Cuộc tấn công mới nhất này diễn ra sau các chiến dịch lừa đảo trước đó, bao gồm cả những bức thư giả mạo mang thương hiệu Ledger đã được gửi đến khách hàng vào tháng 4. Cập nhật Pectra mới nhất của Ethereum cũng đã giới thiệu một lỗ hổng nguy hiểm thông qua EIP-7702, cho phép các chữ ký off-chain có thể cho phép hacker kiểm soát ví mà không cần xác nhận từ người dùng. Điều này đã gây ra những mối quan ngại lớn giữa các nhà nghiên cứu an ninh, những người thậm chí đã gọi mối đe dọa này là nghiêm trọng. Trên BNB Chain, Mobius Token (MBU) đã chịu một cuộc tấn công trị giá 2,15 triệu đô la khi một hợp đồng thông minh độc hại đã rút hàng triệu token và chuyển đổi chúng thành stablecoin.
Người dùng Ledger lại bị nhắm tới
Nhà cung cấp ví phần cứng Ledger xác nhận rằng máy chủ Discord của họ đã được bảo mật sau khi một kẻ tấn công đã xâm phạm tài khoản của một người điều hành vào ngày 11 tháng 5. Kẻ tấn công đã sử dụng tài khoản đó để đăng các liên kết độc hại nhằm lừa người dùng tiết lộ cụm từ hạt giống ví của họ.
Theo thành viên nhóm Ledger, Quintin Boatwright, sự cố đã được kiểm soát nhanh chóng. Tài khoản điều hành bị xâm phạm đã bị xóa, bot độc hại đã bị xóa, trang web lừa đảo đã được báo cáo, và tất cả các quyền đã được xem xét và khóa để ngăn chặn lạm dụng thêm. Tuy nhiên, một số thành viên trong cộng đồng đã cáo buộc rằng kẻ tấn công đã lạm dụng quyền điều hành để cấm và tắt tiếng những người dùng đang cố gắng báo cáo sự cố, điều này có thể đã làm chậm phản ứng ban đầu của Ledger.
Cuộc lừa đảo liên quan đến một thông điệp tuyên bố về một lỗ hổng mới được phát hiện trong hệ thống của Ledger và khuyến khích người dùng xác minh các cụm từ hạt giống của họ thông qua một liên kết giả mạo. Người dùng sau đó được nhắc kết nối ví của họ và theo dõi các hướng dẫn giả mạo trên màn hình, điều này đặt ra nguy cơ nghiêm trọng về việc mất tiền. Mặc dù vẫn chưa rõ liệu có người dùng nào là nạn nhân của cuộc lừa đảo hay không, nhưng các ảnh chụp màn hình của những thông điệp lừa dối đã được lan truyền rộng rãi trên X.
Nỗ lực lừa đảo mới nhất này theo sau một xu hướng đáng lo ngại. Vào tháng Tư, những kẻ lừa đảo đã gửi thư vật lý đến các chủ sở hữu ví phần cứng Ledger, kêu gọi họ nhập cụm từ khôi phục của mình qua mã QR dưới vỏ bọc của một cuộc kiểm tra bảo mật. Những bức thư này có thương hiệu chính thức và các tài liệu tham khảo để khiến chúng trông hợp pháp.
Một số người nhận đã suy đoán rằng các bức thư này liên quan đến vụ rò rỉ dữ liệu vào tháng 7 năm 2020, khi thông tin cá nhân của hơn 270.000 khách hàng Ledger—bao gồm tên, số điện thoại và địa chỉ—đã bị rò rỉ trực tuyến. Năm sau khi xảy ra vụ rò rỉ, một số người dùng báo cáo đã nhận được các thiết bị Ledger giả mạo được gắn malware. Tổng thể, có vẻ như khách hàng của Ledger đang bị các kẻ lừa đảo tinh vi nhắm mục tiêu đặc biệt.
Cập nhật Pectra giới thiệu lỗ hổng nguy hiểm
Không chỉ người dùng Ledger cần phải cẩn trọng. Cập nhật mạng Pectra gần đây của Ethereum, được triển khai vào ngày 7 tháng 5, đã giới thiệu những tính năng mới mạnh mẽ nhằm tăng cường khả năng mở rộng và cải thiện chức năng tài khoản thông minh. Tuy nhiên, nó cũng đã phơi bày một vector tấn công nghiêm trọng mới có thể cho phép hacker rút cạn ví của người dùng chỉ bằng một chữ ký off-chain.
