Một vụ trộm tiền điện tử quy mô lớn đã được xác định

Một kế hoạch trộm tiền điện tử quy mô lớn đã được xác định sau khi nhiều người dùng báo cáo về việc truy cập trái phép vào số dư ví vào ngày 14 tháng 2 năm 2025.

Các công ty bảo mật SlowMist và OKX đã phát hành một báo cáo chung tiết lộ rằng một ứng dụng độc hại có tên là BOM chịu trách nhiệm cho các cuộc tấn công.

Nghiên cứu cho thấy BOM được thiết kế để đánh lừa người dùng cung cấp quyền truy cập vào thư viện ảnh và bộ nhớ địa phương của họ. Khi quyền truy cập được cấp, ứng dụng đã âm thầm quét để tìm ảnh chụp màn hình hoặc ảnh chứa các cụm từ ghi nhớ ví hoặc khóa riêng, sau đó được gửi đến máy chủ của kẻ tấn công.

Theo MistTrack, phần mềm độc hại đã ảnh hưởng đến ít nhất 13.000 người dùng, với tổng số tiền bị đánh cắp vượt quá 1,82 triệu đô la. Kẻ tấn công đã chuyển tiền qua nhiều blockchain khác nhau, bao gồm Ethereum, BSC, Polygon, Arbitrum và Base, để che giấu hành động của họ.

Phân tích phần mềm độc hại cho thấy kế hoạch thu thập dữ liệu

Phân tích của đội ngũ an ninh Web3 của OKX cho thấy rằng a
pp được xây dựng bằng framework UniApp đa nền tảng, được thiết kế để trích xuất dữ liệu nhạy cảm. BOM yêu cầu quyền truy cập vào thư viện ảnh và các tệp cục bộ của thiết bị khi cài đặt, một cách gây hiểu lầm khi tuyên bố rằng các quyền này là cần thiết để ứng dụng hoạt động đúng.

Việc giải mã ứng dụng cho thấy mục đích chính của nó là lấy và tải lên thông tin người dùng. Khi người dùng điều hướng đến trang hợp đồng trong ứng dụng, các chức năng được kích hoạt để quét và thu thập các tệp media từ bộ nhớ của thiết bị. Các tệp này sau đó được đóng gói và gửi đến một máy chủ từ xa do kẻ tấn công kiểm soát.

Mã ứng dụng chứa các chức năng như “androidDoingUp” và “uploadBinFa,” được thiết kế có chủ ý để tải xuống hình ảnh và video từ thiết bị và tải chúng lên cho kẻ tấn công. URL báo cáo sử dụng một miền được lấy từ bộ đệm cục bộ của ứng dụng, khiến người dùng khó theo dõi dữ liệu bị đánh cắp của họ.

Ngoài ra, ứng dụng còn có một
chữ ký bất thường với các ký tự ngẫu nhiên (“adminwkhvjv”), không giống như các chữ ký có nghĩa thường thấy trong các ứng dụng hợp pháp, càng làm nổi bật tính chất gian lận của nó.

Phân Tích Quỹ Trên Chuỗi Theo Dõi Dòng Tài Sản Bị Đánh Cắp

Phân tích blockchain tiết lộ dòng quỹ qua một số mạng lưới. Địa chỉ đánh cắp ban đầu thực hiện giao dịch đầu tiên vào ngày 12 tháng 2 năm 2025, bắt đầu với một giao dịch nhận 0.001 BNB.

Trên chuỗi BSC, kẻ tấn công đã thu được khoảng $37,000, chủ yếu bằng USDC, USDT, và WBTC. Những kẻ hack thường xuyên sử dụng PancakeSwap để chuyển đổi nhiều loại token thành BNB. Hiện tại, địa chỉ này nắm giữ 611 BNB và khoảng $120,000 giá trị của các token như USDT, DOGE, và FIL.

Mạng Ethereum chịu tổn thất cao nhất, khoảng $280,000. Phần lớn những tổn thất này là do các giao dịch ETH giữa các chuỗi từ các mạng khác. Kẻ tấn công đã gửi 100 ETH vào một địa chỉ dự phòng, đến địa chỉ này 160 ETH đã được chuyển từ một địa chỉ liên kết khác.
taling 260 ETH được lưu trữ ở đó mà không có sự chuyển động nào khác.

Trên Polygon, những kẻ tấn công đã đánh cắp khoảng 65.000 đô la bằng token, bao gồm WBTC, SAND và STG, chủ yếu được trao đổi trên OKX-DEX để lấy gần 67.000 POL. Các vụ trộm thêm bao gồm 37.000 đô la trên Arbitrum và 12.000 đô la trên Base, với hầu hết các token được trao đổi lấy ETH và sau đó được chuyển sang mạng Ethereum.