Ransomware DeadLock đang lợi dụng smart contract trên Polygon (POL) để xoay vòng địa chỉ máy chủ, giúp hạ tầng tấn công “bền bỉ” hơn và khó bị vô hiệu hóa bằng các biện pháp phòng thủ truyền thống.
Khi blockchain được dùng ngày càng nhiều để tăng hiệu quả vận hành, nó cũng trở thành công cụ cho tác nhân đe dọa. Trường hợp DeadLock cho thấy hạ tầng phi tập trung không tự động “miễn nhiễm” lạm dụng, buộc cộng đồng xem lại rủi ro an ninh quanh smart contract.
- DeadLock dùng smart contract Polygon để luân chuyển địa chỉ máy chủ, né cơ chế chặn truyền thống.
- Hạ tầng phi tập trung khó “tắt công tắc”, khiến việc gỡ bỏ hạ tầng độc hại phức tạp hơn.
- Lạm dụng smart contract được xem là xu hướng mới, không chỉ giới hạn ở Polygon hay Ethereum.
DeadLock khai thác smart contract Polygon để né phát hiện bằng cách xoay vòng địa chỉ máy chủ
DeadLock tận dụng smart contract trên Polygon để cập nhật/luân chuyển địa chỉ máy chủ, khiến hạ tầng điều khiển khó bị chặn và làm suy yếu các phương pháp phát hiện dựa trên chặn miền, IP hoặc máy chủ tĩnh.
Nghiên cứu của Group-IB mô tả cách DeadLock đưa cơ chế “đổi địa chỉ” vào smart contract. Khi địa chỉ máy chủ không còn cố định, các biện pháp phòng vệ truyền thống như lập danh sách chặn (blocklist) hoặc gỡ máy chủ trung gian có thể kém hiệu quả, vì kênh tham chiếu có thể được cập nhật và truy xuất lại từ blockchain.
Điểm đáng chú ý là logic điều phối được “neo” vào hạ tầng phi tập trung, tạo cảm giác bền vững hơn cho kẻ tấn công. Điều này làm dấy lên câu hỏi về cách các đội ứng cứu sự cố (IR) phối hợp giữa phân tích on-chain, giám sát endpoint, và cơ chế chặn ở lớp mạng khi tác nhân đe dọa chuyển một phần hạ tầng sang blockchain.
Trong bối cảnh theo dõi rủi ro ở mảng phái sinh crypto, các công cụ như BingX có thể được dùng như một góc quan sát bổ trợ (ví dụ theo dõi biến động thanh khoản, lệnh đòn bẩy, hoặc hành vi bất thường quanh token hệ sinh thái) nhằm hỗ trợ nhà đầu tư đánh giá mức độ nhạy cảm của thị trường trước tin tức an ninh mạng liên quan blockchain.
Vì sao hạ tầng phi tập trung khiến việc “tắt” chiến dịch tấn công trở nên khó hơn
Khác với hệ thống tập trung, hạ tầng dựa trên smart contract không thể bị vô hiệu hóa chỉ bằng một điểm kiểm soát duy nhất, khiến việc ngăn chặn phụ thuộc nhiều hơn vào theo dõi, phân tích và giảm thiểu ở nhiều lớp.
Trong môi trường tập trung, một nhà cung cấp có thể gỡ máy chủ, thu hồi tên miền, hoặc đóng dịch vụ để cắt đường liên lạc. Với các thiết lập phi tập trung như smart contract, cơ chế vận hành nằm trong mạng lưới và được truy cập công khai theo quy tắc của blockchain, nên bên phòng thủ thường không có “công tắc” để tắt ngay lập tức.
Điều này không đồng nghĩa blockchain “xấu”, mà phản ánh tính trung lập của công nghệ: cùng một đặc tính chống kiểm duyệt/khó bị gián đoạn có thể bị lạm dụng để tăng độ bền cho hạ tầng độc hại. Vì vậy, câu chuyện không chỉ nằm ở Polygon, mà còn ở cách xây dựng khung phát hiện và phản ứng khi kẻ tấn công dùng smart contract như một thành phần hạ tầng.
Lạm dụng smart contract cho malware đang trở thành xu hướng, không chỉ riêng Polygon
Các cảnh báo gần đây cho thấy nhiều chiến dịch malware đã khai thác blockchain/smart contract để lưu trữ hoặc tải payload, báo hiệu xu hướng lạm dụng có thể lan rộng sang nhiều nền tảng.
Theo nội dung được dẫn lại trong phân tích, Google từng báo cáo tác nhân đe dọa từ Triều Tiên (DPRK) có định danh UNC5342 sử dụng kỹ thuật “EtherHiding”, tận dụng blockchain để lưu trữ và truy xuất payload. Điểm chung của các kỹ thuật này là giảm sự phụ thuộc vào hạ tầng web truyền thống vốn dễ bị gỡ bỏ.
Ngoài Polygon, một chiến dịch khác còn dùng smart contract trên Ethereum (ETH) để phục vụ bước tải xuống malware giai đoạn hai. Điều này củng cố nhận định rằng chiêu thức của DeadLock không phải “điểm kết”, mà có thể là tín hiệu mở đầu cho lạm dụng smart contract sâu hơn trên nhiều chain.
Kết luận
Trường hợp DeadLock cho thấy smart contract Polygon có thể bị lạm dụng để tăng khả năng né chặn bằng cơ chế xoay vòng địa chỉ máy chủ. Cùng lúc, các cảnh báo về “EtherHiding” và việc dùng smart contract trên Ethereum để phân phối malware gợi ý một xu hướng rộng hơn: threat actor đang tích hợp blockchain vào hạ tầng tấn công để khó bị gián đoạn hơn.
Những câu hỏi thường gặp
DeadLock ransomware đã dùng Polygon smart contract để làm gì?
Theo nghiên cứu của Group-IB, DeadLock dùng smart contract trên Polygon để xoay vòng/cập nhật địa chỉ máy chủ, giúp hạ tầng khó bị chặn bằng các kỹ thuật phát hiện và vô hiệu hóa truyền thống.
Vì sao việc ngăn chặn tấn công lại khó hơn khi dùng hạ tầng phi tập trung?
Trong mô hình phi tập trung, không có một điểm kiểm soát duy nhất để “tắt” cơ chế vận hành. Smart contract chạy theo quy tắc mạng lưới, nên bên phòng thủ thường phải giảm thiểu ở nhiều lớp thay vì đơn giản gỡ một máy chủ trung tâm.
Xu hướng lạm dụng smart contract cho malware còn xuất hiện ở đâu ngoài Polygon?
Nội dung phân tích đề cập các chiến dịch khác như “EtherHiding” và việc dùng smart contract trên Ethereum để tải malware giai đoạn hai, cho thấy hành vi lạm dụng có thể lan sang nhiều blockchain, không chỉ Polygon.