Tại trung tâm của vấn đề là EIP-7702, một phần quan trọng của bản nâng cấp cho phép người dùng ủy quyền kiểm soát tài khoản do họ sở hữu bên ngoài (EOAs) cho một hợp đồng thông minh bằng cách ký một tin nhắn — mà không cần phải gửi một giao dịch trên chuỗi.
Sự thay đổi này cho phép kẻ tấn công khai thác người dùng không nghi ngờ thông qua các nỗ lực lừa đảo hoặc ứng dụng giả mạo. Nếu một tác nhân độc hại có được chữ ký hợp lệ, họ có thể sử dụng giao dịch SetCode (type 0x04) để cài đặt mã trong ví của nạn nhân, điều này chuyển hướng các cuộc gọi đến một hợp đồng dưới sự kiểm soát của kẻ tấn công. Từ đó, họ có thể chuyển ETH hoặc token ra khỏi ví mà không cần người dùng bao giờ ủy quyền cho một giao dịch điển hình. Các nhà nghiên cứu bảo mật như Arda Usman và Yehor Rudytsia xác nhận rằng rủi ro này là ngay lập tức và nghiêm trọng. Các hợp đồng thông minh phụ thuộc vào các giả định cũ, như kiểm tra tx.origin, hiện nay đang dễ bị tổn thương.
Điều làm cho cuộc tấn công này đặc biệt nguy hiểm là cách nó có thể được triển khai một cách dễ dàng thông qua các tương tác off-chain thông thường — tin nhắn Discord, trang web lừa đảo, hoặc DApps giả. Các giao diện ví không hiển thị hoặc diễn giải đúng loại giao dịch mới đặc biệt có nguy cơ, và chữ ký thậm chí có thể được tái sử dụng trên bất kỳ chuỗi tương thích Ethereum nào do khả năng có chữ ký chain_id = 0. Rudytsia đã giải thích rằng từ bây giờ, ngay cả ví phần cứng cũng dễ bị tổn thương khi ký các thông điệp ủy quyền độc hại.
Người dùng được khuyến cáo không ký các tin nhắn mà họ không hiểu, đặc biệt là những tin nhắn liên quan đến nonce tài khoản hoặc định dạng không nhận diện được. Các nhà phát triển ví cần phải thích ứng nhanh chóng bằng cách tích hợp phân tích chữ ký và cảnh báo rõ ràng cho các nỗ lực ủy quyền, vì các tin nhắn được kích hoạt bởi EIP-7702 thường vượt qua các tiêu chuẩn hiện có như EIP-191 và EIP-712.
Trong khi ví multisig cung cấp nhiều bảo vệ hơn do cần nhiều phê duyệt, ví một khóa vẫn phải phát triển để phát hiện những mối đe dọa mới này. Bên cạnh EIP-7702, nâng cấp Pectra cũng bao gồm EIP-7251, tăng giới hạn staking của validator lên 2,048 ETH, và EIP-7691, cải thiện khả năng mở rộng layer-2 bằng cách tăng số lượng blob dữ liệu trên mỗi khối. Thật không may, những hậu quả không mong muốn của cơ chế ủy quyền đã chứng minh là một mối quan tâm hàng đầu về an ninh.
Mobius Token bị tấn công
Trong khi đó, hơn 2,15 triệu đô la tài sản kỹ thuật số đã bị đánh cắp từ các hợp đồng thông minh Mobius Token (MBU) trên BNB Chain sau một cuộc tấn công có mục tiêu vào ngày 11 tháng 5, theo công ty bảo mật blockchain Cyvers Alerts. Cuộc tấn công được thực hiện một cách chính xác, bắt đầu chỉ vài phút sau khi triển khai một hợp đồng thông minh độc hại. Cyvers đã đánh dấu điều này là đáng nghi trước khi cuộc tấn công xảy ra.
