
AI đổi mặt, bẫy plugin, hai sự cố an toàn khiến người dùng thiệt hại hơn chục triệu
Tuyển chọn TechFlowTuyển chọn TechFlow

AI đổi mặt, bẫy plugin, hai sự cố an toàn khiến người dùng thiệt hại hơn chục triệu
An toàn quan trọng hơn nhiều so với hiệu suất hoặc lợi nhuận, đây có lẽ cũng là một trong những lý do khiến thế giới tiền mã hóa tự xưng phi tập trung khó có thể tách khỏi sự kiểm soát tập trung.
Tác giả:陀螺财经
Sự cố an ninh vốn không hiếm trong tài chính truyền thống, và trong thế giới tiền mã hóa ẩn danh như khu rừng tối tăm, hiện tượng này còn phổ biến hơn.
Dữ liệu cho thấy, riêng tháng 5 vừa qua, lĩnh vực tiền mã hóa đã ghi nhận 37 sự cố an ninh điển hình, với tổng thiệt hại do tin tặc tấn công, lừa đảo钓鱼 và Rug Pull lên tới 154 triệu USD, tăng khoảng 52,5% so với tháng 4.
Chỉ đến ngày 3 tháng 6, hai sự cố an ninh tiếp tục xảy ra. Khác biệt nhỏ so với các sự kiện trước là cả hai đều liên quan đến các sàn giao dịch lớn, quá trình diễn ra cũng khá ly kỳ, chỉ có điều kết cục thì người vui kẻ buồn.
Ngày 3 tháng 6, một bài viết dài của người dùng có tên Nakamao trên nền tảng X lan truyền chóng mặt. Trong bài, anh ta nói rằng "bản thân đã trở thành nạn nhân trong giới tiền mã hóa, 1 triệu USD trong tài khoản Binance bốc hơi hoàn toàn". Qua lời kể chậm rãi, chuỗi vụ trộm cắp do tin tặc thực hiện từng bước được hé lộ.
Theo mô tả, vào ngày 24 tháng 5, khi Nakamao đang đi làm, mọi thiết bị liên lạc vẫn ở bên người. Nhưng ngay trong tình huống tưởng chừng an toàn tuyệt đối này, tin tặc vẫn đánh cắp toàn bộ số tiền trong tài khoản mà không cần mật khẩu hay xác thực hai yếu tố (2FA) từ tài khoản Binance, thông qua giao dịch khớp lệnh.

Giao dịch khớp lệnh (đối tiêu), nói đơn giản là thực hiện giao dịch lớn trong cặp giao dịch thanh khoản thấp, bên mua lớn thu mua để tiếp nhận lượng bán tháo từ tài khoản hacker, cuối cùng bên đó thu về đồng coin rác hoặc stablecoin thật sự, còn người mua nhận lại lượng coin rác từ người bán. Hình thức đánh cắp này không hiếm trên sàn giao dịch; năm 2022, FTX từng mất tới 6 triệu USD do rò rỉ API KEY của 3commas theo cách này, khi đó SBF dùng tiền mặt để bù đắp sự việc. Sau đó, Binance cũng từng xảy ra nhiều vụ giao dịch khớp lệnh quy mô lớn. Tuy nhiên điểm độc ác của phương thức này là đối với các sàn kiểm soát rủi ro kém, hành vi này trông giống như giao dịch bình thường, không có dấu hiệu bất thường nào để phát hiện trộm cắp.
Trong vụ việc này, các cặp QTUM/BTC, DASH/BTC, PYR/BTC, ENA/USDC và NEO/USDC đã được chọn, tin tặc sử dụng khoản tiền lớn của người dùng để mua vào khiến giá tăng hơn 20%. Mọi thao tác của tin tặc, người dùng hoàn toàn không hay biết, mãi đến hơn một giờ sau khi kiểm tra tài khoản mới phát hiện sự bất thường.
Theo phản hồi từ công ty an ninh, tin tặc đã chiếm quyền cookie trình duyệt để điều khiển tài khoản người dùng. Nói đơn giản là lợi dụng dữ liệu đầu cuối được lưu trên phiên bản web. Ví dụ điển hình là khi chúng ta truy cập một trang web, không cần nhập mật khẩu vì lịch sử truy cập và cài đặt mặc định đã được lưu trước đó.
