Venus Protocol, một nền tảng cho vay tài chính phi tập trung, đã thu hồi thành công 13,5 triệu USD tiền điện tử bị kẻ tấn công lấy cắp từ một người dùng qua một cuộc tấn công lừa đảo tinh vi mà nhóm Lazarus của Bắc Triều Tiên được cho là đứng sau. Việc thu hồi diễn ra trong vòng 12 giờ sau vụ việc vào thứ Ba thông qua các giao thức khẩn cấp phối hợp và can thiệp của đối tác bảo mật.
Điều gì cần biết:
- Venus Protocol đã tạm dừng toàn bộ nền tảng của mình sau khi đối tác bảo mật phát hiện hoạt động đáng ngờ trong vài phút sau cuộc tấn công lừa đảo
- Kẻ tấn công đã sử dụng một ứng dụng Zoom độc hại để lừa nạn nhân Kuan Sun cấp quyền kiểm soát tài khoản, cho phép mượn và đổi không hợp lệ
- Một cuộc bỏ phiếu quản trị khẩn cấp cho phép thanh lý cưỡng chế ví của kẻ tấn công, gửi các mã thông báo bị đánh cắp đến một địa chỉ thu hồi
Phản ứng nhanh ngăn chặn mất mát hoàn toàn
Cuộc tấn công bắt đầu khi những kẻ tấn công lừa nạn nhân thông qua một ứng dụng Zoom đã bị chiếm đoạt. Phần mềm độc hại này đã cấp quyền kiểm soát cho kẻ tấn công tới tài khoản của người dùng trên nền tảng Venus Protocol.
Các công ty bảo mật HExagate và Hypernative đã xác định được các mẫu giao dịch đáng ngờ trong vài phút sau khi thực thi. Việc phát hiện nhanh chóng của họ đã giúp Venus Protocol quyết định tạm dừng ngay lập tức các hoạt động của nền tảng như một biện pháp phòng ngừa. Động thái này ngăn chặn di chuyển quỹ thêm trong khi các nhà điều tra phân tích lỗ hổng.
Venus Protocol đã xác nhận rằng cả hợp đồng thông minh và giao diện người dùng của họ vẫn an toàn trong suốt sự cố. Cơ sở hạ tầng cốt lõi của nền tảng không có dấu hiệu thâm nhập sau các cuộc kiểm tra bảo mật được tiến hành sau cuộc tấn công.
Quản trị khẩn cấp cho phép phục hồi
Quản trị viên nền tảng đã bắt đầu một cuộc bỏ phiếu quản trị khẩn cấp để giải quyết khủng hoảng. Quy trình dân chủ này đã cho phép Venus Protocol ủy quyền việc thanh lý cưỡng ép ví của kẻ tấn công. Biện pháp khẩn cấp này cho phép các đội phục hồi chiếm lại tài sản bị đánh cắp và chuyển hướng chúng đến một địa chỉ thu hồi an toàn.
Nạn nhân Kuan Sun đã bày tỏ sự biết ơn về nỗ lực đáp ứng phối hợp.
"Điều gì có thể đã là một thảm họa hoàn toàn đã biến thành một trận chiến mà chúng tôi thực sự đã thắng, nhờ vào một nhóm đội ngũ tuyệt vời," Sun phát biểu trong bình luận công khai sau vụ phục hồi.
Nhiều tổ chức đã đóng góp vào kết quả thành công. PeckShield, Binance và SlowMist đã cung cấp thêm hỗ trợ kỹ thuật trong suốt quá trình phục hồi. Kinh nghiệm kết hợp của họ đã chứng minh là quan trọng trong việc theo dõi và đòi lại các tài sản tiền điện tử bị mất.
Hiểu về phương thức tấn công
Kế hoạch lừa đảo này chủ yếu dựa vào các chiến thuật kỹ thuật xã hội thay vì những lỗ hổng kỹ thuật trong hệ thống của Venus Protocol. Những kẻ tấn công đã thuyết phục Sun tải xuống và cài đặt phiên bản chỉnh sửa của phần mềm hội nghị video Zoom phổ biến.
Ứng dụng độc hại này chứa mã ẩn cho phép truy cập trái phép vào các tài khoản tiền điện tử của Sun. Sau khi cài đặt, phần mềm bị chiếm dụng cho phép kẻ tấn công thực hiện các giao dịch thay mặt Sun mà không cần ủy quyền trực tiếp. Những kẻ thực hiện sau đó đã rút dần stablecoin và các tài sản được đóng gói khỏi tài sản của nạn nhân.
Phân tích pháp y của SlowMist sau đó xác nhận kết nối của cuộc tấn công với nhóm Lazarus. Cuộc điều tra của công ty an ninh mạng cho thấy các chiến thuật tương tự với các hoạt động trước đây của Bắc Triều Tiên. "SlowMist đã thực hiện công việc phân tích rộng rãi và là một trong những người đầu tiên chỉ ra rằng Lazarus đứng sau cuộc tấn công này," Sun thừa nhận.
Hồ sơ tội phạm của nhóm Lazarus
Nhóm Lazarus hoạt động như một tập thể tin tặc được tài trợ bởi nhà nước dưới sự chỉ đạo của cơ quan tình báo Bắc Triều Tiên. Các cơ quan an ninh quốc tế đã đổ lỗi cho tổ chức này trong nhiều vụ trộm tiền điện tử nổi tiếng trong những năm qua.
Các hoạt động trước đây của nhóm Lazarus bao gồm việc khai thác cầu nối Ronin trị giá 600 triệu USD và vụ hack sàn giao dịch Bybit trị giá 1,5 tỷ USD. Những sự kiện này đại diện cho một số vụ trộm tiền điện tử lớn nhất trong lịch sử ngành. Phương pháp tinh vi và sự hỗ trợ của nhà nước khiến họ trở thành mối đe dọa dai dẳng đối với các nền tảng tài sản kỹ thuật số trên toàn thế giới.
Các chuyên gia bảo mật lưu ý rằng các tin tặc Bắc Triều Tiên thường nhắm vào các nền tảng tiền điện tử để lách các lệnh trừng phạt kinh tế quốc tế. Các tài sản kỹ thuật số bị đánh cắp cung cấp cho quốc gia bị cô lập một loại tiền thực cho các hoạt động nhà nước khác nhau.
Giải thích các thuật ngữ chính
Các nền tảng tài chính phi tập trung như Venus Protocol hoạt động mà không có sự trung gian của các ngân hàng truyền thống. Người dùng tương tác trực tiếp với các hợp đồng thông minh — các chương trình tự động thực hiện giao dịch khi các điều kiện cụ thể được đáp ứng. Các nền tảng này thường cung cấp dịch vụ cho vay, mượn và giao dịch thông qua công nghệ chuỗi khối.
Stablecoin là tiền điện tử được thiết kế để duy trì giá trị ổn định so với các tài sản tham chiếu như đô la Mỹ.
Tài sản được đóng gói đại diện cho các tiền điện tử truyền thống như Bitcoin đã được chuyển đổi để sử dụng trên các mạng chuỗi khối khác nhau. Cả hai loại tài sản đều có mặt nổi bật trong nỗ lực trộm cắp này.
Các cuộc bỏ phiếu quản trị khẩn cấp cho phép người dùng nền tảng và các bên liên quan thực hiện các quyết định nhanh chóng trong tình huống khủng hoảng. Cơ chế dân chủ này cho phép phản ứng nhanh chóng trước các mối đe dọa bảo mật mà không cần chờ đợi các giai đoạn bỏ phiếu tiêu chuẩn.
Những suy nghĩ cuối cùng
Sự cố của Venus Protocol cho thấy cả những lỗ hổng và khả năng bảo vệ trong các hệ thống tài chính phi tập trung. Trong khi các kẻ tấn công tinh vi thực hiện thành công kế hoạch lừa đảo ban đầu của họ, phát hiện nhanh chóng và nỗ lực phản ứng phối hợp đã ngăn chặn tổn thất vĩnh viễn. Mốc thời gian phục hồi 12 giờ thiết lập một tiền lệ tích cực cho các sự cố bảo mật trong tương lai trong không gian tiền điện tử.