Nền tảng bảo mật blockchain GoPlus vào ngày 10 tháng 4 đã phát hành cảnh báo khẩn cấp, cho biết SDK EngageLab được sử dụng rộng rãi trong các thông báo đẩy (push notification) trên Android có lỗ hổng bảo mật nghiêm trọng. Lỗ hổng này ảnh hưởng đến hơn 50 triệu người dùng Android, trong đó khoảng 30 triệu là người dùng ví tiền mã hóa. Kẻ tấn công có thể triển khai phần mềm độc hại ngụy trang thành ứng dụng hợp pháp trên thiết bị nạn nhân, nhằm đánh cắp khóa riêng của ví mã hóa và thông tin đăng nhập.
Nguyên lý kỹ thuật lỗ hổng: Chuỗi tấn công liên ứng dụng thực thi âm thầm
(Nguồn: GoPlus)
Điểm lỗi cốt lõi của lần này nằm ở việc SDK EngageLab không thực hiện xác thực đầy đủ nguồn gửi khi xử lý cơ chế truyền thông Intent của Android. Intent là cơ chế hợp pháp để các ứng dụng Android trao đổi lệnh với nhau, nhưng việc triển khai của SDK EngageLab lại cho phép các lệnh xuất phát từ nguồn không được ủy quyền vượt qua quy trình xác thực thông thường, từ đó kích hoạt ứng dụng mục tiêu thực hiện các thao tác nhạy cảm.
Chuỗi tấn công hoàn chỉnh gồm 50Mước
Cài cấy ứng dụng độc hại: Kẻ tấn công ngụy trang phần mềm độc hại thành một App hợp pháp, lôi kéo nạn nhân cài đặt trên cùng một thiết bị Android
Chèn Intent độc hại: Ứng dụng độc hại gửi một Intent độc hại được tạo công phu đến ví tiền mã hóa hoặc ứng dụng tài chính đã tích hợp sẵn SDK EngageLab trên cùng thiết bị
Thực thi thao tác vượt quyền: Ứng dụng mục tiêu nhận được Intent và thực hiện các thao tác không được ủy quyền mà người dùng không hề hay biết, bao gồm đánh cắp khóa riêng ví, thông tin đăng nhập và các dữ liệu nhạy cảm khác
Mức độ nguy hiểm lớn nhất của chuỗi tấn công này nằm ở tính “âm thầm”: nạn nhân không cần thao tác chủ động. Chỉ cần trên thiết bị đồng thời tồn tại ứng dụng độc hại và ứng dụng có phiên bản SDK EngageLab chứa lỗ hổng, cuộc tấn công có thể hoàn tất ở chế độ nền.
Quy mô ảnh hưởng: Người dùng mã hóa đối mặt rủi ro mất tài sản không thể đảo ngược
Vì SDK EngageLab là một thành phần cơ sở hạ tầng thông báo đẩy được triển khai rộng rãi, được tích hợp vào hàng nghìn ứng dụng Android, phạm vi lần này đạt quy mô 50 triệu thiết bị, trong đó người dùng ví tiền mã hóa chiếm khoảng 30 triệu.
Một khi khóa riêng ví tiền mã hóa bị rò rỉ, kẻ tấn công có thể kiểm soát hoàn toàn tài sản trên chuỗi của nạn nhân. Đồng thời, đặc tính giao dịch trên blockchain là không thể đảo ngược khiến các khoản thiệt hại kiểu này gần như không thể thu hồi, mức rủi ro cao hơn nhiều so với các sự kiện rò rỉ dữ liệu thông thường của ứng dụng.
