Giải phẫu vụ hack cá voi Venus Protocol

Đầu tuần này, cá voi tiền điện tử Kuan Sun đã chia sẻ trải nghiệm chi tiết của mình khi bị tấn công lừa đảo tinh vi trên tài khoản X của mình.

Câu chuyện này là một lời cảnh báo rõ ràng cho tất cả các nhà đầu tư, khi anh ấy đã mất và sau đó khôi phục được 13.5 triệu USD. Khi hệ sinh thái tài sản kỹ thuật số mở rộng, nguy cơ bị hack cũng tăng lên. Làm thế nào để các nhà đầu tư ngăn chặn những tổn thất lớn?

Một cuộc họp tưởng chừng vô hại đã trở thành cơn ác mộng

Một cuộc tấn công lừa đảo vào thứ Ba đã cướp đi của Kuan Sun, một người dùng của nền tảng cho vay phi tập trung Venus Protocol, số tiền điện tử của anh ấy. Tuy nhiên, nhờ phản ứng nhanh chóng và sự hợp tác của đội ngũ Venus Protocol, anh ấy đã có thể khôi phục lại số tiền bị đánh cắp.

Cuộc tấn công tinh vi bắt đầu vào tháng 04/2025 tại Hội nghị Wanxiang ở Hồng Kông. Tại đó, một người bạn chung đã giới thiệu Sun với một người tự xưng là đại diện cho Phát triển Kinh doanh Châu Á của Stack. Loại hình kết nối này rất phổ biến trong không gian tiền điện tử, và họ đã thêm nhau trên Telegram.

Vào ngày 29/08, người được gọi là “BD” đã yêu cầu một cuộc họp Zoom đơn giản. Sun tham gia muộn và nhận thấy rằng không có âm thanh trong phòng.

Một thông báo bật lên trên trang web của anh ấy ghi rằng, “Micro của bạn cần được cập nhật.” Bối rối, Sun đã nhấp vào nút nâng cấp – một sai lầm chết người đã đặt bẫy.

Sun sau đó nhận ra rằng những kẻ tấn công không hành động ngẫu nhiên. Anh ấy nói rằng cuộc tấn công được tùy chỉnh cao đã được thực hiện từ thứ Hai, nhắm mục tiêu cụ thể vào anh ấy.

Sau “cập nhật,” anh ấy bắt đầu thấy những thông báo lạ trên máy tính của mình. Trình duyệt Chrome đóng bất thường, và một thông báo “Khôi phục các tab?” xuất hiện.

Không nghi ngờ gì, Sun tiếp tục thói quen của mình và truy cập Venus Protocol qua trình duyệt. Tại đó, anh ấy tiến hành thực hiện một giao dịch rút tiền, một nhiệm vụ mà anh ấy đã làm vô số lần trước đó.

Ngay sau đó, máy tính của anh ấy chậm lại, tài khoản Google của anh ấy bị đăng xuất khỏi Chrome, và các giao dịch lạ, không quen thuộc xuất hiện trong ví của anh ấy. Anh ấy ngay lập tức biết rằng có điều gì đó rất sai.

Phân tích cho thấy rằng những kẻ tấn công đã thay thế tiện ích mở rộng ví Rabby mà anh ấy thường sử dụng bằng một chương trình độc hại. Chiến thuật này thường được sử dụng bởi Lazarus, nhóm hacker khét tiếng của Triều Tiên.

Sau khi có quyền phê duyệt ví, họ nhanh chóng chuyển các token khác nhau, bao gồm vUSDC, vETH, vWBETH, và vBNB.

Phục hồi nhanh chóng và bài học quan trọng

Sun đã hành động nhanh chóng bằng cách liên hệ với các công ty bảo mật blockchain Peckshield và Slowmist để được hướng dẫn. Anh ấy cũng liên hệ với đội ngũ Venus Protocol để được giúp đỡ.

Kết quả là, Venus Protocol ngay lập tức tạm dừng nền tảng như một biện pháp phòng ngừa và bắt đầu một cuộc điều tra.

Họ sau đó đã khởi động một cuộc bỏ phiếu quản trị khẩn cấp để buộc thanh lý ví của kẻ tấn công, cho phép Sun khôi phục thành công 13.5 triệu USD của mình.

Vào thứ Năm, Sun đã chia sẻ câu chuyện của mình và những bài học quan trọng. Anh ấy cảnh báo rằng các hacker Triều Tiên ngày càng sử dụng kết hợp giữa kỹ thuật xã hội, deepfakes, và Trojans.

Do đó, những gì có vẻ là một cuộc hội nghị video hợp pháp hoặc một tài khoản Twitter bình thường có thể hoàn toàn là giả mạo.

Anh ấy đặc biệt khuyên người dùng tránh các liên kết Zoom từ người khác và chỉ tải xuống các plugin chương trình từ các kênh chính thức. Anh ấy cũng khuyên họ không bao giờ nhấp vào các liên kết “nâng cấp” xuất hiện trong cửa sổ bật lên.

Sun bày tỏ lòng biết ơn của mình đối với đội ngũ Venus vì hành động nhanh chóng của họ trong việc ngăn chặn thiệt hại thêm. Anh ấy kêu gọi mọi người “luôn nghi ngờ bất kỳ yêu cầu nào bạn nhận được trong cuộc sống hàng ngày, và luôn phản ứng bình tĩnh.”