ZachXBT cảnh báo về việc rút tiền âm thầm trên nhiều mạng EVM

Nguồn: CryptoTale Tiêu đề gốc: ZachXBT Cảnh báo về Rút tiền Ví im trên các chuỗi EVM Liên kết gốc: https://cryptotale.org/zachxbt-warnings-silent-wallet-drains-across-evm-chains/

• ZachXBT theo dõi các hoạt động rút tiền ví im trên các mạng EVM, với thiệt hại mỗi địa chỉ vẫn nhỏ.
• Một địa chỉ Ethereum duy nhất liên tục nhận tiền, điều này báo hiệu hoạt động trên nhiều chuỗi.
• Các nhà phân tích nghiên cứu các lần phê duyệt, chữ ký và mở rộng, nhưng phương thức khai thác vẫn chưa rõ.

Nhà điều tra blockchain ZachXBT đã cảnh báo cộng đồng tiền điện tử về hoạt động rút tiền ví không rõ nguyên nhân ảnh hưởng đến nhiều blockchain tương thích EVM. Hoạt động này đã gây thiệt hại hơn 107.000 đô la. Các ví cá nhân thường mất ít hơn 2.000 đô la. Tuy nhiên, số lượng địa chỉ bị ảnh hưởng vẫn tiếp tục tăng. Nguyên nhân của các hoạt động rút tiền vẫn chưa được xác định.

Theo dõi trên chuỗi đã liên kết số tiền bị đánh cắp với một địa chỉ Ethereum duy nhất liên tục nhận chuyển khoản từ các nạn nhân không liên quan. Địa chỉ này, 0xAc2e5153170278e24667a580baEa056ad8Bf9bFB, đã xuất hiện trong nhiều giao dịch liên quan đến hoạt động này. Các khoản tiền vẫn tiếp tục chuyển vào địa chỉ này, cho thấy hoạt động rút tiền chưa dừng lại.

Thay vì các vụ trộm lớn, riêng lẻ, hoạt động này dựa vào các khoản rút nhỏ phân bổ trên nhiều ví. Mô hình này dường như làm chậm quá trình phát hiện. Do đó, thiệt hại tích tụ một cách âm thầm trong khi nạn nhân không nhận thức được cho đến khi số dư giảm xuống.

Mô hình xuyên chuỗi thu hút sự chú ý

Các báo cáo cho thấy hoạt động này diễn ra trên nhiều mạng dựa trên EVM. Các ví bị ảnh hưởng xuất hiện trên Ethereum, BNB Chain, Base, Arbitrum, Polygon, Optimism và các hệ sinh thái EVM khác. Phạm vi các mạng liên quan đã đặt ra câu hỏi về một điểm lỗi chung.

Vì các chuỗi EVM dựa trên các tiêu chuẩn ví và quy trình ký tương tự, các nhà điều tra nghi ngờ rằng khai thác không nhắm vào một giao thức duy nhất. Thay vào đó, có thể liên quan đến logic ví chung hoặc xử lý quyền. Nhiều ví chia sẻ các quy trình phê duyệt và lời nhắc người dùng tương tự.

Dù dữ liệu ngày càng nhiều, chưa có nguyên nhân xác nhận nào được đưa ra. Các nhà phân tích tiếp tục xem xét việc lạm dụng phê duyệt token, các yêu cầu chữ ký lừa đảo, và các vấn đề chuỗi cung ứng có thể ảnh hưởng đến phần mềm ví. Một số nghiên cứu cũng tập trung vào các tiện ích mở rộng trình duyệt. Chưa có giả thuyết nào được xác nhận cho đến nay.

Các vụ khai thác tháng 12 cung cấp bối cảnh rộng hơn

Các hoạt động rút tiền ví theo sau một tháng có nhiều sự cố bảo mật lớn trong crypto. Các nhà nghiên cứu an ninh đã báo cáo 26 vụ khai thác đáng kể trong tháng 12. Một số ít các vụ chiếm phần lớn thiệt hại. Vụ lớn nhất liên quan đến một người dùng mất $50 triệu đô la trong một vụ scam làm nhiễu địa chỉ.

Trong các cuộc tấn công làm nhiễu địa chỉ, các tác nhân đe dọa gửi các giao dịch nhỏ từ các địa chỉ giống nhau gần giống địa chỉ hợp lệ. Nạn nhân sau đó sao chép sai địa chỉ từ lịch sử giao dịch khi thực hiện chuyển khoản. Các khoản tiền sau đó chuyển không thể hoàn lại cho kẻ tấn công. Các vụ lừa đảo này dựa vào sự giống nhau về mặt hình ảnh chứ không phải lỗi kỹ thuật.

Các đội an ninh cũng ghi nhận một vụ cố tình rò rỉ khóa riêng trong tháng 12 liên quan đến ví đa chữ ký. Vụ vi phạm này gây thiệt hại khoảng 27,3 triệu đô la. Vụ việc cho thấy ngay cả ví yêu cầu nhiều phê duyệt vẫn dễ bị tổn thương khi các yếu tố bảo mật chính thất bại.

Ví trình duyệt vẫn dễ bị tấn công

Ví dựa trên trình duyệt thu hút nhiều kẻ tấn công nhất, chủ yếu vì chúng luôn kết nối với Internet. Một vụ trong ngày Giáng sinh đã rút khoảng $7 triệu đô la từ một ví mở rộng trình duyệt. Một vụ khác trong tháng 12 nhắm vào một giao thức blockchain với thiệt hại khoảng 3,9 triệu đô la.

Các sự cố này rõ ràng cho thấy các rủi ro vẫn còn tồn tại trong môi trường ví trực tuyến. Hầu hết các nhà nghiên cứu an ninh khuyên dùng ví phần cứng, giữ khóa riêng ngoại tuyến, là phương án an toàn nhất để lưu trữ lâu dài.

Về hoạt động rút tiền ví EVM hiện tại, các nhóm an ninh đề xuất người dùng thu hồi các phê duyệt không sử dụng, kiểm tra các ứng dụng đã kết nối, và giảm hoạt động ký. Nhiều người cũng khuyên chuyển tài sản sang ví mới với cụm seed phrase mới trong khi vẫn theo dõi hoạt động.