Tắt iMessage ngay trước khi ví crypto của bạn bị hack
Dự án ví crypto Trust Wallet đang kêu gọi mọi người dùng sản phẩm iPhone hãy vô hiệu hóa iMessage để bảo vệ an toàn tài sản của mình.
Dựa trên “nguồn tin tình báo đáng tin cậy” của đội ngũ bảo mật thuộc dự án Trust Wallet, họ đã tìm thấy một trang Web đen rao bán phần mềm mã độc *zero-day có khả năng kiểm soát điện thoại của người dùng. Thông tin được đăng trên X vào lúc 2:53 sáng ngày 16/04/2024 (giờ Việt Nam).
*Zero - day exploit là hình thức tấn công mạng nhắm vào việc khai thác một lỗ hổng trong phần mềm hoặc hệ thống mà các nhà cung cấp sản phẩm chưa biết tới.
Trust Wallet nhấn mạnh rằng lỗ hổng zero-day có thể xâm nhập, kiểm soát điện thoại iPhone mà không cần nhấp vào link không rõ nguồn gốc. Những người sở hữu tài khoản crypto có giá trị cao là đối tượng cần phải chú ý nhất.
Giám đốc điều hành của Trust Wallet - Eowyn Chen đã chia sẻ một ảnh chụp màn hình và tuyên bố đó là một lỗ hổng zero-day tiềm năng, được rao bán với giá 2 triệu USD.
Tuy nhiên, mối đe dọa này đã bị nhiều chuyên gia trong ngành đặt nghi vấn.
"Nếu đây là 'thông tin tình báo đáng tin cậy' của Trust Wallet thì thật đáng xấu hổ. Không hề có bằng chứng nào về lỗ hổng iOS, chỉ có ảnh chụp màn hình của một website tuyên bố "có lỗ hổng"".
Khi được hỏi liệu có phải là "phòng bệnh hơn chữa bệnh," Beau nhấn mạnh rằng cảnh báo của Trust Wallet có thể làm cho người dùng hoảng loạn khi chưa biết rằng mã độc này có thật hay không.
Khoảng 9:00 ngày 16/04/2024 theo giờ Việt Nam, dự án Kerberus Sentinel3 (trước đây là MintDefense), một dự án phát triển phần mềm bảo mật web3 đã lên tiếng chỉ trích Trust Wallet. Họ cho rằng Trust đã gây ra sự hoảng loạn không đáng có cho cộng đồng khi chưa tìm hiểu kỹ về website được cho là bán bản hack này.
Theo Kerberus Sentinel3, đội ngũ truyền thông của Trust Wallet cần phải hợp tác với các chuyên gia bảo mật trước khi đưa ra thông tin có thể gây hiểu nhầm.
Chính tổ chức này đã nghiên cứu trang web bán bản hack và kết luận rằng trang này được xây dựng hoàn toàn từ các đoạn code Javascript do ChatGPT tạo ra, khẳng định đây là một trang lừa đảo và giả mạo.
Tiếp theo đó, một researcher tên @0xfoobar đã đùa rằng "Thật may mắn khi các hacker quyết định thông báo trước cho ví crypto phổ biến thứ bảy trên thế giới về lỗ hổng zero-day trên iOS nhưng lại không cho bất kỳ người nào khác biết ."
Anh còn tiếp tục bình luận rằng Trust Wallet đã bị "lừa" bởi một trang web được tạo hoàn toàn từ ChatGPT.
Trong bối cảnh trên, các nhà nghiên cứu bảo mật tại Kaspersky cũng đã chỉ ra rằng ứng dụng iMessage của Apple đã từng được sử dụng làm phương tiện tấn công bởi các hacker trong các sự kiện trước đây. Cảnh báo người dùng về mức độ nguy hiểm tồn tại trong các ứng dụng công nghệ thông tin.
Ngoài ra, công ty bảo mật Halborn cũng từng tuyên bố vào tháng trước rằng hơn 280 dự án blockchain đang đối mặt với nguy cơ từ các cuộc tấn công zero-day. Nếu xày ra, có thể đe dọa tới ít nhất 25 tỷ USD tài sản của cả người dùng và dự án, làm dấy lên mối lo ngại về an ninh mạng trên toàn thị trường crypto.