Biện pháp ứng phó khẩn cấp: Danh sách hành động tức thời cho nhà phát triển và người dùng
Khuyến nghị an toàn theo nhóm
- Nhà phát triển và nhà cung cấp ứng dụng
· Ngay lập tức kiểm tra xem sản phẩm có tích hợp SDK EngageLab hay không, và xác nhận phiên bản hiện tại có thấp hơn 4.5.5 hay không
· Nâng cấp lên SDK EngageLab phiên bản 4.5.5 hoặc cao hơn (bản vá chính thức; vui lòng tham khảo tài liệu chính thức của EngageLab)
· Phát hành lại phiên bản cập nhật và thông báo cho người dùng hoàn tất cập nhật sớm nhất có thể
- Người dùng Android phổ thông
· Ngay lập tức truy cập Google Play để cập nhật tất cả ứng dụng, ưu tiên xử lý các ứng dụng ví tiền mã hóa và ứng dụng tài chính
· Thận trọng với các ứng dụng tải từ nguồn không rõ hoặc kênh không chính thức; nếu cần thiết, hãy xóa ngay lập tức
· Nếu nghi ngờ khóa riêng đã bị rò rỉ, cần lập tức tạo ví mới trên thiết bị an toàn, chuyển tài sản và vĩnh viễn ngừng sử dụng địa chỉ cũ
Câu hỏi thường gặp
SDK EngageLab là gì, vì sao được tích hợp rộng rãi vào ví tiền mã hóa?
SDK EngageLab là bộ phần mềm bên thứ ba cung cấp chức năng thông báo đẩy trên Android; nhờ tính tiện cho việc triển khai nên được nhiều ứng dụng áp dụng. Thông báo đẩy gần như là tính năng mặc định của hầu hết ứng dụng di động, vì vậy SDK EngageLab tồn tại phổ biến trong ví tiền mã hóa và các ứng dụng tài chính, từ đó dẫn đến quy mô ảnh hưởng của lỗ hổng lần này đạt 50 triệu người dùng.
Làm sao để xác nhận thiết bị của mình có bị ảnh hưởng bởi lỗ hổng này hay không?
Nếu thiết bị Android của bạn cài đặt ví tiền mã hóa hoặc ứng dụng tài chính, và vẫn chưa cập nhật lên phiên bản mới nhất, thì có rủi ro bị ảnh hưởng. Khuyến nghị ngay lập tức cập nhật tất cả ứng dụng trên cửa hàng Google Play. Nhà phát triển có thể kiểm tra số phiên bản SDK trong ứng dụng để xác nhận xem có sử dụng SDK EngageLab phiên bản thấp hơn 4.5.5 hay không.
Nếu khóa riêng đã bị rò rỉ thì nên xử lý khẩn cấp thế nào?
Cần ngay lập tức tạo địa chỉ ví mới trên thiết bị an toàn chưa bị nhiễm, chuyển toàn bộ tài sản của ví ban đầu sang địa chỉ mới, và vĩnh viễn ngừng sử dụng địa chỉ cũ. Đồng thời thay đổi mật khẩu đăng nhập của tất cả các nền tảng liên quan, và bật xác thực hai yếu tố cho tài khoản để giảm rủi ro bị xâm nhập thêm trong tương lai.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Token RAVE Tăng Vọt 110 Lần Trong Hai Tuần, Rồi Sụp Đổ 98% Giữa Các Cáo Buộc Thao Túng Thị Trường
Tin tức Gate, ngày 27 tháng 4 — RAVE, token gốc của dự án cộng đồng văn hóa dựa trên Web3 của RaveDAO (a project), đã tăng vọt 110 lần trong hai tuần trước khi lao dốc 98% chỉ trong hai ngày vào ngày 19-20 tháng 4, khiến người ta so sánh với vụ bê bối thao túng cổ phiếu Lubo khét tiếng năm 2007 ở Hàn Quốc.
