này dường như được nhắm mục tiêu cao vì tin tặc đã không lấy tất cả các mã thông báo NXM mà nạn nhân có thể có, vì vậy có vẻ như tin tặc đã triển khai một tải trọng giao dịch được chuẩn bị trước chỉ dành cho tôi.

• 0xad6a4ace6dcc21c93ca9dbc8a21c7d3a726c1fb1

• 0x03e89f2e1ebcea5d94c1b530f638cea3950c2e2b

• 0x09923e35f19687a524bbca7d42b92b6748534f25

• 0x0784051d5136a5ccb47ddb3a15243890f5268482

• 0x0adab45946372c2be1b94eead4b385210a8ebf0b

Bitcoin:

• 3DZTKLmxo56JXFEeDoKU8C4Xc37ZpNqEZN

Messaging (?) Channel

• 0x756c4628e57f7e7f8a459ec2752968360cf4d1aa

Dưới đây mình sẽ liệt kê các địa chỉ hack liên quan nhất:

Ethereum:

Bitcoin:

Còn điều gì chúng ta chưa biết?

Đầu tiên, tôi không biết máy tính của mình đã bị xâm nhập như thế nào.

Trong tuần qua, tôi đã dành nhiều thời gian với các chuyên gia từ nhà cung cấp phần mềm chống vi-rút Kaspersky trên máy tính bị nhiễm cho phép thực hiện quy trình chẩn đoán đầy đủ, nhưng vẫn chưa có kết quả gì, công việc vẫn đang được tiến hành.

Hacker là ai?

Từ những gì chúng ta đã thấy cho đến nay, tin tặc này rất mạnh, nhưng nó cũng cho thấy rằng các cuộc tấn công có thể sẽ tiếp tục và ảnh hưởng đến ngày càng nhiều người hơn. Có thể nói hacker này rất tài năng và nhiều khả năng là một hoặc nhiều thành viên đến từ một nhóm kỹ thuật lớn. Chúng tôi đã có một cuộc trò chuyện ngắn với một hacker trên Telegram, người mà chúng tôi tin là ở múi giờ châu Á dựa trên hoạt động giao dịch của họ.

Cuộc điều tra vẫn đang tiếp tục và nếu có bất kỳ thông tin nào, chúng tôi sẽ chia sẻ và công bố thông tin đó một cách kịp thời.

bài học kinh nghiệm

Một số người dùng quen thuộc hơn với ngành DeFi luôn không tin tưởng MetaMask, thậm chí họ còn sử dụng máy tính “sạch” để chạy MetaMask, thiết bị này chỉ dùng để ký giao dịch và không làm gì khác.

MetaMask thực sự là mục tiêu của nhiều tin tặc, vì vậy tôi đã rất thận trọng khi tải xuống các chương trình từ các nguồn hợp pháp, nhưng ngay cả như vậy, máy tính của tôi vẫn bị nhiễm virus. Nếu bạn muốn tránh những vấn đề như vậy, bạn có thể thử phân bổ tiền vào các tài khoản khác nhau, điều này có thể giảm thiểu tổn thất. Ngoài ra, hãy nhớ kiểm tra ví phần cứng của bạn để biết các giao dịch trước khi ký (nói dễ hơn làm, đặc biệt là khi tương tác với hợp đồng thông minh).

Cho đến nay, chúng tôi chưa có thông tin nguồn mở nào về tin tặc, nhưng địa chỉ của tin tặc đã được gắn cờ trên Etherscan và mặc dù đây là một bước quan trọng trong cuộc điều tra nhưng vẫn còn nhiều việc phải làm.

Cái gì tiếp theo?

Tôi biết có rất nhiều nhóm đang tìm kiếm các tùy chọn thỏa thuận tốt nhất từ ​​cả khía cạnh trải nghiệm người dùng và bảo mật, nhưng với tư cách là một cộng đồng, chúng tôi rõ ràng còn một chặng đường dài phía trước trong vấn đề này. Tôi không thể đề xuất một giải pháp khác, nhưng tôi sẽ lấy một phần số tiền gây quỹ và tặng nó dưới dạng tiền thưởng để hỗ trợ cải tiến bảo mật và trải nghiệm người dùng.

Chúng tôi sẽ thông báo chi tiết về tiền thưởng trong tương lai. Chúng tôi tin rằng làm như vậy sẽ khuyến khích nhiều người hơn phát triển các giải pháp bảo mật ví cá nhân và thúc đẩy tiến bộ công nghệ.

Thư ngỏ gửi tin tặc