Sự kiện an ninh lớn nhất trong lịch sử Ethereum: Ví lạnh của một nền tảng giao dịch bị tổn thất 1,46 tỷ USD
Vào lúc 02:16:11 chiều UTC ngày 21 tháng 2 năm 2025, một Ví lạnh Ethereum của một nền tảng giao dịch nổi tiếng đã bị đánh cắp tài sản do nâng cấp hợp đồng độc hại. CEO của nền tảng này cho biết, kẻ tấn công đã sử dụng phương pháp lừa đảo để khiến người ký Ví lạnh ký nhầm vào giao dịch độc hại. Giao dịch này được ngụy trang thành một hoạt động bình thường, giao diện hiển thị như một giao dịch thông thường, nhưng dữ liệu gửi đến thiết bị phần cứng đã bị thay đổi thành nội dung độc hại. Kẻ tấn công đã thành công trong việc lấy được ba chữ ký hợp lệ, thay thế hợp đồng thực hiện Ví đa chữ ký Safe bằng phiên bản độc hại, từ đó đánh cắp tài sản. Sự kiện này đã gây ra thiệt hại khoảng 1,46 tỷ đô la, trở thành sự cố an ninh lớn nhất trong lịch sử Web3.0.
Phân tích quá trình tấn công
Kẻ tấn công đã triển khai hai hợp đồng độc hại có chức năng cửa hậu chuyển tiền và nâng cấp hợp đồng ba ngày trước khi sự kiện xảy ra.
Ngày 21 tháng 2 năm 2025, kẻ tấn công đã dụ dỗ ba chủ sở hữu ví đa ký ký vào giao dịch độc hại, nâng cấp hợp đồng thực hiện của Safe thành phiên bản độc hại có chứa cửa hậu.
Giá trị của trường "operation" trong giao dịch tấn công là "1", chỉ thị hợp đồng GnosisSafe thực hiện "deleGatecall".
Giao dịch này đã thực hiện một cuộc gọi ủy quyền đến một hợp đồng khác do kẻ tấn công triển khai, trong đó chứa một hàm "transfer()" và khi gọi, nó đã sửa đổi khe lưu trữ đầu tiên của hợp đồng.
Bằng cách sửa đổi ô lưu trữ đầu tiên của hợp đồng Gnosis Safe, kẻ tấn công đã thay đổi địa chỉ hợp đồng thực hiện (tức là địa chỉ "masterCopy").
Phương pháp nâng cấp hợp đồng mà kẻ tấn công sử dụng được thiết kế đặc biệt để tránh gây nghi ngờ. Từ góc độ của người ký, dữ liệu được ký trông giống như một cuộc gọi hàm đơn giản "transfer(address, uint256)", chứ không phải là hàm "nâng cấp" khả nghi.
Hợp đồng thực hiện độc hại đã được nâng cấp bao gồm hàm cửa hậu "sweepETH()" và "sweepERC20()", kẻ tấn công đã chuyển tất cả tài sản trong Ví lạnh bằng cách gọi những hàm này.
Phân tích nguồn gốc lỗ hổng
Nguyên nhân cơ bản của sự kiện này là một cuộc tấn công lừa đảo thành công. Kẻ tấn công đã dụ dỗ người ký ví tiền ký vào dữ liệu giao dịch độc hại, dẫn đến việc hợp đồng bị nâng cấp độc hại, cho phép kẻ tấn công kiểm soát ví lạnh và chuyển toàn bộ tiền.
Theo giải thích của CEO nền tảng này, vào thời điểm xảy ra sự việc, đội ngũ đang thực hiện quy trình chuyển giao tài sản giữa ví lạnh và ví nóng. Ông cho biết, tất cả các người ký đều thấy địa chỉ và dữ liệu giao dịch hiển thị chính xác trên giao diện, và URL đã được xác minh bởi chính thức. Tuy nhiên, khi dữ liệu giao dịch được gửi đến ví cứng để ký, nội dung thực tế đã bị thay đổi. CEO thừa nhận không xác nhận lại chi tiết giao dịch trên giao diện của thiết bị cứng.
Hiện tại, vẫn chưa có kết luận về cách mà kẻ tấn công đã thay đổi giao diện. Có bằng chứng từ các nhà phân tích trên chuỗi cho thấy cuộc tấn công này có thể được lên kế hoạch và thực hiện bởi một tổ chức hacker nổi tiếng.
