Cảnh báo hình thức tấn công mới trong hệ sinh thái Web3

Một chiến thuật tấn công mới đang được tin tặc sử dụng thông qua cách thức "giả mạo mô phỏng giao dịch" để đánh cắp tiền điện tử, mới đây trên ScamSniffer (trang web chuyên đăng tải các bài báo về phòng, chống lừa đảo mạng) đã công bố một vụ tấn công sử dụng hình thức này gât thiệt hại 143,45 Ethereum (ETH) với trị giá khoảng 460.000 USD.

Quy trình tấn công mô phỏng giao dịch

Mô phỏng giao dịch: Đây là tính năng cho phép người dùng xem trước kết quả dự kiến của một giao dịch trên Blockchain trước khi ký và thực hiện, nhằm tăng cường bảo mật và minh bạch.

Hình 1. Quy trình tấn công mô phỏng giao dịch trên chuỗi khối blockchain

Giai đoạn đầu, kẻ tấn công sử dụng một trang web lừa đảo (phishing site) được thiết kế giống hệt một ứng dụng phi tập trung (DApp) hợp pháp với mục tiêu lừa nạn nhân truy cập và thực hiện tương tác với trang web độc hại. Sau khi nạn nhân bắt đầu giao dịch, trang web hiển thị bản mô phỏng giao dịch. Mô phỏng cho thấy một trạng thái giao dịch "an toàn" (ví dụ: nhận 0.0001 ETH) để tạo niềm tin cho nạn nhân. Trong khoảng thời gian với độ trễ giữa mô phỏng giao dịch và việc ký giao dịch thực tế, kẻ tấn công thay đổi trạng thái hợp đồng thông minh (Smart Contract) trên chuỗi Blockchain. Hợp đồng được sửa đổi để thay vì chuyển một lượng nhỏ ETH, nó sẽ chuyển toàn bộ tài sản của nạn nhân đến ví của kẻ tấn công. Đây là bước chính trong chuỗi tấn công, khai thác lỗ hổng trong quy trình xử lý giao dịch. Nạn nhân xem xét thông tin giao dịch (không nhận ra nó đã bị thay đổi) và ký giao dịch bằng chữ ký điện tử của mình. Chữ ký của nạn nhân đóng vai trò xác thực, cho phép giao dịch được xử lý.

Sau khi giao dịch được xác nhận trên Blockchain, toàn bộ tài sản từ ví của nạn nhân bị rút và chuyển đến ví của kẻ tấn công. Quy trình tấn công này khai thác sự tin tưởng vào mô phỏng giao dịch và lợi dụng khoảng thời gian giữa các bước xử lý giao dịch trên Blockchain. Nó nhấn mạnh rủi ro trong việc tương tác với các DApp không đáng tin cậy hoặc không hiểu rõ cơ chế hoạt động của giao dịch trên Web3 với nền tảng là chuỗi khối Blockchain.

Khuyến nghị bảo mật

Cảnh giác với các trang web lạ: Tránh truy cập và tương tác với các trang web không rõ nguồn gốc hoặc đáng ngờ.

Kiểm tra kỹ giao dịch: Luôn xem xét cẩn thận các chi tiết giao dịch trước khi phê duyệt, đặc biệt là các giao dịch yêu cầu quyền truy cập vào toàn bộ số dư trong ví điện tử.

Cập nhật ví điện tử thường xuyên: Đảm bảo rằng ví điện tử và các công cụ liên quan luôn được cập nhật lên phiên bản mới nhất để giảm thiểu rủi ro từ các lỗ hổng bảo mật.

Sử dụng các biện pháp bảo mật bổ sung: Xem xét việc sử dụng hardware wallet và các biện pháp xác thực hai yếu tố để tăng cường bảo mật.

Việc nhận thức và áp dụng các biện pháp bảo mật này sẽ giúp người dùng bảo vệ tài sản tiền điện tử của mình trước các mối đe dọa ngày càng tinh vi trong hệ sinh thái Web3.