Vào ngày 18 tháng 4, RAVE r
GateNews1giờ trước
Nghiên cứu hé lộ: Người chơi của Polymarket đạt 3% lợi nhuận nhưng chiếm 30% lợi nhuận, hơn 70% người chơi gánh toàn bộ khoản lỗ
Một nghiên cứu mới phân tích hồ sơ giao dịch của Polymarket trong giai đoạn 2023–2025, cho thấy chỉ 3,14% người chơi thắng thạo nắm giữ hơn 30% lợi nhuận; đóng góp của đám đông không đủ để giải thích độ chính xác tổng thể. Đồng thời, theo dõi được 1.950 tài khoản giao dịch được cho là nội gián có mức độ khả nghi cao, dù không trực tiếp dẫn dắt dự đoán nhưng lại khuếch đại biến động giá. Trường hợp này cho thấy việc đặt cược số tiền lớn và thu lợi đã diễn ra trước khi Mỹ công bố thông tin về các diễn biến liên quan đến Venezuela. Nghiên cứu đặt câu hỏi về trí tuệ của đám đông và nhấn mạnh sự cần thiết của việc giám sát ngày càng nghiêm ngặt.
ChainNewsAbmedia2giờ trước
Pháp: Năm 2026, hơn 40 nhà đầu tư tiền mã hóa bị bắt cóc, liên quan rò rỉ dữ liệu thuế
Theo Market Forces Africa, đưa tin vào ngày 27 tháng 4, số vụ bắt cóc và tấn công bạo lực nhắm vào các nhà đầu tư tiền mã hóa tại Pháp đã tăng vọt. Người sáng lập Telegram, Pavel Durov, trên nền tảng X cho biết rằng kể từ đầu năm 2026, ông đã ghi nhận 41 vụ bắt cóc các nhà đầu tư tiền mã hóa, trung bình cứ 2,5 ngày lại xảy ra một vụ, và các vụ việc này có liên quan đến một vụ rò rỉ dữ liệu thuế tại Pháp.
MarketWhisper2giờ trước
Cảnh sát an ninh mạng tỉnh Hồ Bắc được khen thưởng Nhị đẳng công, 70 ngày phá vụ trộm cắp tiền mã hóa trị giá “hàng trăm triệu nhân dân tệ” đầu tiên toàn tỉnh
Theo tường thuật của Tờ báo Hồ Bắc vào ngày 27 tháng 4, cảnh sát thuộc đội an ninh mạng của Cục Công an khu Thanh Sơn, thành phố Vũ Hán, đồng chí Quách Đình Vũ mới đây đã được trao thưởng Cá nhân Nhị đẳng công. Quách Đình Vũ tốt nghiệp chuyên ngành Công nghệ thông tin tại Đại học Khoa học và Công nghệ Hoa Trung; năm 2023 đậu kỳ thi tuyển công chức để nhập ngũ ngành công an; đầu năm 2024 tiếp nhận vụ án trộm cắp tiền mã hóa đầu tiên của toàn tỉnh Hồ Bắc; sau gần 70 ngày điều tra phá án, số tiền liên quan vượt quá 1 trăm triệu nhân dân tệ; 5 nghi phạm đều bị xử lý theo pháp luật.
MarketWhisper2giờ trước
Litecoin Thực Hiện Tái Tổ Chức Chuỗi Sâu Để Gỡ Rối Lỗi Khai Thác Lớp Riêng Tư MWEB
Tin tức từ Gate, ngày 27 tháng 4 — Litecoin đã trải qua một đợt tái tổ chức chuỗi (chain reorganization) sâu vào thứ Bảy (ngày 26 tháng 4) sau khi các kẻ tấn công khai thác một lỗ hổng zero-day trong lớp bảo mật quyền riêng tư MimbleWimble Extension Block (MWEB), theo thông báo của Litecoin Foundation. Đợt reorg này bao phủ các khối từ 3,095,930 đến 3,095,943 và
GateNews3giờ trước
Trung Quốc phá đường dây trộm cắp tiền mã hóa trị giá hơn $140 Triệu, bắt giữ 5 nghi phạm
Bản tin Cổng thông tin, ngày 27 tháng 4 — Một đơn vị tội phạm mạng tại Vũ Hán, tỉnh Hồ Bắc của Trung Quốc, đã triệt phá một đường dây trộm cắp tiền mã hóa liên quan đến các ứng dụng ví giả mạo, với quá trình điều tra cho thấy hơn 100 triệu nhân dân tệ (ước khoảng $14 triệu) tiền thu lợi bất chính. Năm nghi phạm đã
GateNews3giờ trước