Đến đây, có thể coi chỉ là sơ suất cá nhân người dùng. Nhưng sau đó, sự việc trở nên kỳ lạ hơn. Ngay sau khi bị mất tiền, Nakamao lập tức liên hệ đội chăm sóc khách hàng và Hà Nhất – đồng sáng lập Binance, gửi UID cho đội an ninh, hy vọng khóa được tài sản của tin tặc trong thời gian ngắn. Tuy nhiên, nhân viên Binance mất tới một ngày mới thông báo cho Kucoin và Gate. Không ngoài dự đoán, lúc đó tiền của tin tặc đã biến mất sạch sẽ. Điều đáng nói là tin tặc chỉ dùng một tài khoản duy nhất, không phân tán, nhưng vẫn rút toàn bộ tiền khỏi Binance thành công. Trong suốt quá trình này, người dùng không nhận được bất kỳ cảnh báo an ninh nào. Thậm chí còn mỉa mai hơn, do có giao dịch lớn, hôm sau Binance còn gửi email mời người dùng trở thành market maker giao ngay.
Trong quá trình rà soát lại, một tiện ích mở rộng Chrome bình thường mang tên Aggr lại lọt vào tầm ngắm của Nakamao. Tiện ích này dùng để xem dữ liệu thị trường, theo nạn nhân mô tả, anh thấy nhiều KOL nước ngoài quảng bá nó trong vài tháng liền, nên vì nhu cầu cá nhân đã tải về sử dụng.
Ở đây giải thích sơ lược: tiện ích mở rộng về bản chất có thể thực hiện nhiều thao tác. Về lý thuyết, chúng không chỉ có thể đăng nhập tài khoản giao dịch thông qua phần mở rộng độc hại, truy cập thông tin tài khoản và thực hiện giao dịch, mà còn có thể rút tiền và thay đổi cài đặt tài khoản. Nguyên nhân cốt lõi nằm ở chỗ tiện ích mở rộng có quyền truy cập rộng, có thể thao tác yêu cầu mạng, truy cập bộ nhớ trình duyệt, điều khiển clipboard và nhiều chức năng khác.
Sau khi phát hiện tiện ích có vấn đề, Nakamao lập tức tìm KOL để hỏi và cảnh báo họ yêu cầu người dùng ngừng sử dụng tiện ích này. Nhưng không ngờ, "quả boomerang" ngay lúc này bay trúng chính Binance. Theo lời kể ban đầu của Nakamao, Binance trước đó đã biết về vấn đề của tiện ích này, hồi tháng 3 năm nay từng xảy ra vụ tương tự, và Binance cũng đã lần ra được tin tặc. Có thể để tránh động thái vội vàng, họ không thông báo kịp thời dừng sản phẩm, thậm chí còn để KOL tiếp tục liên lạc với tin tặc, và trong giai đoạn này, Nakamao trở thành nạn nhân tiếp theo.
Chỉ cần cookie là có thể đăng nhập và giao dịch, rõ ràng cơ chế của Binance cũng có vấn đề nhất định. Tuy nhiên, bản thân sự việc thực tế do sơ suất người dùng gây ra, việc truy cứu trách nhiệm trở nên khó khăn.
Quả nhiên, phản hồi sau đó của Binance lại gây chấn động trên thị trường. Ngoài tài khoản chính thức phân tích nguyên nhân do tin tặc tấn công và khẳng định Binance không nắm thông tin về tiện ích AGGR, trong một nhóm WeChat, Hà Nhất còn bình luận về sự việc: "Vụ này máy tính người dùng bị nhiễm mã độc, thần tiên cũng không cứu được, Binance cũng không thể bồi thường cho người dùng khi thiết bị cá nhân dính virus."

Rõ ràng Nakamao không thể chấp nhận cách xử lý của Binance, cho rằng Binance thiếu hành động kiểm soát rủi ro, và KOL xác nhận rõ ràng đã nhắc Binance về tiện ích này, nghi ngờ Binance cố tình giấu thông tin. Khi dư luận tiếp tục lan rộng, Binance lại phản hồi thêm rằng sẽ cấp một khoản thưởng nhằm tri ân người dùng báo cáo tiện ích độc hại.