Bài học và đề xuất phòng ngừa
Sự kiện này có những điểm tương đồng với vụ trộm 50 triệu đô la xảy ra tại một nền tảng DeFi vào ngày 16 tháng 10 năm 2024. Cả hai vụ việc đều liên quan đến việc xâm nhập thiết bị và can thiệp vào giao diện. Xét về việc các cuộc tấn công kiểu này ngày càng trở nên phổ biến, chúng ta cần chú trọng đến hai khía cạnh sau:
1. Phòng ngừa xâm nhập thiết bị
Tăng cường an toàn thiết bị: Thực hiện các chính sách an toàn điểm cuối nghiêm ngặt, triển khai các giải pháp an ninh tiên tiến.
Sử dụng thiết bị ký chuyên dụng: thực hiện ký giao dịch trong môi trường cô lập, tránh sử dụng thiết bị đa năng.
Sử dụng hệ điều hành tạm thời: cấu hình hệ điều hành không bền vững cho các thao tác quan trọng, đảm bảo môi trường sạch sẽ.
Tiến hành mô phỏng tấn công lừa đảo: Định kỳ thực hiện mô phỏng tấn công lừa đảo đối với những nhân viên có rủi ro cao, nâng cao nhận thức về an ninh.
Thực hiện cuộc diễn tập tấn công và phòng thủ đội đỏ: Mô phỏng các tình huống tấn công thực tế, đánh giá và tăng cường các biện pháp an ninh hiện có.
2. Tránh rủi ro ký mù
Chọn nền tảng giao dịch cẩn thận: Chỉ giao dịch với các nền tảng đáng tin cậy, sử dụng dấu trang chính thức để tránh các liên kết lừa đảo.
Xác minh lần hai ví cứng: Xác nhận cẩn thận từng chi tiết giao dịch trên màn hình thiết bị cứng.
Mô phỏng giao dịch: Mô phỏng kết quả giao dịch trước khi ký, xác minh tính chính xác của nó.
Sử dụng công cụ dòng lệnh: Giảm bớt sự phụ thuộc vào giao diện đồ họa, có được cái nhìn dữ liệu giao dịch minh bạch hơn.
Nguyên tắc dừng lại khi có bất thường: Phát hiện bất kỳ bất thường nào thì ngay lập tức dừng ký và khởi động điều tra.
Thực hiện xác thực hai thiết bị: Sử dụng thiết bị độc lập để xác minh dữ liệu giao dịch, tạo ra mã xác minh chữ ký có thể đọc được.
Sự kiện này lại một lần nữa làm nổi bật lỗ hổng nghiêm trọng trong an ninh vận hành của ngành Web3.0. Khi các phương thức tấn công không ngừng nâng cấp, các nền tảng giao dịch và các tổ chức Web3.0 phải nâng cao toàn diện mức độ bảo vệ an ninh, cảnh giác với sự tiến hóa liên tục của các mối đe dọa bên ngoài.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
13 thích
Phần thưởng
13
9
Đăng lại
Chia sẻ
Bình luận
0/400
SignatureAnxiety
· 08-18 22:13
Ký hay không ký khó quá vậy?
Xem bản gốcTrả lời0
AllInDaddy
· 08-18 20:46
Ôi chao, khoản thua lỗ khổng lồ này
Xem bản gốcTrả lời0
ForkThisDAO
· 08-17 20:37
又一个 sàn giao dịch chết tiệt了
Xem bản gốcTrả lời0
RetiredMiner
· 08-17 03:40
Lừa đảo Pig-butchering tiến hóa ra phiên bản Ví lạnh rồi?
Ethereum史上最大安全事件:sàn giao dịchVí lạnh被盗14.6亿美元
Sự kiện an ninh lớn nhất trong lịch sử Ethereum: Ví lạnh của một nền tảng giao dịch bị tổn thất 1,46 tỷ USD
Vào lúc 02:16:11 chiều UTC ngày 21 tháng 2 năm 2025, một Ví lạnh Ethereum của một nền tảng giao dịch nổi tiếng đã bị đánh cắp tài sản do nâng cấp hợp đồng độc hại. CEO của nền tảng này cho biết, kẻ tấn công đã sử dụng phương pháp lừa đảo để khiến người ký Ví lạnh ký nhầm vào giao dịch độc hại. Giao dịch này được ngụy trang thành một hoạt động bình thường, giao diện hiển thị như một giao dịch thông thường, nhưng dữ liệu gửi đến thiết bị phần cứng đã bị thay đổi thành nội dung độc hại. Kẻ tấn công đã thành công trong việc lấy được ba chữ ký hợp lệ, thay thế hợp đồng thực hiện Ví đa chữ ký Safe bằng phiên bản độc hại, từ đó đánh cắp tài sản. Sự kiện này đã gây ra thiệt hại khoảng 1,46 tỷ đô la, trở thành sự cố an ninh lớn nhất trong lịch sử Web3.0.
