538 triệu đô bị đánh cắp bởi các drainer: Ví ETH & SOL hợp lực với các biện pháp chặn phishing theo thời gian thực

SEAL, tổ chức phi lợi nhuận về an ninh đã phá vỡ các hoạt động drainer trong lĩnh vực crypto kể từ cuối năm 2023, đã ra mắt một mạng lưới phòng thủ phishing theo thời gian thực vào ngày 22 tháng 10 với sự hợp tác của MetaMask, WalletConnect, Backpack và Phantom.

Liên minh này triển khai công nghệ Verifiable Phishing Reports, cho phép người dùng gửi bằng chứng được xác thực bằng mật mã về các trang web độc hại, từ đó vượt qua nút thắt cổ chai của việc kiểm duyệt thủ công vốn cho phép các drainer thay đổi hạ tầng nhanh hơn khả năng phản ứng của bên phòng thủ.

Theo các báo cáo của CertiK được công bố trong năm, khoảng 538 triệu USD đã bị đánh cắp bởi các cuộc tấn công phishing tính đến ngày 30 tháng 9. Ước tính này không bao gồm vụ khai thác trị giá 1.4 tỷ USD nhằm vào Bybit vào tháng 2.

Sự hợp tác này nhằm giải quyết chu kỳ leo thang trong đó các drainer thích nghi với từng biện pháp giảm thiểu.

Khi SEAL tăng tốc cập nhật eth-phishing-detect, các nhà điều hành drainer thay đổi trang đích thường xuyên hơn.

Khi các nhà cung cấp hạ tầng chặn dịch vụ lưu trữ lạm dụng, các drainer chuyển sang các dịch vụ bulletproof ở nước ngoài. Khi SEAL triển khai quét tự động thông qua Phishing Bot, các drainer sử dụng biện pháp che giấu và chống nhận diện vân tay để tránh bị phát hiện.

Kết quả là một cuộc chạy đua vũ trang nghiêng về phía kẻ tấn công, những người luôn giữ thế chủ động trong khi bên phòng thủ gặp khó khăn trong việc xác thực các báo cáo trên quy mô lớn.

Verifiable Phishing Reporter thay đổi mô hình đối phó. Người dùng gửi báo cáo chứa nội dung chính xác được phục vụ bởi trang phishing nghi ngờ, kèm theo xác thực TLS chứng minh nội dung không bị làm giả.

SEAL xử lý các báo cáo này theo thời gian thực mà không cần phân loại thủ công, vượt qua các kỹ thuật che giấu nhằm ẩn payload độc hại khỏi các trình quét tự động.

Liên minh chuyển các báo cáo đã xác thực vào một hệ thống phát hiện đầu-cuối, chặn các tên miền phishing và các tương tác hợp đồng rủi ro trên các ví tham gia, biến thông tin tình báo cục bộ thành bảo vệ trên toàn mạng lưới.

Ohm Shah, nhà nghiên cứu bảo mật tại MetaMask, phát biểu:

“Drainer luôn là một trò chơi mèo vờn chuột như phần lớn lĩnh vực bảo mật, làm việc cùng SEAL và các nhà nghiên cứu độc lập của họ cho phép các đội ngũ ví như MetaMask linh hoạt hơn và áp dụng nghiên cứu của SEAL vào thực tiễn, thực sự gây khó khăn cho hạ tầng của drainer.”

Derek Rein, CTO của WalletConnect, bổ sung rằng sự hợp tác này mở rộng bảo vệ cho các ví WalletConnect Certified, vốn đã cảnh báo người dùng về các trang scam đã biết.

Armani Ferrante, CEO của Backpack, coi việc tích hợp này là một phần trong sứ mệnh của ví nhằm làm cho việc sở hữu tài sản số trở nên an toàn hơn, trong khi Kim Persson, kỹ sư cao cấp tại Phantom, nhấn mạnh rằng bảo mật tên miền và an toàn người dùng vẫn là ưu tiên cốt lõi.

Đo lường thành công

Hiệu quả của mạng lưới có thể dựa trên ba trụ cột: ít người dùng bị mất tiền hơn, vô hiệu hóa mối đe dọa nhanh hơn và phát hiện chất lượng cao được đo lường so với dữ liệu nền trước khi ra mắt và một nhóm đối chứng phù hợp.

Chỉ số chính là tỷ lệ tổn thất trên mỗi người dùng hoạt động, chẳng hạn như tổn thất tính bằng đô la do phishing trên mỗi 1.000 ví hoạt động hàng tháng, có thể ước tính từ các cụm drainer on-chain, báo cáo tự nguyện của nạn nhân và dữ liệu từ ví.

Tốc độ xác định tầng đo lường thứ hai. Thời gian bảo vệ (Time-to-protect) theo dõi thời gian trung vị và phần trăm thứ 95 từ báo cáo Verifiable Phishing đầu tiên đến khi xuất hiện cảnh báo hoặc chặn trong ví.

Thời gian vô hiệu hóa (Time-to-neutralize) đo riêng các vector web, từ báo cáo đến lan truyền vào danh sách chặn đến khi hạ trang web, và các vector on-chain, nơi báo cáo kích hoạt việc chặn các hợp đồng hoặc địa chỉ rủi ro.

Việc giảm bền vững các khoảng thời gian này nên tương quan với việc giảm tổn thất thực tế.

Phạm vi và chất lượng tạo thành trụ cột thứ ba. Recall đo tỷ lệ tên miền phishing và địa chỉ đã biết được đánh dấu trước giao dịch đầu tiên của nạn nhân, được xác thực qua các nguồn độc lập và điều tra sau sự cố.

Độ chính xác (Precision) được đo bằng một trừ tỷ lệ dương tính giả, xác nhận qua các xác thực TLS sạch tiếp theo và khiếu nại của người dùng.

Các kiểm tra chất lượng bổ sung bao gồm tỷ lệ hành động trên mạng được hỗ trợ bởi xác thực TLS hợp lệ, tỷ lệ loại bỏ trùng lặp giữa các báo cáo viên và thời gian sống trung vị của tên miền sau xác thực đầu tiên.

Các chỉ số hành vi sẽ cho thấy liệu các biện pháp bảo vệ có thay đổi hành động người dùng hay không. Tỷ lệ chuyển hướng (deflection rate) chia số cảnh báo dẫn đến việc từ bỏ hành động rủi ro cho tổng số cảnh báo hiển thị, trong khi tỷ lệ giao dịch bị chặn (blocked-sign rate) đếm số giao dịch bị dừng hoàn toàn.

Tổ chức mời thêm các ví khác tham gia mạng lưới và khuyến khích các nhà nghiên cứu bảo mật cũng như người dùng đóng góp thông qua client Verifiable Phishing Reporter có trên trang web của họ.

Bài viết $538M bị đánh cắp bởi drainer: ETH & SOL wallets hợp lực với các biện pháp chặn phishing theo thời gian thực xuất hiện đầu tiên trên CryptoSlate.