Ai cũng nghĩ sự việc đến đây là xong, nhưng thú vị thay, đến ngày 5 tháng 6, tình tiết lại đảo ngược. Nakamao tiếp tục đăng bài trên X để công khai xin lỗi Binance, thừa nhận có sự khác biệt thông tin và phán đoán chủ quan, Binance thực tế không hề biết về tình trạng của tiện ích, lần đầu Binance biết đến địa chỉ aggr.trade cũng là ngày 12 tháng 5 chứ không phải tháng 3 như trước đó nói. Ngoài ra, KOL cũng không phải gián điệp của Binance, cuộc trao đổi giữa KOL và Binance tập trung vào vấn đề tài khoản chứ không phải tiện ích.
Dù lời nói này đúng hay sai, nhưng thái độ chuyển hướng 180 độ, từ kêu gọi thất vọng sang xin lỗi công khai, cũng đủ thấy Binance chắc chắn đã bồi thường cho anh ta, dù mức bồi thường cụ thể thì không ai biết.

Mặt khác, cũng vào ngày 3 tháng 6, ngoài Binance, OKX cũng bị ảnh hưởng. Một người dùng OKX trong cộng đồng cho biết tài khoản của anh bị đánh cắp bằng công nghệ giả mạo khuôn mặt AI, 2 triệu USD trong tài khoản bị chuyển đi. Sự việc xảy ra đầu tháng 5, theo mô tả của người dùng, việc mất tài khoản không liên quan đến rò rỉ thông tin cá nhân, mà là do tin tặc đăng nhập vào hộp thư, nhấn quên mật khẩu, đồng thời tạo một chứng minh thư giả và video giả mạo khuôn mặt bằng AI, vượt qua tường lửa, tiếp đó thay đổi số điện thoại, email và ứng dụng xác thực Google, rồi trong vòng 24 giờ, lấy cắp toàn bộ tài sản trong tài khoản.
Dù chưa thấy video, nhưng qua mô tả của người dùng, có thể suy ra video tổng hợp AI này rất thô sơ, vậy mà vẫn phá vỡ hệ thống kiểm soát rủi ro của OKX. Do đó, người dùng cho rằng OKX cũng phải chịu trách nhiệm, mong muốn OKX bồi thường đầy đủ. Tuy nhiên, nếu phân tích kỹ, thủ phạm chắc chắn phải là người quen biết nạn nhân, hiểu rõ thói quen và số dư tài khoản của anh ta – có thể xác định là vụ án do người quen gây ra. Người dùng cũng đề cập trong thư rằng có người bạn luôn đi cùng mình. Trong trường hợp thông thường, OKX sẽ không tiến hành bồi thường. Hiện tại, người dùng này đã trình báo cảnh sát và dự định truy thu thông qua cơ quan chức năng.
Liên quan hai sự kiện này, cộng đồng tiền mã hóa đã thảo luận rộng rãi. Tất nhiên, xét về an ninh, dù nhiều người nhấn mạnh ví tự lưu trữ mới đảm bảo quyền kiểm soát tuyệt đối tài sản, nhưng phải thừa nhận rằng so với cá nhân, sàn giao dịch vẫn an toàn hơn, vì có thêm bên thứ ba liên hệ. Sàn giao dịch ít nhất là bên thứ ba trực tiếp có thể liên hệ, dù kết quả ra sao, ít nhất cũng sẽ can thiệp điều tra, và nếu giao tiếp tốt, có thể như các nạn nhân trên được bồi thường. Nhưng nếu ví tự lưu trữ bị mất, gần như không có tổ chức nào đứng ra bảo lãnh.
Tuy nhiên, cải thiện an ninh cho các sàn giao dịch hiện tại là việc cấp bách. Các nền tảng giao dịch lớn nắm giữ phần lớn tài sản người dùng, trong khi tài sản mã hóa lại khó truy cứu, nên an ninh cần được chú trọng hơn. Trong tài chính truyền thống, mỗi lần đăng xuất gần như luôn cần nhập lại mật khẩu để tránh mất kiểm soát tài khoản, khi chuyển tiền thường cần thêm biện pháp xác minh. Do đó, cộng đồng kiến nghị các sàn giao dịch nên thêm chức năng khóa mật khẩu, tăng xác minh 2FA trước giao dịch, khi IP thay đổi cần xác minh lại, hoặc áp dụng xác minh MPC đa phương, phân tán mật khẩu, đánh đổi trải nghiệm người dùng để nâng cao an ninh. Tuy nhiên, một số người dùng cho rằng việc xác minh lặp lại nhiều lần quá phiền phức đối với giao dịch tần suất cao, khó khả thi.
Hà Nhất cũng đã phản hồi, cho biết: "Hiện tại, đối với biến động giá đột ngột, Binance đã kết hợp cảnh báo dữ liệu lớn và xác nhận kép thủ công, đồng thời tăng cảnh báo cho người dùng; sắp tới sẽ tăng tần suất xác minh khi chạy tiện ích mở rộng và cấp quyền cookie, tuy không dùng mật khẩu giao dịch trong trường hợp này, nhưng Binance sẽ bổ sung các bước xác minh an ninh tùy theo đặc điểm người dùng."

Trở lại điểm xuất phát, qua hai sự việc này, người dùng cũng cần hết sức cảnh giác, nâng cao ý thức an ninh, dưới tiền đề phân tán tài sản, nên dùng thiết bị hoàn toàn độc lập để thao tác, khuyến khích xác thực phân tán, không ưu tiên tính tiện lợi, tránh thiết lập đăng nhập không mật khẩu và xác thực sinh trắc học, thận trọng khi dùng tiện ích mở rộng, đối với tài sản lớn, nên lưu trữ bằng ví phần cứng.
Bởi tài sản mã hóa khác với tài sản thực tế: tài sản thực tế ít nhất còn có thể truy vết, còn việc đánh cắp tài sản mã hóa do hạn chế quản lý, gần như không thể đòi bồi thường, thậm chí việc khởi tố cũng rất khó.
Những trường hợp như vậy không hiếm. Trong bản tin 1818 Mắt Vàng gần đây, đã xuất hiện một ví dụ điển hình. Nạn nhân ông Chu phát hiện một "cao thủ" trên Zhihu tuyên bố kiếm được hàng chục triệu nhờ đầu tư tiền mã hóa có tên "Thành Thất Thất", mong muốn theo chân anh ta để kiếm lời. Sau thỏa thuận, hai bên ký hợp đồng chia lợi nhuận: 70% lợi nhuận thuộc về Thành Thất Thất, 30% ông Chu giữ lại; nếu lỗ, hai bên mỗi người chịu 50%. Trong quá trình giao dịch, ông Chu chỉ sao chép lệnh, quyền sở hữu tài khoản vẫn nằm trong tay ông.
Tỷ lệ chia lợi nhuận cao như vậy, kèm hợp đồng tưởng chừng đáng tin cậy, nhưng không mang lại kết quả đáng tin. Sau khi kiếm được chút lợi nhuận ban đầu, nạn nhân tăng mạnh vốn đầu tư, dưới khẩu hiệu "thua lỗ bù đắp toàn bộ" của Thành Thất Thất, dùng 600.000 tệ vay mượn, đòn bẩy 100 lần để bán khống ETH, cuối cùng do ETH tăng giá, ông Chu mất trắng.
Rõ ràng trường hợp này khó khởi tố, bởi mọi thao tác đều do cá nhân thực hiện, không có hành vi lừa đảo hay ép buộc. Cuối cùng, cảnh sát và phóng viên cũng chỉ có thể bất lực nhấn mạnh: theo luật pháp Trung Quốc, giao dịch tiền ảo không được bảo vệ, tiềm ẩn rủi ro cao, hãy cảnh giác...

Cuối cùng, ông Chu mang vẻ mặt tan nát và vô tội, đóng một vở kịch bi hài.
Dù sao đi nữa, ở đây vẫn phải nhắc lại lần nữa với những người tham gia giao dịch: trong bất kỳ lĩnh vực tài chính nào, ngay cả trong thế giới tiền mã hóa - nơi vốn đánh đổi một phần an ninh để đổi lấy lợi nhuận cao và độ tự do - thì an ninh vẫn quan trọng hơn rất nhiều so với hiệu suất hay lợi nhuận. Đây có lẽ cũng là một lý do khiến thế giới mã hóa, dù hô hào phi tập trung, nhưng vẫn không thể rời xa yếu tố tập trung.
Bởi lẽ, bản chất con người vốn vậy. Ai cũng mong có người đứng ra bảo hiểm rủi ro, và dù kiếm được bao nhiêu tiền đi nữa, cũng không muốn làm kẻ giúp việc cho người khác.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News