Kẻ tấn công đã bắt đầu khai thác bằng cách sử dụng địa chỉ ví 0xb32a53... vào khoảng 07:33 UTC, chỉ hai phút sau khi triển khai hợp đồng độc hại. Khai thác nhắm mục tiêu vào một ví nạn nhân được xác định là 0xb5252f... và rút cạn thành công 28,5 triệu mã thông báo MBU. Các token bị đánh cắp sau đó đã nhanh chóng được chuyển đổi thành stablecoin USDT, dẫn đến tổng thiệt hại là 2.152.219,99 đô la. Cyvers xác nhận rằng kẻ tấn công đã sử dụng địa chỉ hợp đồng 0x631adf... để thực hiện hàng loạt giao dịch độc hại.
Công ty an ninh đã gán cho lỗ hổng này mức độ "nghiêm trọng", do logic hợp đồng đáng ngờ và hành vi giao dịch bất thường mà kẻ tấn công đã sử dụng. Hiện tại, ví của kẻ tấn công vẫn hoạt động và số tiền bị đánh cắp đã được gửi vào Tornado Cash.
Cuộc tấn công này là một phần của xu hướng gia tăng các vụ trộm tiền mã hóa trong năm 2025. Theo báo cáo từ công ty bảo mật blockchain PeckShield, chỉ trong tháng Tư đã có gần 360 triệu USD tài sản tiền mã hóa bị đánh cắp trong 18 vụ tấn công lớn. Đây là mức tăng đáng kinh ngạc 990% trong các khoản lỗ so với tháng Ba, khi chỉ có 33 triệu USD bị mất do các cuộc tấn công.
Một trong những sự kiện nghiêm trọng nhất góp phần vào tổng số của tháng Tư là một vụ chuyển tiền không được phép trị giá 330 triệu đô la Mỹ bằng Bitcoin, sau này được xác nhận là kết quả của một cuộc tấn công kỹ xã hội nhằm vào một cư dân lớn tuổi tại Mỹ.
Nhìn chung, vụ khai thác Mobius Token là một lời nhắc nhở rõ ràng khác về sự cần thiết cấp bách phải cải thiện kiểm toán hợp đồng và các hệ thống phát hiện mối đe dọa theo thời gian thực trên các nền tảng DeFi.
Xem bản gốc
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
Hacker Lừa đảo tài khoản điều hành Ledger để phát tán liên kết lừa đảo
Cuộc tấn công mới nhất này diễn ra sau các chiến dịch lừa đảo trước đó, bao gồm cả những bức thư giả mạo mang thương hiệu Ledger đã được gửi đến khách hàng vào tháng 4. Cập nhật Pectra mới nhất của Ethereum cũng đã giới thiệu một lỗ hổng nguy hiểm thông qua EIP-7702, cho phép các chữ ký off-chain có thể cho phép hacker kiểm soát ví mà không cần xác nhận từ người dùng. Điều này đã gây ra những mối quan ngại lớn giữa các nhà nghiên cứu an ninh, những người thậm chí đã gọi mối đe dọa này là nghiêm trọng. Trên BNB Chain, Mobius Token (MBU) đã chịu một cuộc tấn công trị giá 2,15 triệu đô la khi một hợp đồng thông minh độc hại đã rút hàng triệu token và chuyển đổi chúng thành stablecoin.
Người dùng Ledger lại bị nhắm tới
Nhà cung cấp ví phần cứng Ledger xác nhận rằng máy chủ Discord của họ đã được bảo mật sau khi một kẻ tấn công đã xâm phạm tài khoản của một người điều hành vào ngày 11 tháng 5. Kẻ tấn công đã sử dụng tài khoản đó để đăng các liên kết độc hại nhằm lừa người dùng tiết lộ cụm từ hạt giống ví của họ.
Theo thành viên nhóm Ledger, Quintin Boatwright, sự cố đã được kiểm soát nhanh chóng. Tài khoản điều hành bị xâm phạm đã bị xóa, bot độc hại đã bị xóa, trang web lừa đảo đã được báo cáo, và tất cả các quyền đã được xem xét và khóa để ngăn chặn lạm dụng thêm. Tuy nhiên, một số thành viên trong cộng đồng đã cáo buộc rằng kẻ tấn công đã lạm dụng quyền điều hành để cấm và tắt tiếng những người dùng đang cố gắng báo cáo sự cố, điều này có thể đã làm chậm phản ứng ban đầu của Ledger.
