Hacker đã phát động một cuộc tấn công chuỗi cung ứng quy mô lớn nhằm vào các thư viện JavaScript được sử dụng rộng rãi, đã được tải xuống hàng tỉ lần trên toàn thế giới. Sự cố này có khả năng làm tổn hại đến hàng ngàn dự án crypto và hàng triệu trạm làm việc của nhà phát triển. Tuy nhiên, những kẻ tấn công đã ra đi với một số tiền cười ra nước mắt – dưới 50 đô la Mỹ bằng crypto.
Một cuộc tấn công có thể đã làm rung chuyển thế giới tiền điện tử
Theo các phát hiện từ Security Alliance, các hacker đã truy cập vào tài khoản của một nhà phát triển quản lý các gói NPM và chèn phần mềm độc hại vào các thư viện phổ biến nhằm vào ví tiền điện tử, cụ thể là Ethereum và Solana.
NPM phục vụ cho các nhà phát triển giống như một cửa hàng ứng dụng – một kho lưu trữ trung tâm cho các tiện ích mã nhỏ được sử dụng trong các dự án JavaScript. Các gói bị xâm phạm bao gồm chalk, strip-ansi, và color-convert, các tiện ích được nhúng sâu vào các cây phụ thuộc. Ngay cả những nhà phát triển chưa bao giờ cài đặt chúng trực tiếp cũng có thể đã bị tiếp xúc.
Thiệt hại: Cho đến nay dưới 50 đô la
Các nhà nghiên cứu bảo mật đã xác định một địa chỉ ví Ethereum độc hại duy nhất, 0xFc4a48. Đến nay, nó chỉ thu thập được khoảng 50 đô la tiền điện tử. Chỉ vài giờ trước, số tiền này chỉ là năm xu, cho thấy rằng tổng thiệt hại có thể tăng nhẹ.
“Hãy tưởng tượng điều này: bạn xâm phạm một tài khoản nhà phát triển NPM có hơn hai tỷ lượt tải xuống hàng tuần. Bạn có thể có quyền truy cập không giới hạn vào hàng triệu máy tính của các nhà phát triển. Của cải vô tận đang chờ đợi. Và bạn kiếm được chưa đến 50 đô la,” Security Alliance viết trên X.
Samczsun, một nhà nghiên cứu bảo mật tại SEAL, đã so sánh cuộc tấn công này với việc tìm ra chìa khóa của Fort Knox và sử dụng chúng làm dấu trang: “Phần mềm độc hại đã lan rộng, nhưng vào thời điểm này nó gần như đã bị trung hòa hoàn toàn.”
Cái gì đã bị đánh cắp?
Theo Etherscan, ví độc hại đã nhận được một số lượng nhỏ:
Ethereum (ETH) – chỉ vài xu ban đầuBrett (BRETT)Andy (ANDY)Dork Lord (DORK)Ethervista (VISTA)Gondola (GONDOLA)
Tổng cộng, giá trị không vượt quá $50.
Ai an toàn và ai không?
Cuộc tấn công đã triển khai một phần mềm độc hại crypto clipper được thiết kế để thay thế địa chỉ ví một cách lén lút trong quá trình giao dịch. Điều này có nghĩa là người dùng phải phê duyệt giao dịch độc hại để vụ trộm xảy ra.
May mắn thay, các nhà cung cấp ví tiền điện tử lớn đã nhanh chóng trấn an người dùng:
Ledger và MetaMask xác nhận rằng các ứng dụng của họ không bị ảnh hưởng, dẫn chứng nhiều lớp bảo mật. Phantom Wallet cho biết họ không sử dụng bất kỳ gói nào dễ bị tổn thương. Uniswap báo cáo không có tác động đến các ứng dụng của mình. Các nền tảng không bị ảnh hưởng khác bao gồm Aerodrome, Blast, Blockstream Jade và Revoke.cash.
Theo người sáng lập DefiLlama 0xngmi, chỉ những dự án được cập nhật sau khi gói độc hại được công bố mới có thể gặp rủi ro.
Lời khuyên cho người dùng
Các chuyên gia, bao gồm CTO của Ledger Charles Guillemet, đã kêu gọi người dùng tiền điện tử phải hết sức thận trọng khi phê duyệt các giao dịch trên chuỗi. Một số người thậm chí còn đề xuất tạm thời tránh các trang web tiền điện tử cho đến khi các nhà phát triển hoàn toàn loại bỏ các gói bị xâm phạm.
Kết luận
Cuộc tấn công NPM đã làm nổi bật mức độ dễ bị tổn thương của chuỗi cung ứng phần mềm – ngay cả đối với các dự án chưa bao giờ sử dụng mã bị xâm phạm. Thật mỉa mai, nó trở thành một trong những cuộc tấn công kém có lãi nhất trong lịch sử tiền điện tử. Mặc dù tổn thất tiềm năng có thể lên tới hàng triệu, nhưng những kẻ tấn công chỉ thu được vài chục đô la.
Luôn đi trước một bước – theo dõi hồ sơ của chúng tôi và cập nhật thông tin về mọi thứ quan trọng trong thế giới tiền điện tử!
Thông báo:
,,Thông tin và quan điểm được trình bày trong bài viết này chỉ nhằm mục đích giáo dục và không nên được coi là lời khuyên đầu tư trong bất kỳ tình huống nào. Nội dung của các trang này không nên được coi là lời khuyên tài chính, đầu tư hoặc bất kỳ hình thức lời khuyên nào khác. Chúng tôi cảnh báo rằng việc đầu tư vào tiền điện tử có thể rủi ro và có thể dẫn đến tổn thất tài chính.“
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Cuộc tấn công NPM lớn nhất trong lịch sử Tiền điện tử đã đánh cắp ít hơn 50$
Hacker đã phát động một cuộc tấn công chuỗi cung ứng quy mô lớn nhằm vào các thư viện JavaScript được sử dụng rộng rãi, đã được tải xuống hàng tỉ lần trên toàn thế giới. Sự cố này có khả năng làm tổn hại đến hàng ngàn dự án crypto và hàng triệu trạm làm việc của nhà phát triển. Tuy nhiên, những kẻ tấn công đã ra đi với một số tiền cười ra nước mắt – dưới 50 đô la Mỹ bằng crypto.
