Tài khoản X chính thức của BNB Chain bị chiếm quyền, kẻ tấn công phát tán liên kết lừa đảo mạo danh yêu cầu WalletConnect, đe dọa ví tiền điện tử của người dùng.
CZ xác nhận vụ việc, kêu gọi không tương tác và không kết nối ví. Đội ngũ BNB Chain đã báo cho X, yêu cầu khóa tài khoản, khôi phục quyền truy cập và gửi yêu cầu gỡ các trang phishing.
- Tài khoản X của BNB Chain bị chiếm quyền, phát tán liên kết phishing giả mạo WalletConnect; CZ cảnh báo cộng đồng.
- Kỹ thuật mạo danh dùng hoán đổi ký tự (i/l) và có liên hệ đến nhóm drainer Inferno, theo chuyên gia của SlowMist.
- Bài học: không tin tuyệt đối vào tài khoản có dấu xác minh, kiểm tra tên miền kỹ, hạn chế quyền ví và báo cáo, gỡ bỏ nhanh.
Chuyện gì đã xảy ra với tài khoản X của BNB Chain?
Tài khoản X chính thức của BNB Chain với gần bốn triệu người theo dõi bị chiếm quyền vào thứ 4. Kẻ tấn công đăng liên kết phishing nhắm vào ví tiền điện tử. CZ xác nhận, khuyến cáo người dùng không tương tác và không kết nối ví.
Theo cập nhật, đội an ninh BNB Chain đã thông báo cho X, tiến hành tạm ngưng và khôi phục quyền truy cập, đồng thời gửi yêu cầu gỡ các trang phishing. Tại thời điểm ghi nhận, các bài đăng độc hại đã bị ẩn, chưa rõ có người dùng nào kết nối ví hoặc thiệt hại tài sản.
Vì sao các liên kết giả mạo WalletConnect đặc biệt nguy hiểm?
Kẻ tấn công lợi dụng lời nhắc kết nối ví qua WalletConnect để lừa người dùng ký, cấp quyền, từ đó rút tài sản bằng công cụ drainer. Dạng phishing này nguy hiểm vì khi quyền đã được cấp, kẻ xấu có thể thực thi giao dịch ngoài ý muốn.
Chuyên gia SlowMist cho biết thủ thuật hoán đổi ký tự trong tên miền khiến người dùng lầm tưởng là trang chính chủ. Thói quen “bấm nhanh, ký nhanh” trên ví di động càng làm tăng rủi ro. Cần kiểm tra kỹ tên miền, luồng kết nối và quyền truy cập trước khi ký.
“Tài khoản X tiếng Anh của BNB Chain đã bị hack. Trang phishing đổi chữ i thành l trong tên miền.”
– 23pds, CISO SlowMist, thứ 4, nguồn: X (@im23pds)
Nhóm Inferno Drainer là gì?
Chuyên gia SlowMist gợi ý miền độc hại có liên hệ đến nhóm Inferno, một dịch vụ phishing-as-a-service xuất hiện khoảng năm 2022 và nổi lên trong năm 2023. Mô hình này cung cấp bộ giao diện lừa đảo sẵn có cho cộng tác viên.
Thay vì tấn công kỹ thuật sâu, drainer khai thác yếu tố con người: giả giao diện dự án nổi tiếng, yêu cầu “connect”/“approve” để chiếm quyền. Nhiều báo cáo an ninh độc lập đã cảnh báo sự bùng phát của mô hình drainer trong hệ sinh thái tiền điện tử, nhấn mạnh kiểm tra quyền ví là tuyến phòng thủ tối quan trọng.
CZ cảnh báo người dùng cần kiểm tra tên miền kỹ như thế nào?
CZ kêu gọi cộng đồng luôn kiểm tra tên miền thật kỹ, kể cả khi liên kết đến từ tài khoản chính thức hoặc có xác minh. Lưu ý không kết nối ví khi thấy yêu cầu WalletConnect khả nghi.
“Kẻ tấn công đã đăng hàng loạt liên kết đến các website phishing yêu cầu WalletConnect. Đừng kết nối ví của bạn.”
– Changpeng Zhao (CZ), Nhà sáng lập Binance, thứ 4, nguồn: X (@cz_binance)
Thực hành an toàn đề xuất: gõ trực tiếp tên miền dự án thay vì bấm link; soát từng ký tự tên miền; so khớp chứng chỉ TLS; chỉ ký giao dịch khi đọc rõ nội dung, hạn và contract; ưu tiên danh sách cho phép (allowlist) địa chỉ đã tin cậy trên ví.
Sự cố này cho thấy điều gì về phòng vệ tài khoản mạng social?
Sự cố nhấn mạnh rủi ro chiếm quyền tài khoản tổ chức, kể cả tài khoản có dấu xác minh. Vectors phổ biến gồm lừa đảo nhân viên, SIM swap, mã độc trình duyệt và chiếm cookie phiên.
