Giới thiệu
Phương pháp này đã rút hơn 300 triệu USD từ người dùng tiền điện tử bằng cách khai thác lòng tin trên các nền tảng như Telegram. Đồng thời, các nhà phát triển Ethereum đã tiết lộ rằng một lỗi trong Prysm chưa được phát hiện trước đó, được giới thiệu trước khi nâng cấp Fusaka, đã gây ra sự chậm trễ tạm thời trong việc xác thực vào ngày 4 tháng 12. Sự cố này dẫn đến việc bỏ lỡ các slot và mất phần thưởng, nhưng không làm mất tính cuối cùng của mạng lưới. Mặc dù cả hai sự cố cuối cùng đều được kiểm soát, chúng chứng minh rằng vẫn còn nhiều mối đe dọa đáng lo ngại đối với an ninh trong lĩnh vực tiền điện tử.
Cảnh báo từ Security Alliance
Tổ chức phi lợi nhuận về an ninh mạng Security Alliance (SEAL) đã đưa ra cảnh báo mới sau khi phát hiện nhiều nỗ lực lừa đảo hàng ngày liên quan đến các nhóm tin tặc Bắc Triều Tiên, những người dựa vào các cuộc họp Zoom giả để xâm phạm nạn nhân. Theo SEAL và nhà nghiên cứu an ninh Taylor Monahan, chiến dịch này đã dẫn đến việc đánh cắp hơn 300 triệu USD, với người dùng tiền điện tử, các nhà phát triển và các nhóm giao thức là những mục tiêu chính.
Chiến dịch lừa đảo qua Zoom
Cuộc lừa đảo thường bắt đầu trên Telegram, nơi một nạn nhân được liên hệ bởi một tài khoản có vẻ thuộc về ai đó mà họ đã biết. Bởi vì tài khoản trông quen thuộc, nạn nhân ít có khả năng nghi ngờ hơn. Sau một vài cuộc trò chuyện thân mật, kẻ tấn công gợi ý gặp nhau qua một cuộc gọi Zoom. Trước cuộc họp, nạn nhân được gửi một liên kết trông hợp pháp nhưng thường bị che giấu hoặc thay đổi một cách tinh vi. Khi cuộc gọi bắt đầu, nạn nhân thấy hình ảnh video thực tế của người bị giả mạo hoặc các đồng nghiệp được cho là của họ. Monahan giải thích rằng những video này không phải là deepfake, mà là các bản ghi đã được tái sử dụng từ các cuộc tấn công trước đó hoặc các nguồn công khai như phỏng vấn hoặc podcast, khiến cho thiết lập trông rất thuyết phục.
Khi cuộc gọi đang diễn ra, các kẻ tấn công giả vờ gặp sự cố âm thanh hoặc kỹ thuật và yêu cầu nạn nhân cài đặt một bản vá hoặc cập nhật để khắc phục sự cố. Tệp đó chính là chìa khóa cho cuộc tấn công. Mở nó ra sẽ cài đặt phần mềm độc hại trên thiết bị của nạn nhân, cho phép tin tặc truy cập vào thông tin nhạy cảm. Ngay sau đó, các kẻ tấn công đột ngột kết thúc cuộc gọi, thường tuyên bố rằng họ cần phải lên lịch lại, trong khi cố gắng tránh gây nghi ngờ. Khi nạn nhân nhận ra có điều gì đó không ổn, thiết bị của họ có thể đã bị xâm phạm hoàn toàn.
Hậu quả của phần mềm độc hại
Phần mềm độc hại cho phép kẻ tấn công đánh cắp khóa riêng, mật khẩu, dữ liệu công ty và truy cập vào các ứng dụng nhắn tin như Telegram. Việc kiểm soát tài khoản Telegram đặc biệt nguy hiểm, vì tin tặc sau đó sử dụng các liên hệ đã lưu để giả mạo nạn nhân và nhắm mục tiêu đến bạn bè, đồng nghiệp và đối tác kinh doanh. Monahan khuyên rằng bất kỳ ai đã nhấp vào một liên kết liên quan đến Zoom đáng ngờ nên ngay lập tức ngắt kết nối khỏi WiFi và tắt thiết bị bị ảnh hưởng. Sử dụng một thiết bị khác không bị xâm phạm, nạn nhân nên chuyển tài sản tiền điện tử sang ví mới, thay đổi tất cả mật khẩu, kích hoạt xác thực hai yếu tố và bảo mật tài khoản Telegram của họ bằng cách kết thúc tất cả các phiên khác và cập nhật cài đặt bảo mật. Một lần xóa bộ nhớ hoàn toàn của thiết bị bị nhiễm được khuyến nghị trước khi nó được sử dụng lại. Nếu một tài khoản Telegram bị xâm phạm, nạn nhân nên khẩn trương thông báo cho các liên hệ của họ, vì sự im lặng làm tăng khả năng bạn bè và đồng nghiệp sẽ bị lừa đảo tiếp theo.