Cuộc lừa đảo liên quan đến một thông điệp tuyên bố về một lỗ hổng mới được phát hiện trong hệ thống của Ledger và khuyến khích người dùng xác minh các cụm từ hạt giống của họ thông qua một liên kết giả mạo. Người dùng sau đó được nhắc kết nối ví của họ và theo dõi các hướng dẫn giả mạo trên màn hình, điều này đặt ra nguy cơ nghiêm trọng về việc mất tiền. Mặc dù vẫn chưa rõ liệu có người dùng nào là nạn nhân của cuộc lừa đảo hay không, nhưng các ảnh chụp màn hình của những thông điệp lừa dối đã được lan truyền rộng rãi trên X.
Nỗ lực lừa đảo mới nhất này theo sau một xu hướng đáng lo ngại. Vào tháng Tư, những kẻ lừa đảo đã gửi thư vật lý đến các chủ sở hữu ví phần cứng Ledger, kêu gọi họ nhập cụm từ khôi phục của mình qua mã QR dưới vỏ bọc của một cuộc kiểm tra bảo mật. Những bức thư này có thương hiệu chính thức và các tài liệu tham khảo để khiến chúng trông hợp pháp.
Một số người nhận đã suy đoán rằng các bức thư này liên quan đến vụ rò rỉ dữ liệu vào tháng 7 năm 2020, khi thông tin cá nhân của hơn 270.000 khách hàng Ledger—bao gồm tên, số điện thoại và địa chỉ—đã bị rò rỉ trực tuyến. Năm sau khi xảy ra vụ rò rỉ, một số người dùng báo cáo đã nhận được các thiết bị Ledger giả mạo được gắn malware. Tổng thể, có vẻ như khách hàng của Ledger đang bị các kẻ lừa đảo tinh vi nhắm mục tiêu đặc biệt.
Cập nhật Pectra giới thiệu lỗ hổng nguy hiểm
Không chỉ người dùng Ledger cần phải cẩn trọng. Cập nhật mạng Pectra gần đây của Ethereum, được triển khai vào ngày 7 tháng 5, đã giới thiệu những tính năng mới mạnh mẽ nhằm tăng cường khả năng mở rộng và cải thiện chức năng tài khoản thông minh. Tuy nhiên, nó cũng đã phơi bày một vector tấn công nghiêm trọng mới có thể cho phép hacker rút cạn ví của người dùng chỉ bằng một chữ ký off-chain.
Tại trung tâm của vấn đề là EIP-7702, một phần quan trọng của bản nâng cấp cho phép người dùng ủy quyền kiểm soát tài khoản do họ sở hữu bên ngoài (EOAs) cho một hợp đồng thông minh bằng cách ký một tin nhắn — mà không cần phải gửi một giao dịch trên chuỗi.
Sự thay đổi này cho phép kẻ tấn công khai thác người dùng không nghi ngờ thông qua các nỗ lực lừa đảo hoặc ứng dụng giả mạo. Nếu một tác nhân độc hại có được chữ ký hợp lệ, họ có thể sử dụng giao dịch SetCode (type 0x04) để cài đặt mã trong ví của nạn nhân, điều này chuyển hướng các cuộc gọi đến một hợp đồng dưới sự kiểm soát của kẻ tấn công. Từ đó, họ có thể chuyển ETH hoặc token ra khỏi ví mà không cần người dùng bao giờ ủy quyền cho một giao dịch điển hình. Các nhà nghiên cứu bảo mật như Arda Usman và Yehor Rudytsia xác nhận rằng rủi ro này là ngay lập tức và nghiêm trọng. Các hợp đồng thông minh phụ thuộc vào các giả định cũ, như kiểm tra tx.origin, hiện nay đang dễ bị tổn thương.
Điều làm cho cuộc tấn công này đặc biệt nguy hiểm là cách nó có thể được triển khai một cách dễ dàng thông qua các tương tác off-chain thông thường — tin nhắn Discord, trang web lừa đảo, hoặc DApps giả. Các giao diện ví không hiển thị hoặc diễn giải đúng loại giao dịch mới đặc biệt có nguy cơ, và chữ ký thậm chí có thể được tái sử dụng trên bất kỳ chuỗi tương thích Ethereum nào do khả năng có chữ ký chain_id = 0. Rudytsia đã giải thích rằng từ bây giờ, ngay cả ví phần cứng cũng dễ bị tổn thương khi ký các thông điệp ủy quyền độc hại.