Khuyến nghị ở cấp tổ chức: dùng khóa bảo mật FIDO2 cho đăng nhập và khôi phục, bật xác thực đa yếu tố, quản trị quyền theo nguyên tắc tối thiểu, nhật ký truy cập tập trung, quy trình phê duyệt nội dung đa lớp, cảnh báo bất thường theo thời gian thực. Tài khoản quản trị nên tách biệt, bật bảo vệ nâng cao nếu nền tảng hỗ trợ.
Đội ngũ BNB Chain đã phản ứng ra sao và vì sao các bước này quan trọng?
BNB Chain cho biết đã liên hệ X để khóa, khôi phục tài khoản và nộp yêu cầu gỡ bỏ trang phishing. Đây là chuỗi hành động chuẩn khi xảy ra chiếm quyền: kiểm soát kênh, cắt nguồn phát tán, giảm thiểu thiệt hại.
Song song, việc cảnh báo cộng đồng sớm giúp giảm tỷ lệ nạn nhân. Tổ chức nên: xoay vòng khóa API, kiểm tra máy trạm liên quan, thu hồi Token phiên, rà soát đăng nhập lạ, thông báo minh bạch và cập nhật tiến độ. Sau đó thực hiện đánh giá nguyên nhân gốc để gia cố phòng tuyến.
Thiệt hại đã xảy ra chưa và rủi ro còn lại là gì?
Tại thời điểm ghi nhận, bài đăng độc hại đã biến mất và chưa có xác nhận thiệt hại. Tuy nhiên, thời gian phơi nhiễm ngắn vẫn đủ để một số người dùng kết nối ví nếu không cảnh giác.
Rủi ro tồn đọng gồm: liên kết mirror của trang phishing, tài khoản giả mạo khác tiếp tục khuếch tán, và nạn nhân chưa biết cách thu hồi quyền đã cấp. Người dùng nên kiểm tra, thu hồi các quyền Approve/Permit đã lạ, thay đổi private RPC, và tách quỹ: ví lạnh lưu trữ, ví nóng chi tiêu nhỏ.
Làm sao nhận diện nhanh liên kết giả mạo trong trường hợp tương tự?
Các dấu hiệu kỹ thuật và hành vi giúp sàng lọc nhanh: kiểm tra ký tự tên miền, nguồn chứng chỉ, nội dung yêu cầu ký, và bối cảnh thông báo. HTTPS không đồng nghĩa an toàn; cần đối chiếu nhiều chỉ báo.
Đối với lời nhắc WalletConnect, ưu tiên khởi tạo kết nối từ dApp chính chủ, không bấm từ liên kết đẩy trên mạng social. Đọc kỹ quyền cấp: TransferFrom/Permit2/SetApprovalForAll hoặc yêu cầu “unlimited” là các cảnh báo đỏ mạnh.
| Dấu hiệu | Hợp lệ | Giả mạo/phishing |
|---|---|---|
| Tên miền | Đúng chính tả, không ký tự gần giống | Hoán đổi i/l, rn/m, thêm dấu gạch hoặc subdomain lạ |
| Luồng kết nối | Khởi tạo từ dApp chính thức | Yêu cầu WalletConnect từ liên kết mạng social |
| Nội dung ký | Giới hạn quyền, có mục đích rõ ràng | Quyền rộng, không giải thích, “unlimited” |
| Chứng chỉ/TLS | CN khớp tên miền, tổ chức uy tín | CN không khớp, chứng chỉ mới tạo, CA lạ |
| Ngữ cảnh | Thông báo đa kênh, blog chính thức | “Khuyến mãi khẩn”, yêu cầu hành động tức thì |
Những câu hỏi thường gặp
Nếu tôi đã bấm liên kết và kết nối ví thì cần làm gì ngay?
Ngắt kết nối, thu hồi quyền Approve/Permit/SetApprovalForAll trên ví và các công cụ kiểm tra quyền đáng tin cậy, sau đó chuyển tài sản sang ví mới an toàn. Đổi seed là bắt buộc nếu nghi lộ khóa.
Dấu xác minh trên X có đủ để tin cậy liên kết không?
Không. Tài khoản xác minh vẫn có thể bị chiếm quyền. Luôn gõ trực tiếp tên miền dự án hoặc truy cập từ trang web đã lưu dấu và kiểm tra từng ký tự tên miền.
Làm sao nhận biết thủ thuật đổi chữ i và l trong tên miền?
Phóng to thanh địa chỉ, đổi font hiển thị, sao chép tên miền dán vào trình soát plain-text, và so sánh với tên miền chính thức đã lưu sẵn. Cảnh giác với subdomain dài bất thường.
Tôi có nên ký yêu cầu WalletConnect khi thấy trên mạng social?
Không. Chỉ khởi tạo kết nối từ dApp chính chủ. Kiểm tra quyền ký, địa chỉ hợp đồng và mục đích giao dịch trước khi xác nhận.
Tổ chức nên bảo vệ tài khoản X thế nào để tránh bị chiếm quyền?
Dùng khóa bảo mật FIDO2, bật xác thực đa yếu tố, giới hạn quyền quản trị, quy trình phê duyệt nội dung hai lớp, giám sát đăng nhập bất thường, và đào tạo nhận diện phishing cho đội ngũ.
