Lỗ hổng nguy cấp trong ví điện tử khiến người dùng mất tiền

Hạnh Tâm | 27/04/2022 07:45
Theo dõi ICTVietnam trên

Một lỗ hổng bảo mật trong phiên bản web của ví Ever Surf nếu bị tin tặc khai thác thành công có thể cho phép kẻ tấn công giành toàn quyền kiểm soát ví của nạn nhân.

Ever Surf là một ví tiền điện tử cho loại tiền điện tử blockchain Everscale (trước đây là FreeTON), đóng vai trò như nền tảng đa ứng dụng và cho phép người dùng truy cập các ứng dụng phi tập trung cũng như gửi và nhận loại tiền mã hóa duy nhất, không thể thay thể (non-fungible token - NFT). Nó được cho là có khoảng 669.700 tài khoản trên khắp thế giới.

Lỗ hổng nguy cấp trong ví điện tử gây mất tiền người dùng - Ảnh 1.

Công ty an ninh mạng Check Point của Israel cho biết: "Bằng cách khai thác lỗ hổng, tin tặc có thể giải mã các khóa cá nhân và các cụm từ bí mật (seed phrase) được lưu trữ trong bộ nhớ cục bộ của trình duyệt. Nói cách khác, những kẻ tấn công có thể giành toàn quyền kiểm soát ví của nạn nhân."

Bằng các hướng tấn công khác nhau như các tiện ích mở rộng, lỗ hổng có thể khiến cho trình duyệt độc hại hoặc những liên kết lừa đảo lấy được các khóa mã hóa của ví và các seed phrase (hạt giống - tập hợp các từ khoá dùng để truy cập ví tiền điện tử) được lưu trữ trong bộ nhớ nội bộ của trình duyệt, sau đó thực hiện tấn công brute-force (thử mật khẩu đúng sai) để rút tiền.

Do thông tin trong bộ nhớ nội bộ không được mã hóa nên nó có thể bị truy cập bởi các tiện ích bổ sung của trình duyệt giả mạo hoặc phần mềm độc hại đánh cắp thông tin có khả năng thu thập dữ liệu đó từ các trình duyệt web khác nhau.

Lỗ hổng nguy cấp trong ví điện tử gây mất tiền người dùng - Ảnh 2.

Sau khi tiết lộ, một ứng dụng dành cho máy tính để bàn mới đã được phát hành để thay thế phiên bản web có lỗ hổng, phiên bản cũ không dùng nữa và chỉ được sử dụng cho mục đích phát triển.

Alexander Chailytko của Check Point cho biết: "Tin tặc có các khóa  nghĩa là chúng có toàn quyền kiểm soát ví của nạn nhân nên khi làm việc với tiền điện tử, bạn luôn phải cẩn trọng, đảm bảo thiết bị của mình không có phần mềm độc hại, không mở các liên kết đáng ngờ, luôn cập nhật hệ điều hành và phần mềm chống virus.

Mặc dù thực tế là lỗ hổng mà chúng tôi tìm thấy đã được vá trong phiên bản máy tính để bàn mới của ví Ever Surf nhưng người dùng có thể gặp phải các mối đe dọa khác như lỗ hổng trong các ứng dụng phi tập trung hoặc các mối đe dọa chung như gian lận, lừa đảo…"/.

Nổi bật Tạp chí Thông tin & Truyền thông
  • Chuyển "trạng thái mới" cho chuyển đổi số quốc gia
    Bộ trưởng Bộ KH&CN Nguyễn Mạnh Hùng đánh giá cao 4 đơn vị thuộc khối chuyển đổi số của Bộ đã triển khai các công tác chuyển đổi số thành công từ cuối năm 2018 và yêu cầu các đơn vị "chuyển trạng thái", tập trung kiến tạo thể chế, thể hiện rõ vai trò dẫn dắt quốc gia.
  • Ba điểm nghẽn lớn cản trở chuyển đổi số của tiểu thương, hộ kinh doanh cá thể
    ‏Thấu hiểu ba điểm nghẽn lớn cản trở quá trình chuyển đổi số của tiểu thương bao gồm thiếu công cụ, thiếu dữ liệu và khó tiếp cận tín dụng, MoMo đã xây dựng bộ giải pháp số hoá toàn diện, giúp tháo gỡ những nút thắt này.‏
  • Tập huấn sử dụng Hệ thống tiếp nhận phản ánh, kiến nghị, sáng kiến, giải pháp về Nghị quyết 57
    Tập huấn là nhiệm vụ quan trọng, có ý nghĩa thiết thực trong việc nâng cao hiệu quả quản trị, điều hành, đảm bảo bảo mật thông tin, đồng thời tạo môi trường thuận lợi để tiếp nhận và xử lý kịp thời phản ánh, kiến nghị, sáng kiến, giải pháp từ thực tiễn, phục vụ trực tiếp cho phát triển KH,CN, ĐMST và CĐS quốc gia.
  • Chuyển đổi số theo tinh thần “làm ngay, làm kịp thời, làm có chất lượng”
    Sau hơn hai tuần triển khai Kế hoạch số 02-KH/BCĐTW của Ban Chỉ đạo Trung ương, công cuộc chuyển đổi số liên thông, đồng bộ trong hệ thống chính trị đã và đang chuyển mình mạnh mẽ. Kết quả bước đầu là tín hiệu tích cực, song cũng đặt ra không ít thách thức cần được nhận diện đúng và xử lý kịp thời để tránh trở thành điểm nghẽn, đảm bảo tiến độ và hiệu quả toàn diện.
  • Gia tăng tấn công hệ thống ICS tại các công trình xây dựng, nhà máy
    Việc ứng dụng công nghệ số như trí tuệ nhân tạo và tự động hóa mang lại nhiều cơ hội lớn, giúp tối ưu các hoạt động trong lĩnh vực xây dựng tại Đông Nam Á. Tuy nhiên, sự phát triển nhanh chóng này cũng đi kèm không ít rủi ro an ninh mạng và ngành xây dựng đang trở thành mục tiêu tấn công ICS hàng đầu tại khu vực.
Đừng bỏ lỡ
Lỗ hổng nguy cấp trong ví điện tử khiến người dùng mất tiền
POWERED BY ONECMS - A PRODUCT OF NEKO