Người dùng được khuyến cáo không ký các tin nhắn mà họ không hiểu, đặc biệt là những tin nhắn liên quan đến nonce tài khoản hoặc định dạng không nhận diện được. Các nhà phát triển ví cần phải thích ứng nhanh chóng bằng cách tích hợp phân tích chữ ký và cảnh báo rõ ràng cho các nỗ lực ủy quyền, vì các tin nhắn được kích hoạt bởi EIP-7702 thường vượt qua các tiêu chuẩn hiện có như EIP-191 và EIP-712.
Trong khi ví multisig cung cấp nhiều bảo vệ hơn do cần nhiều phê duyệt, ví một khóa vẫn phải phát triển để phát hiện những mối đe dọa mới này. Bên cạnh EIP-7702, nâng cấp Pectra cũng bao gồm EIP-7251, tăng giới hạn staking của validator lên 2,048 ETH, và EIP-7691, cải thiện khả năng mở rộng layer-2 bằng cách tăng số lượng blob dữ liệu trên mỗi khối. Thật không may, những hậu quả không mong muốn của cơ chế ủy quyền đã chứng minh là một mối quan tâm hàng đầu về an ninh.
Mobius Token bị tấn công
Trong khi đó, hơn 2,15 triệu đô la tài sản kỹ thuật số đã bị đánh cắp từ các hợp đồng thông minh Mobius Token (MBU) trên BNB Chain sau một cuộc tấn công có mục tiêu vào ngày 11 tháng 5, theo công ty bảo mật blockchain Cyvers Alerts. Cuộc tấn công được thực hiện một cách chính xác, bắt đầu chỉ vài phút sau khi triển khai một hợp đồng thông minh độc hại. Cyvers đã đánh dấu điều này là đáng nghi trước khi cuộc tấn công xảy ra.
Kẻ tấn công đã bắt đầu khai thác bằng cách sử dụng địa chỉ ví 0xb32a53... vào khoảng 07:33 UTC, chỉ hai phút sau khi triển khai hợp đồng độc hại. Khai thác nhắm mục tiêu vào một ví nạn nhân được xác định là 0xb5252f... và rút cạn thành công 28,5 triệu mã thông báo MBU. Các token bị đánh cắp sau đó đã nhanh chóng được chuyển đổi thành stablecoin USDT, dẫn đến tổng thiệt hại là 2.152.219,99 đô la. Cyvers xác nhận rằng kẻ tấn công đã sử dụng địa chỉ hợp đồng 0x631adf... để thực hiện hàng loạt giao dịch độc hại.
Công ty an ninh đã gán cho lỗ hổng này mức độ "nghiêm trọng", do logic hợp đồng đáng ngờ và hành vi giao dịch bất thường mà kẻ tấn công đã sử dụng. Hiện tại, ví của kẻ tấn công vẫn hoạt động và số tiền bị đánh cắp đã được gửi vào Tornado Cash.
Cuộc tấn công này là một phần của xu hướng gia tăng các vụ trộm tiền mã hóa trong năm 2025. Theo báo cáo từ công ty bảo mật blockchain PeckShield, chỉ trong tháng Tư đã có gần 360 triệu USD tài sản tiền mã hóa bị đánh cắp trong 18 vụ tấn công lớn. Đây là mức tăng đáng kinh ngạc 990% trong các khoản lỗ so với tháng Ba, khi chỉ có 33 triệu USD bị mất do các cuộc tấn công.
Một trong những sự kiện nghiêm trọng nhất góp phần vào tổng số của tháng Tư là một vụ chuyển tiền không được phép trị giá 330 triệu đô la Mỹ bằng Bitcoin, sau này được xác nhận là kết quả của một cuộc tấn công kỹ xã hội nhằm vào một cư dân lớn tuổi tại Mỹ.
Nhìn chung, vụ khai thác Mobius Token là một lời nhắc nhở rõ ràng khác về sự cần thiết cấp bách phải cải thiện kiểm toán hợp đồng và các hệ thống phát hiện mối đe dọa theo thời gian thực trên các nền tảng DeFi.