Phân tích quá trình tấn công
Kẻ tấn công đã triển khai hai hợp đồng độc hại có chức năng cửa hậu chuyển tiền và nâng cấp hợp đồng ba ngày trước khi sự kiện xảy ra.
Ngày 21 tháng 2 năm 2025, kẻ tấn công đã dụ dỗ ba chủ sở hữu ví đa ký ký vào giao dịch độc hại, nâng cấp hợp đồng thực hiện của Safe thành phiên bản độc hại có chứa cửa hậu.
Giá trị của trường "operation" trong giao dịch tấn công là "1", chỉ thị hợp đồng GnosisSafe thực hiện "deleGatecall".
Giao dịch này đã thực hiện một cuộc gọi ủy quyền đến một hợp đồng khác do kẻ tấn công triển khai, trong đó chứa một hàm "transfer()" và khi gọi, nó đã sửa đổi khe lưu trữ đầu tiên của hợp đồng.
Bằng cách sửa đổi ô lưu trữ đầu tiên của hợp đồng Gnosis Safe, kẻ tấn công đã thay đổi địa chỉ hợp đồng thực hiện (tức là địa chỉ "masterCopy").
Phương pháp nâng cấp hợp đồng mà kẻ tấn công sử dụng được thiết kế đặc biệt để tránh gây nghi ngờ. Từ góc độ của người ký, dữ liệu được ký trông giống như một cuộc gọi hàm đơn giản "transfer(address, uint256)", chứ không phải là hàm "nâng cấp" khả nghi.
Hợp đồng thực hiện độc hại đã được nâng cấp bao gồm hàm cửa hậu "sweepETH()" và "sweepERC20()", kẻ tấn công đã chuyển tất cả tài sản trong Ví lạnh bằng cách gọi những hàm này.
Phân tích nguồn gốc lỗ hổng
Nguyên nhân cơ bản của sự kiện này là một cuộc tấn công lừa đảo thành công. Kẻ tấn công đã dụ dỗ người ký ví tiền ký vào dữ liệu giao dịch độc hại, dẫn đến việc hợp đồng bị nâng cấp độc hại, cho phép kẻ tấn công kiểm soát ví lạnh và chuyển toàn bộ tiền.
Theo giải thích của CEO nền tảng này, vào thời điểm xảy ra sự việc, đội ngũ đang thực hiện quy trình chuyển giao tài sản giữa ví lạnh và ví nóng. Ông cho biết, tất cả các người ký đều thấy địa chỉ và dữ liệu giao dịch hiển thị chính xác trên giao diện, và URL đã được xác minh bởi chính thức. Tuy nhiên, khi dữ liệu giao dịch được gửi đến ví cứng để ký, nội dung thực tế đã bị thay đổi. CEO thừa nhận không xác nhận lại chi tiết giao dịch trên giao diện của thiết bị cứng.
Hiện tại, vẫn chưa có kết luận về cách mà kẻ tấn công đã thay đổi giao diện. Có bằng chứng từ các nhà phân tích trên chuỗi cho thấy cuộc tấn công này có thể được lên kế hoạch và thực hiện bởi một tổ chức hacker nổi tiếng.
Bài học và đề xuất phòng ngừa
Sự kiện này có những điểm tương đồng với vụ trộm 50 triệu đô la xảy ra tại một nền tảng DeFi vào ngày 16 tháng 10 năm 2024. Cả hai vụ việc đều liên quan đến việc xâm nhập thiết bị và can thiệp vào giao diện. Xét về việc các cuộc tấn công kiểu này ngày càng trở nên phổ biến, chúng ta cần chú trọng đến hai khía cạnh sau:
1. Phòng ngừa xâm nhập thiết bị
2. Tránh rủi ro ký mù
Sự kiện này lại một lần nữa làm nổi bật lỗ hổng nghiêm trọng trong an ninh vận hành của ngành Web3.0. Khi các phương thức tấn công không ngừng nâng cấp, các nền tảng giao dịch và các tổ chức Web3.0 phải nâng cao toàn diện mức độ bảo vệ an ninh, cảnh giác với sự tiến hóa liên tục của các mối đe dọa bên ngoài.