Lỗ hổng nghiêm trọng của JavaScript cảnh báo về giao dịch on-chain

Vụ vi phạm đánh thẳng vào on-chain

Câu chuyện bắt đầu bằng một email lừa đảo giả danh hỗ trợ NPM chính thức, được gửi từ một tên miền giả mạo (npmjs.help) đến người bảo trì Josh Junon, được biết đến trên mạng với tên "Qix-."

Tin nhắn có dấu thời gian vào khoảng 13:00 UTC ngày 8 tháng 9, cảnh báo về việc khóa tài khoản sắp xảy ra vào ngày 10 tháng 9 trừ khi xác thực hai yếu tố (2FA) được "cập nhật" thông qua liên kết độc hại.

"Như một phần trong cam kết liên tục của chúng tôi về bảo mật tài khoản, chúng tôi yêu cầu tất cả người dùng cập nhật thông tin xác thực hai yếu tố (2FA) của họ", nội dung viết, bắt chước cách diễn đạt NPM hợp pháp để gây hoang mang.

Junon, một người đóng góp tích cực với các gói được đồng bảo trì cùng với chuyên gia bảo trì hàng đầu Sindre Sorhus, đã hoạt động trong một "tuần căng thẳng", giúp kẻ tấn công kiểm soát hoàn toàn.

Chỉ trong vài phút, tin tặc đã đẩy các bản cập nhật độc hại vào 18 tiện ích cốt lõi, chèn một đoạn mã độc ẩn có khả năng tránh được các lần quét cơ bản.

Nhà nghiên cứu phần mềm độc hại Charlie Eriksen của Aikido Security đã phát hiện ra sự bất thường này vào lúc 13:16 UTC—chỉ năm phút sau khi công bố—và công khai báo cáo trong vòng một giờ.

Mã này kết nối với API của trình duyệt (ví dụ: fetch, XMLHttpRequest, window.ethereum) để theo dõi hoạt động của ví, sau đó hoán đổi địa chỉ người nhận với địa chỉ do kẻ tấn công kiểm soát có giao diện tương tự.

Người dùng nhìn thấy địa chỉ mong muốn trên màn hình nhưng lại ký vào một giao dịch giả mạo, một chiến thuật gợi nhớ đến vụ trộm 1,5 tỷ đô la của Bybit do Tập đoàn Lazarus của Triều Tiên thực hiện vào đầu năm 2025.

Các báo cáo chưa được xác nhận cho thấy khả năng thu hoạch cụm hạt giống, mặc dù Guillemet lưu ý trên X rằng vấn đề này vẫn đang được điều tra.

Phần mềm độc hại nhắm mục tiêu vào nhiều chuỗi—Bitcoin (bech32), Ethereum (0x), Solana (base58), Tron, Litecoin và Bitcoin Cash—bằng cách đánh cắp dữ liệu vào websocket-api2.publicvm.com.

Lỗi thời gian xây dựng trong môi trường Node.js cũ hơn (tìm nạp không được hỗ trợ) trớ trêu thay lại hỗ trợ phát hiện, vì tải trọng đã âm thầm thất bại trong một số thử nghiệm.

Hệ sinh thái có sụp đổ ?

Cộng đồng JavaScript và tiền điện tử đã nhanh chóng huy động lực lượng. Cảnh báo của Guillemet - được chia sẻ hơn 15.000 lần trên X - nhấn mạnh việc xác minh ví phần cứng: "Hãy chú ý đến mọi giao dịch trước khi ký và bạn sẽ an toàn." Người dùng phần mềm được yêu cầu "không thực hiện bất kỳ giao dịch nào trên chuỗi vào lúc này".

Hệ sinh thái của Solana, phụ thuộc nhiều vào JS, đã đưa ra cam kết chung chung: Jupiter xác nhận không có lỗ hổng SDK/UI; Drift đã tạm dừng giao dịch trước; Marinade Finance báo cáo cơ sở mã sạch nhưng kêu gọi cảnh giác.

Ví Aptos Petra đã tạm dừng phát hành để kiểm tra, trong khi ChainArq và TokenOS khẳng định không có sự phụ thuộc nào vào các gói bị nhiễm độc.

Các đơn vị DeFi lớn hơn như Aave và Uniswap đã giám sát các giao diện người dùng, nhưng không có lỗ hổng nào được xác nhận tính đến ngày 9 tháng 9.

Sự việc này diễn ra sau vụ tấn công Nx "s1ngularity" vào năm 2025 (tháng 8), trong đó các công cụ AI đã đánh cắp bí mật GitHub từ 2.180 tài khoản và vụ vi phạm eslint-config-prettier vào tháng 7 (30 triệu lượt tải xuống).

Lừa đảo vẫn tràn lan, Chainalysis ghi nhận 32% tổn thất tiền điện tử đến từ những hình thức lừa đảo này.

Mối đe dọa dành cho blockchain

GitHub (chủ sở hữu NPM) đã đẩy nhanh việc yêu cầu xác thực 2 yếu tố (2FA) bắt buộc đối với người bảo trì cho đến cuối năm, trong khi các công cụ như máy quét AI của Socket (đã đánh dấu điều này) đang được chú ý.

Tiền thưởng phát hiện lỗi thông qua Immunefi đã ngăn chặn được khoản lỗ 25 tỷ đô la, nhưng niềm tin vào mã nguồn mở đang bị xói mòn—các nhà phát triển hiện nay ủng hộ SRI (Tính toàn vẹn tài nguyên phụ) và chữ ký mã.

Theo ước tính, phần mềm độc hại được lưu trong bộ nhớ đệm có thể tồn tại trong 10-20% ứng dụng chưa được vá, gây nguy cơ mất cắp hơn 500 triệu đô la nếu không được giảm thiểu.

Các bước khắc phục:

• Người dùng : Phần cứng (Ledger/Trezor): Xóa dấu mọi giao dịch. Phần mềm (MetaMask): Tạm dừng hoạt động; kiểm tra các giao dịch gần đây trên trình duyệt.

• Nhà phát triển : Chạynpm lscho các deps; ghi đè trong package.json (ví dụ: {"chalk": "^5.3.0"}); xây dựng lại; theo dõi các thông báo npm.

• Ví : Xác minh địa chỉ theo cách thủ công—đừng tin tưởng vào UI.

Tuyên bố miễn trừ trách nhiệm: Thông tin được trình bày trong bài viết này là nhận định cá nhân của tác giả trong lĩnh vực tiền mã hóa. Đây hoàn toàn không phải là lời khuyên tài chính hay đầu tư. Mọi quyết định đầu tư đều nên dựa trên sự cân nhắc kỹ lưỡng danh mục cá nhân và mức độ chấp nhận rủi ro của bạn. Quan điểm trong bài viết không đại diện cho lập trường chính thức của nền tảng. Chúng tôi khuyến nghị người đọc tự nghiên cứu và tham khảo ý kiến chuyên gia trước khi đưa ra bất kỳ quyết định đầu tư nào.