Blog, Tin Tức

Tấn Công Chuỗi Cung Ứng CoinMarketCap: Hơn 43.000 USD Bị Đánh Cắp

Posted on by WAF CSP

Một trong những nền tảng dữ liệu tiền điện tử lớn nhất thế giới – CoinMarketCap – đã trở thành nạn nhân của một cuộc tấn công chuỗi cung ứng cực kỳ tinh vi vào ngày 20/6/2025. Cuộc tấn công này không chỉ gây thiệt hại tài chính cho hơn 100 người dùng, mà còn đặt ra dấu hỏi lớn về an toàn dữ liệu trong hệ sinh thái Web3 và các nền tảng theo dõi thị trường tiền số hiện nay.

Tấn Công Chuỗi Cung Ứng CoinMarketCap
Tấn Công Chuỗi Cung Ứng CoinMarketCap

Sự việc Tấn Công Chuỗi Cung Ứng CoinMarketCap lần này đặc biệt nghiêm trọng vì không nhắm trực tiếp vào hệ thống máy chủ chính của CoinMarketCap, mà đánh vào thành phần tưởng chừng “vô hại” – hình ảnh doodle hiển thị trên trang chủ. Qua đó, tin tặc đã chèn được đoạn mã độc tinh vi nhằm đánh cắp ví điện tử của người truy cập.

🚨 Diễn Biến Cuộc Tấn Công

Vào tối ngày 20/6/2025, người dùng khi truy cập CoinMarketCap bất ngờ nhận được các cửa sổ popup yêu cầu kết nối ví Web3 của họ với trang web. Trong bối cảnh hàng triệu người dùng đang sử dụng ví điện tử để giao dịch hàng ngày, popup này không khiến ai nghi ngờ.

Tuy nhiên, sau khi người dùng làm theo yêu cầu và kết nối ví, toàn bộ tài sản tiền mã hóa của họ nhanh chóng bị rút sạch – không có cảnh báo, không có thông báo, không có cách lấy lại.

Sau đó, CoinMarketCap xác nhận đây là kết quả của một cuộc tấn công chuỗi cung ứng CoinMarketCap, trong đó hình ảnh doodle hiển thị trên trang chủ đã bị lợi dụng để chèn mã JavaScript độc hại.

🔍 Lỗ Hổng Bị Khai Thác

Theo thông báo chính thức từ CoinMarketCap, đội ngũ bảo mật của họ đã xác định lỗ hổng nằm ở hình ảnh doodle hiển thị trên trang chủ. Cụ thể, một payload JSON giả mạo đã được tải về từ một nguồn bên ngoài có tên “static[.]cdnkit[.]io”, trong đó chứa một đoạn script độc hại.

Script này hoạt động ngay khi người dùng truy cập vào trang web. Nó sẽ:

  1. Tự động hiển thị một cửa sổ popup giả mạo giao diện thương hiệu CoinMarketCap.

  2. Yêu cầu người dùng “kết nối ví” thông qua giao thức Web3.

  3. Khi ví được kết nối, script thực hiện các lệnh rút toàn bộ tài sản của ví mà người dùng không hề hay biết.

Công ty an ninh mạng Mỹ – c/side – cho biết, kẻ tấn công không trực tiếp kiểm soát máy chủ chính của CoinMarketCap, mà thay vào đó đã sửa đổi các công cụ bên thứ ba được sử dụng bởi nền tảng này. Đây chính là định nghĩa điển hình của một cuộc tấn công chuỗi cung ứng, khi kẻ tấn công lợi dụng sự tin tưởng lẫn nhau giữa các bên trong hệ sinh thái.

📉 Thiệt Hại Cụ Thể

Một tin tặc sử dụng bí danh “Rey” đã tiết lộ chi tiết hậu trường của cuộc tấn công. Trên một nhóm Telegram, Rey đã chia sẻ ảnh chụp màn hình bảng điều khiển rút tiền, cho thấy số tiền 43.266 USD đã bị đánh cắp từ 110 nạn nhân khác nhau.

Điều đáng nói là hệ thống rút tiền được xây dựng rất chuyên nghiệp, với dashboard theo dõi tình trạng ví, trạng thái kết nối, lượng tài sản đã rút,… cho thấy đây không phải là hành vi tự phát mà là kế hoạch có chuẩn bị từ trước.

