Tiền điện tử Meme Token có giá trị $500 Bị rút cạn trong cuộc tấn công npm gần đây

Lỗ hổng chuỗi cung ứng gần đây được phát hiện trong các gói JavaScript npm đã dẫn đến một tác động tài chính tương đối nhỏ, với khoảng $500 giá trị của các token khác nhau bị rút ra từ một số ví nhỏ. Mặc dù thiệt hại tài chính hạn chế, sự cố này đã phơi bày một điểm yếu tiềm tàng quan trọng trong việc sử dụng tiền điện tử.

Các báo cáo ban đầu về cuộc tấn công chuỗi cung ứng đã dấy lên lo ngại về những khoản lỗ đáng kể, buộc người dùng tạm thời ngừng giao dịch tiền điện tử. Tuy nhiên, tính chất phi tập trung của hệ thống toàn cầu không cần sự cho phép có nghĩa là việc ngừng hoàn toàn là không thực tế.

Dữ liệu từ Arkham Intelligence cho thấy rằng ví của kẻ tấn công chỉ quản lý thu được khoảng 0.22 SOL và một số mã thông báo meme, tổng cộng khoảng $497. Trong khi số tiền này không thấm vào đâu so với những tổn thất gần đây mà các nền tảng như Gate và các giao thức khác đã trải qua, cuộc tấn công chuỗi cung ứng vẫn là một mối quan ngại nghiêm trọng. Tác động tối thiểu được cho là do kẻ tấn công không thể chặn bất kỳ giao dịch quy mô lớn nào.

Sự tương đồng với các vi phạm bảo mật trước đây

Cuộc tấn công chuỗi cung ứng này có những điểm tương đồng với một sự cố trong quá khứ liên quan đến một sàn giao dịch lớn, nơi ví đích đã bị thay đổi vào giây phút cuối. Mã front-end bị xâm phạm có khả năng chuyển hướng tài sản từ các trang web sử dụng các gói JavaScript bị ảnh hưởng.

Một chuyên gia tiền điện tử đã bình luận trên mạng xã hội: “Tầm quan trọng của lỗ hổng npm dường như bị đánh giá thấp. Nó tương đương với khi một sàn giao dịch nổi tiếng chịu tổn thất hàng tỷ đô la do một giao diện người dùng multisig bị xâm phạm. Các trang web sử dụng các gói độc hại đã làm lộ mã front-end. Người dùng phải hết sức cẩn trọng khi xác minh giao dịch.”

Mặc dù vụ hack sàn giao dịch đã đề cập ở trên là một sự cố có mục tiêu và được kiểm soát, nhưng việc tiêm mã vào chuỗi cung ứng npm đã ảnh hưởng đến tới 2 tỷ lượt tải xuống hàng tuần. May mắn thay, các báo cáo ban đầu cho thấy rằng tác động của các gói npm bị ô nhiễm có giới hạn về quy mô.

Tác động đến Hệ sinh thái Crypto

Nhiều nền tảng Web3 hàng đầu đã xác nhận sự an toàn của mã code của họ, cho phép các hoạt động giao dịch tiếp tục không bị gián đoạn. Phần lớn các token bị đánh cắp nằm trên mạng Ethereum, bao gồm BRETT, DORKY, VISTA và GONDOLA, mà không có ETH nào bị lấy đi.

Cuộc tấn công chủ yếu ảnh hưởng đến ví của các nhà giao dịch và nhà cung cấp thanh khoản nhỏ trên một số nền tảng. Tuy nhiên, tác động không lan rộng, cho thấy rằng chính các ứng dụng không bị xâm phạm. Rủi ro chính nằm ở việc người dùng cuối ký các giao dịch mà không có sự xác minh thủ công đầy đủ.

Các Rủi Ro Đang Diễn Ra và Biện Pháp Phòng Ngừa

Trong khi ví tiền điện tử thường phải đối mặt với rủi ro từ các cuộc tấn công chuỗi cung ứng, khả năng bị đánh cắp token phụ thuộc vào chính các ứng dụng và khoảng thời gian tương đối ngắn để khai thác.

Việc công khai rộng rãi các ví dụ về mã độc lấy cắp tiền điện tử có khả năng đã giúp bảo vệ các nhà phát triển ứng dụng khỏi những lỗ hổng tương tự.

Các cuộc tấn công này xảy ra sau khi tải xuống mới, gợi ý rằng các lỗ hổng đã được giới thiệu vào một số ứng dụng tiền điện tử hạn chế. Vài giờ sau sự cố, rõ ràng rằng người dùng của một số ví dựa trên trình duyệt là những người bị ảnh hưởng nhiều nhất, mà không có sự nhắm mục tiêu rõ ràng vào hệ sinh thái ví máy tính để bàn.

Khi cộng đồng tiền điện tử tiếp tục đối mặt với những thách thức an ninh đang phát triển, sự cố này là một lời nhắc nhở về tầm quan trọng của sự cảnh giác và các biện pháp an ninh vững chắc trong thế giới tài sản kỹ thuật số đang phát triển nhanh chóng.