Một cuộc tấn công có thể đã làm rung chuyển thế giới tiền điện tử Theo các phát hiện từ Security Alliance, các hacker đã truy cập vào tài khoản của một nhà phát triển quản lý các gói NPM và chèn phần mềm độc hại vào các thư viện phổ biến nhằm vào ví tiền điện tử, cụ thể là Ethereum và Solana. NPM phục vụ cho các nhà phát triển giống như một cửa hàng ứng dụng – một kho lưu trữ trung tâm cho các tiện ích mã nhỏ được sử dụng trong các dự án JavaScript. Các gói bị xâm phạm bao gồm chalk, strip-ansi, và color-convert, các tiện ích được nhúng sâu vào các cây phụ thuộc. Ngay cả những nhà phát triển chưa bao giờ cài đặt chúng trực tiếp cũng có thể đã bị tiếp xúc.
Thiệt hại: Cho đến nay dưới 50 đô la Các nhà nghiên cứu bảo mật đã xác định một địa chỉ ví Ethereum độc hại duy nhất, 0xFc4a48. Đến nay, nó chỉ thu thập được khoảng 50 đô la tiền điện tử. Chỉ vài giờ trước, số tiền này chỉ là năm xu, cho thấy rằng tổng thiệt hại có thể tăng nhẹ. “Hãy tưởng tượng điều này: bạn xâm phạm một tài khoản nhà phát triển NPM có hơn hai tỷ lượt tải xuống hàng tuần. Bạn có thể có quyền truy cập không giới hạn vào hàng triệu máy tính của các nhà phát triển. Của cải vô tận đang chờ đợi. Và bạn kiếm được chưa đến 50 đô la,” Security Alliance viết trên X. Samczsun, một nhà nghiên cứu bảo mật tại SEAL, đã so sánh cuộc tấn công này với việc tìm ra chìa khóa của Fort Knox và sử dụng chúng làm dấu trang: “Phần mềm độc hại đã lan rộng, nhưng vào thời điểm này nó gần như đã bị trung hòa hoàn toàn.”
Cái gì đã bị đánh cắp? Theo Etherscan, ví độc hại đã nhận được một số lượng nhỏ: Ethereum (ETH) – chỉ vài xu ban đầuBrett (BRETT)Andy (ANDY)Dork Lord (DORK)Ethervista (VISTA)Gondola (GONDOLA) Tổng cộng, giá trị không vượt quá $50.
Ai an toàn và ai không? Cuộc tấn công đã triển khai một phần mềm độc hại crypto clipper được thiết kế để thay thế địa chỉ ví một cách lén lút trong quá trình giao dịch. Điều này có nghĩa là người dùng phải phê duyệt giao dịch độc hại để vụ trộm xảy ra. May mắn thay, các nhà cung cấp ví tiền điện tử lớn đã nhanh chóng trấn an người dùng: Ledger và MetaMask xác nhận rằng các ứng dụng của họ không bị ảnh hưởng, dẫn chứng nhiều lớp bảo mật. Phantom Wallet cho biết họ không sử dụng bất kỳ gói nào dễ bị tổn thương. Uniswap báo cáo không có tác động đến các ứng dụng của mình. Các nền tảng không bị ảnh hưởng khác bao gồm Aerodrome, Blast, Blockstream Jade và Revoke.cash. Theo người sáng lập DefiLlama 0xngmi, chỉ những dự án được cập nhật sau khi gói độc hại được công bố mới có thể gặp rủi ro.
Lời khuyên cho người dùng Các chuyên gia, bao gồm CTO của Ledger Charles Guillemet, đã kêu gọi người dùng tiền điện tử phải hết sức thận trọng khi phê duyệt các giao dịch trên chuỗi. Một số người thậm chí còn đề xuất tạm thời tránh các trang web tiền điện tử cho đến khi các nhà phát triển hoàn toàn loại bỏ các gói bị xâm phạm.
Kết luận Cuộc tấn công NPM đã làm nổi bật mức độ dễ bị tổn thương của chuỗi cung ứng phần mềm – ngay cả đối với các dự án chưa bao giờ sử dụng mã bị xâm phạm. Thật mỉa mai, nó trở thành một trong những cuộc tấn công kém có lãi nhất trong lịch sử tiền điện tử. Mặc dù tổn thất tiềm năng có thể lên tới hàng triệu, nhưng những kẻ tấn công chỉ thu được vài chục đô la.
#CyberSecurity , #Hack , #Cryptoscam , #An Ninh Mạng , #CryptoNews
Luôn đi trước một bước – theo dõi hồ sơ của chúng tôi và cập nhật thông tin về mọi thứ quan trọng trong thế giới tiền điện tử! Thông báo: ,,Thông tin và quan điểm được trình bày trong bài viết này chỉ nhằm mục đích giáo dục và không nên được coi là lời khuyên đầu tư trong bất kỳ tình huống nào. Nội dung của các trang này không nên được coi là lời khuyên tài chính, đầu tư hoặc bất kỳ hình thức lời khuyên nào khác. Chúng tôi cảnh báo rằng việc đầu tư vào tiền điện tử có thể rủi ro và có thể dẫn đến tổn thất tài chính.“