Sự cố của Prysm và Ethereum
Trong khi đó, các nhà phát triển Prysm xác nhận rằng một lỗi phần mềm được giới thiệu trước khi nâng cấp Fusaka của Ethereum đã gây ra vấn đề xác thực nút, làm gián đoạn mạng lưới vào đầu tháng này. Trong một bài phân tích hậu sự cố được công bố vào Chủ nhật, nhà phát triển Ethereum Terence Tsao giải thích rằng sự cố xảy ra vào ngày 4 tháng 12, bắt nguồn từ một lỗi đã được triển khai trên các mạng thử nghiệm khoảng một tháng trước khi Fusaka được đưa vào hoạt động trên mạng chính. Mặc dù lỗi tồn tại trong các môi trường thử nghiệm, nó chưa bao giờ được kích hoạt trước khi nâng cấp, cho phép nó đến sản xuất mà không bị phát hiện.
Vấn đề bắt nguồn từ một thay đổi mã Prysm cụ thể đã thay đổi cách mà khách hàng xử lý một số trường hợp đặc biệt liên quan đến các nút không đồng bộ. Khi lỗi được kích hoạt trên mạng chính, các nút Prysm bắt đầu trải qua sự cạn kiệt tài nguyên nghiêm trọng trong khi xử lý các xác nhận. Thay vì dựa vào trạng thái đầu hiện tại của chuỗi, các nút bị ảnh hưởng đã cố gắng tái tạo các trạng thái cũ từ đầu. Điều này buộc Prysm phải phát lại các khối epoch lịch sử và tính toán lại các chuyển tiếp trạng thái tốn kém về mặt tính toán, làm tăng đáng kể khối lượng công việc và làm giảm hiệu suất trên các xác thực bị ảnh hưởng. Tác động là có thể đo lường nhưng đã được kiểm soát. Trong hơn 42 epoch, Ethereum đã trải qua tỷ lệ bỏ lỡ slot cao khoảng 18,5%, trong khi sự tham gia của các xác thực giảm xuống khoảng 75%. Prysm ước tính rằng các xác thực chạy khách hàng của nó đã collectively mất khoảng 382 Ether trong phần thưởng xác nhận bị bỏ lỡ trong thời gian gián đoạn. Mặc dù những trở ngại này, Ethereum vẫn tiếp tục hoạt động mà không mất hoàn toàn tính cuối cùng, và mạng lưới đã phục hồi khi các bước giảm thiểu được triển khai.
Các nhà điều hành nút đã nhanh chóng được hướng dẫn áp dụng một giải pháp tạm thời trong khi các nhà phát triển Prysm làm việc và phát hành một bản vá để giải quyết vĩnh viễn vấn đề. Bản sửa lỗi đảm bảo rằng Prysm không còn tái tạo các trạng thái trước đó một cách không cần thiết, loại bỏ gánh nặng tính toán quá mức đã gây ra sự chậm lại. Các nhà phát triển nhấn mạnh rằng sự cố có thể nghiêm trọng hơn nhiều nếu nó ảnh hưởng đến khách hàng đồng thuận chiếm ưu thế của Ethereum, Lighthouse. Prysm hiện chiếm khoảng 17,6% mạng lưới, khiến nó trở thành khách hàng lớn thứ hai theo tỷ lệ. Bởi vì không có khách hàng nào kiểm soát hơn một phần ba các xác thực vào thời điểm đó, Ethereum đã tránh được việc mất tính cuối cùng tạm thời hoặc các sự cố sản xuất khối rộng rãi. Tuy nhiên, sự cố này đã làm bùng lên những lo ngại về sự tập trung của khách hàng. Lighthouse vẫn đại diện cho hơn một nửa lớp đồng thuận của Ethereum, khiến mạng lưới gần gũi với ngưỡng mà một lỗi của một khách hàng đơn lẻ có thể có hậu quả hệ thống.
