Phân tích sự kiện tấn công Hacker quy mô lớn nhất trong lĩnh vực Web3

Vào ngày 21 tháng 2 năm 2025, một nền tảng giao dịch nổi tiếng đã bị tấn công nghiêm trọng vào ví lạnh Ethereum, khoảng 401,346 ETH, 15,000 cmETH, 8,000 mETH, 90,375 stETH và 90 USDT đã được chuyển đến địa chỉ không xác định, tổng giá trị khoảng 14.6 tỷ USD.

Kẻ tấn công đã sử dụng các phương thức lừa đảo được thiết kế tinh vi để khiến người ký của ví đa chữ ký của nền tảng phê duyệt giao dịch độc hại. Quá trình tấn công như sau:

1. Kẻ tấn công triển khai trước một hợp đồng độc hại có chứa cửa hậu chuyển tiền.
2. Can thiệp vào giao diện trước của Safe, để thông tin giao dịch mà người ký thấy không nhất quán với dữ liệu thực tế gửi đến ví phần cứng.
3. Thông qua giao diện giả mạo để lấy ba chữ ký hợp lệ, thay thế hợp đồng thực hiện ví đa chữ ký Safe bằng hợp đồng độc hại, từ đó kiểm soát ví lạnh và chuyển tiền.

Nền tảng bị tấn công đã ủy thác cho Sygnia tiến hành điều tra lấy chứng cứ, nhằm xác định nguyên nhân gốc rễ của cuộc tấn công, nhận diện phạm vi và nguồn gốc của cuộc tấn công, cũng như xây dựng chiến lược giảm thiểu rủi ro. Kết quả điều tra cho thấy:

• Tài nguyên trong bucket AWS S3 của Safe đã bị tiêm mã JavaScript độc hại.
• Thời gian sửa đổi tài nguyên và hồ sơ lịch sử mạng cho thấy mã độc đã được tiêm trực tiếp vào kho lưu trữ AWS S3 của Safe.
• Mã JavaScript được tiêm vào nhằm thao túng giao dịch, thay đổi nội dung giao dịch trong quá trình ký.
• Mã độc có điều kiện kích hoạt cụ thể, chỉ được thực thi khi nguồn giao dịch khớp với địa chỉ hợp đồng cụ thể.
• Sau hai phút thực hiện giao dịch ác ý, tài nguyên JavaScript phiên bản cập nhật đã được tải lên, xóa bỏ mã độc.
• Bằng chứng ban đầu chỉ ra rằng cuộc tấn công xuất phát từ cơ sở hạ tầng AWS của Safe.
• Hiện tại chưa phát hiện dấu hiệu nền tảng bị xâm nhập.

Sự kiện này đã phơi bày những vấn đề sâu sắc trong quản lý an ninh và kiến trúc công nghệ của ngành công nghiệp tiền điện tử. Vấn đề chính là dịch vụ lưu trữ AWS bị xâm nhập, dẫn đến việc JavaScript bị sửa đổi, khiến nội dung giao dịch do front-end Safe phát起 bị thay đổi. Nếu front-end Safe thực hiện xác minh SRI cơ bản, ngay cả khi JavaScript bị sửa đổi, cũng có thể tránh được sự cố như vậy. Đồng thời, nền tảng bị ảnh hưởng đã không xác minh đầy đủ thông tin giao dịch trước khi xác nhận khi sử dụng ví phần cứng, sự tin tưởng quá mức vào front-end Safe cũng là một vấn đề then chốt.

Ví phần cứng có những hạn chế trong việc xử lý các giao dịch phức tạp, không thể phân tích và hiển thị đầy đủ dữ liệu giao dịch chi tiết của ví nhiều chữ ký, dẫn đến việc người ký thực hiện "ký mù" mà không hoàn toàn xác minh nội dung giao dịch.

Với sự phát triển nhanh chóng của công nghệ Web3, ranh giới giữa an ninh frontend và an ninh blockchain ngày càng mờ nhạt. Các lỗ hổng frontend truyền thống (như XSS, CSRF) xuất hiện những chiều hướng tấn công mới trong môi trường Web3, trong khi các vấn đề như lỗ hổng hợp đồng thông minh, thiếu sót trong quản lý khóa riêng càng làm gia tăng rủi ro.

Để đối phó với những thách thức này, ngành công nghiệp cần thực hiện các biện pháp sau:

1. Thực hiện xác minh chữ ký có cấu trúc EIP-712, đảm bảo rằng dữ liệu có thể xác minh được được tạo ra từ phía trước, và hợp đồng thông minh xác minh chữ ký.
2. Nâng cấp firmware ví phần cứng, hỗ trợ EIP-712, và thực thi kiểm tra ngữ nghĩa trên chuỗi.
3. Nâng cao toàn diện an toàn thiết bị, xác thực giao dịch và cơ chế quản lý rủi ro.
4. Phát triển front-end cần phải xác minh nghiêm ngặt các bước như truy cập DApp, kết nối ví, ký tin nhắn, ký giao dịch và xử lý sau giao dịch.
5. Thực hiện kiểm toán an ninh hợp đồng trên chuỗi định kỳ.

Chỉ có thông qua các biện pháp an ninh đa tầng và toàn diện, mới có thể bảo vệ hiệu quả giá trị và sự tin cậy của mỗi giao dịch trong môi trường mở của Web3, đạt được sự chuyển đổi từ "sửa chữa thụ động" sang "miễn dịch chủ động".