Etherscan, CoinGecko bị tấn công phishing – Spirit Swap bị đánh cắp tên miền và thay đổi source code

Trong những ngày gần đây, hàng loạt trang web thống kê tiền mã hóa như Etherscan và CoinGecko đã bị tấn công phishing nhằm mục đích lấy cắp thông tin của người truy cập, nhiều dự án trong thị trường tiền mã hoá liên tục bị tấn công với những lỗ hổng chủ yếu xoay quanh vấn đề tên miền và giao diện UI như Spirit Swap – AMM top đầu trên hệ sinh thái Fantom.

Etherscan, CoinGecko bị tấn công phishing

Rạng sáng ngày 14/05, nhiều website thống kê dữ liệu crypto phổ biến đã đồng loạt phát cảnh báo đến người dùng rằng nền tảng của họ đang bị tấn công phishing, khuyên người dùng đừng nên nhấn vào các liên kết lạ được hiển thị.

CoinGecko viết:

“Nếu bạn đang sử dụng website CoinGecko và được yêu cầu kết nối ví MetaMask đến trang web này [nftapes.win], thì nó là LỪA ĐẢO. Đừng kết nối, chúng tôi đang điều tra nguyên nhân vấn đề.”

Tương tự, Etherscan cũng thông báo:

“Chúng tôi đã được báo cáo rằng trang web đang bị tấn công phishing qua một bên thứ 3. Hãy cẩn trọng và đừng tham gia bất kỳ giao dịch nào được kêu gọi trên website. Tạm thời chúng tôi đã gián đoạn kết nối đến bên thứ 3 đó.”

Dextools, một website theo dõi crypto phổ biến khác, cũng bị ảnh hưởng và tuyên bố lỗ hổng đến từ một nền tảng quảng cáo tiền mã hóa có tên là Coinzilla.

“Chúng tôi đang vô hiệu hóa mọi quảng cáo cho đến khi Coinzilla làm rõ tình hình. Hãy cẩn trọng và đừng cấp quyền cho những yêu cầu khả nghi liên quan đến ví tiền của bạn. DEXTools sẽ không yêu cầu bạn phải cấp quyền cho bất kỳ thứ gì.”

CoinGecko sau đó cũng xác nhận lỗ hổng đến từ phía Coinzilla.

Tấn công phishing là phương thức mạo danh các dự án tiền mã hóa lớn, yêu cầu người dùng cả tin cung cấp những thông tin nhạy cảm như email, địa chỉ ví và private key để đổi lại một phần thưởng nào đó. Tuy nhiên, sau khi người dùng gửi thông tin, hacker sẽ nhanh chóng dùng chúng để bòn rút tiền từ ví người dùng.

Phương thức tấn công này đang trở nên phổ biến trong thời gian qua, khi có một lượng lớn người dùng tiền mã hóa mới xuất hiện theo làn sóng NFT, chưa nắm hết những hiểm nguy đang rình rập trong quá trình sử dụng ví crypto. Dự án NFT Bored Ape Yacht Club trong thời gian qua liên tục bị tấn công vào Discord, Instagram và bị giả mạo website để kêu gọi người dùng cả tin gửi NFT đến trang web giả để nhận lại token APE hay NFT mới, để rồi mất trắng khoản đầu tư của mình.

Spirit Swap bị đánh cắp tên miền và thay đổi source code

Trên trang Twitter của mình, Spirit Swap đã giải thích sự cố gần đây, liên quan đến những lỗ hổng từ GoDaddy.

“Thoạt đầu, chúng tôi suy đoán vấn đề phát sinh từ AWS, tuy nhiên, sau khi phân tích, chúng tôi phát hiện ra hacker đã khai thác lỗ hổng từ GoDaddy, đánh cắp tên miền của chúng tôi và copy mã nguồn. Tuy nhiên, hacker đã thay đổi một chi tiết trong hàm Swap từ đó chuyển tiền trực tiếp vào ví cá nhân.”

Cũng theo Spirit Swap, đây hoàn toàn không phải vấn đề liên quan đến code của smart contract. Thay vào đó, đây thuần chỉ là những vấn đề ở trên phần giao diện UI.

Sàn giao dịch DEX này cũng cảnh báo người dùng không tương tác với địa chỉ spiritswap.finance ở thời điểm hiện tại, trước khi có những cập nhật mới nhất từ dự án.

“Kế hoạch của chúng tôi hiện sẽ như sau:

1. Chờ đợi những phản hồi từ GoDaddy để lấy lại tên miền

2. Triển khai lại website với tên miền mới (trong trường hợp không thể lấy lại được domain gốc).

3. Triển khai lại tính năng swap

4. Đăng tải các cập nhật và bài phân tích chi tiết sau sự cố”

Đây không phải là vụ việc duy nhất liên quan đến tên miền hay giao diện của các sản phẩm trong ngành tiền mã hoá.

QuickSwap – AMM trên hệ sinh thái Polygon cũng gặp vấn đề tương tự, khi tên miền của dự án này cũng đã bị đánh cắp.