🤖 Bối Cảnh

Sự cố của CoinMarketCap không diễn ra trong một bối cảnh đơn lẻ. Thời gian gần đây, hàng loạt cuộc tấn công mạng nghiêm trọng liên tục được phát hiện:

  • Biến thể mới của mã độc Flodrix đang nhắm vào các nền tảng AI như Langflow – nơi lưu trữ hàng loạt dữ liệu trí tuệ nhân tạo và lập trình ngôn ngữ tự nhiên.

  • Các gói độc hại trên PyPI khai thác API của Instagram và TikTok để chiếm quyền xác thực và chiếm đoạt tài khoản người dùng.

  • Hãng hàng không lớn thứ hai của Canada vừa xác nhận đã bị tin tặc xâm nhập, đe dọa dữ liệu hành khách quy mô lớn.

Tất cả cho thấy một xu hướng: tin tặc không còn chỉ nhắm vào hệ thống lõi, mà chuyển hướng sang các thành phần bên ngoài, các gói thư viện, API, hoặc hình ảnh “ngây thơ” trên website.

🧠 Tấn Công Chuỗi Cung Ứng Là Gì? Vì Sao Nguy Hiểm?

Tấn công chuỗi cung ứng CoinMarketCap là ví dụ hoàn hảo về dạng tấn công ngày càng phổ biến này. Thay vì tấn công trực tiếp mục tiêu (trong trường hợp này là máy chủ CoinMarketCap), tin tặc thay đổi hoặc lợi dụng các công cụ, plugin, mã nguồn, API từ bên thứ ba mà nền tảng đang sử dụng.

Vì các thành phần này vốn đã được “tin tưởng”, nên rất khó để phát hiện bất thường. Hệ thống sẽ không cảnh báo, và người dùng cũng không có dấu hiệu nghi ngờ.

Lỗ hổng bảo mật không đến từ yếu tố “lớn” như server hay cơ sở dữ liệu, mà đến từ một… hình ảnh vui nhộn xuất hiện trên trang chủ – điều không ai ngờ tới.

🔐 Làm Gì Để Bảo Vệ Bản Thân Khỏi Các Cuộc Tấn Công Tinh Vi Như Vậy?

Dưới đây là một số khuyến nghị từ các chuyên gia bảo mật hàng đầu:

1. Luôn xác minh popup kết nối ví

Nếu truy cập một website nhưng bất ngờ nhận được yêu cầu kết nối ví, hãy dừng lại và xác minh tính xác thực của yêu cầu này trên các kênh chính thức.

2. Không vội kết nối ví ở trang không rõ nguồn gốc

Tránh đăng nhập hoặc kết nối ví với bất kỳ trang web nào không được xác minh hoặc có popup đáng ngờ.

3. Sử dụng ví chỉ dành cho tương tác Web3

Tạo một ví riêng biệt với lượng tài sản nhỏ để tương tác với các trang Web3, tránh dùng ví chính chứa tài sản lớn.

4. Theo dõi kênh cảnh báo từ cộng đồng

Thường xuyên theo dõi thông báo từ các sàn lớn, dự án blockchain hoặc nền tảng bảo mật uy tín để cập nhật lỗ hổng mới.

5. Định kỳ kiểm tra và thu hồi quyền truy cập dApp

Nhiều ví hiện đại như MetaMask, TrustWallet cho phép bạn xem và thu hồi quyền các trang web đã kết nối. Hãy sử dụng tính năng này thường xuyên.

📌 Kết Luận

Vụ tấn công chuỗi cung ứng CoinMarketCap là lời nhắc nhở mạnh mẽ rằng, trong thế giới kỹ thuật số, nguy cơ có thể đến từ những yếu tố bạn ít ngờ nhất. Một hình ảnh, một đoạn mã, một liên kết API – tất cả đều có thể là “cửa ngách” cho các cuộc xâm nhập. Người dùng nên nâng cao cảnh giác, hiểu rõ bản chất các mối đe dọa, và đầu tư vào việc bảo vệ tài sản số như cách bạn bảo vệ tài sản vật lý. Vì trong thời đại Web3, “một cú click” có thể đánh đổi bằng cả gia tài.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *