SlowMist cho biết không phát hiện lỗi trên giao thức Venus hay giao diện trước, song các đối tác nghi ngờ phần mở rộng ví trên máy tính của nhà đầu tư đã bị thay thế độc hại, khiến thao tác “redeemUnderlying” bị biến đổi thành “updateDelegate” và dẫn tới việc thất thoát tài sản.
Sự việc được mô tả là hacker chuyển một phần nguồn tiền qua sàn XMR và một sàn nền tối bị trừng phạt tên eXch; điều tra đang tập trung vào mã mở rộng ví và quy trình ký giao dịch trên máy tính của các nhà đầu tư lớn.
- SlowMist không phát hiện bất thường ở giao thức Venus hay front-end.
- Phần mở rộng ví trên máy tính có thể đã bị thay thế, làm sai lệch thao tác “redeemUnderlying”.
- Một phần quỹ của hacker được chuyển qua sàn XMR và sàn tối eXch.
Tổng quan sự cố
Không tìm thấy điểm bất thường trên hợp đồng Venus hay giao diện người dùng, theo thông tin từ bên điều tra bảo mật.
Dù giao thức và front-end được xác minh, thiệt hại vẫn xảy ra do khả năng bị can thiệp ở lớp phần mềm ví trên máy tính người dùng, không phải do lỗ hổng trực tiếp của giao thức.
Cơ chế tấn công được nghi ngờ
Đối tác điều tra cho rằng phần mở rộng ví trên máy tính của nhà đầu tư lớn bị thay thế độc hại, khiến thao tác “redeemUnderlying” bị thay đổi thành “updateDelegate”.
Khi phần mở rộng bị thay thế, các giao dịch ký bởi người dùng có thể bị chỉnh sửa trước khi gửi tới giao thức, cho phép hacker tái ủy quyền hoặc chuyển Token mà chủ ví không biết.
Nguồn quỹ và đường đi của kẻ tấn công
Một phần quỹ của hacker được báo cáo chuyển từ sàn XMR và một sàn tối mang tên eXch, cho thấy họ sử dụng kênh ẩn danh để rửa tài sản.
Việc chia nhỏ, chuyển đổi qua các nền tảng ẩn danh làm tăng độ khó truy vết; điều tra cần tập trung vào dấu vết đầu vào và điểm rút tiền để xác định chuỗi chuyển tiền.
Sự an toàn của ví phần cứng có đảm bảo?
Ví phần cứng an toàn hơn nhưng vẫn rủi ro nếu phần mềm mở rộng trên máy tính bị thay thế hoặc trình duyệt bị tấn công; kiểm tra chuỗi ký là cần thiết.
Làm sao phát hiện phần mở rộng ví bị thay thế?
Kiểm tra chữ ký, mã nguồn mở của tiện ích và đối chiếu với bản chính thức; lưu ý thông báo cập nhật bất thường hoặc hành vi yêu cầu ủy quyền khác thường.
Người dùng nên làm gì ngay sau khi phát hiện mất tài sản?
Ngắt kết nối ví, báo với đội bảo mật dự án và sàn liên quan, thu thập log, sao lưu dữ liệu và hợp tác với điều tra để truy vết giao dịch.
