Tài sản tiền điện tử ứng dụng tràn lan: Những rủi ro trong cửa hàng ứng dụng và lo ngại về an toàn của người dùng
Với sự phát triển mạnh mẽ của thị trường Tài sản tiền điện tử, một lượng lớn ứng dụng liên quan đã tràn vào các cửa hàng ứng dụng di động, cung cấp cho người dùng những công cụ phong phú để giao dịch, đầu tư và quản lý tài sản. Tuy nhiên, cơn sốt này cũng tạo ra cơ hội cho kẻ xấu, một số ứng dụng lừa đảo được ngụy trang tinh vi đã len lỏi vào đó, đe dọa nghiêm trọng đến sự an toàn của tài sản người dùng.
Bài viết này sẽ lấy cửa hàng ứng dụng trên nền tảng iOS làm ví dụ, thảo luận về tình trạng hiện tại của các ứng dụng giả mạo Tài sản tiền điện tử, phân tích nguyên nhân của sự tràn lan này, và thông qua các trường hợp thực tế để tiết lộ những mối nguy hiểm tiềm ẩn mà các ứng dụng giả mạo này mang lại, nhằm nâng cao nhận thức cảnh giác của người dùng.
Tình trạng ứng dụng Tài sản tiền điện tử giả mạo
Lấy ví dụ về Magic Eden và Jupiter nổi tiếng, hai nền tảng có ảnh hưởng lớn trong lĩnh vực Tài sản tiền điện tử, đã trở thành mục tiêu chính để các kẻ lừa đảo bắt chước.
Magic Eden như một thị trường giao dịch NFT đa chuỗi phổ biến, cung cấp cho người dùng nền tảng để mua, bán và khám phá các tác phẩm nghệ thuật kỹ thuật số. Tuy nhiên, vào ngày 7 tháng 3, các thành viên trong nhóm Magic Eden phát hiện ra rằng có các ứng dụng giả mạo thương hiệu của họ xuất hiện trên cửa hàng ứng dụng. Những ứng dụng này đã mô phỏng trang web chính thức và thiết kế giao diện, dụ dỗ người dùng tải về và yêu cầu cung cấp các thông tin nhạy cảm như khóa riêng của ví, từ đó thực hiện lừa đảo. Do Magic Eden hiện chưa phát hành ứng dụng di động chính thức, điều này khiến người dùng khó phân biệt được tính xác thực của những ứng dụng độc hại này.
Tương tự, sàn giao dịch phi tập trung Jupiter dựa trên Solana cũng đã gặp phải sự xâm phạm của các ứng dụng giả mạo. Khu vực bình luận của người dùng tràn ngập cảnh báo lừa đảo, có nạn nhân sau khi tải và sử dụng ứng dụng này đã bị đánh cắp 1250 đô la do thao tác ủy quyền. Nghiêm trọng hơn, các ứng dụng này còn đánh cắp cụm từ khôi phục của người dùng, thực hiện các vụ trộm quy mô lớn hơn.
Phân tích địa chỉ lừa đảo
Dựa trên địa chỉ lừa đảo được một người dùng nạn nhân công khai, chúng tôi đã tiến hành phân tích sâu. Địa chỉ này đã đánh cắp cụm từ khôi phục của 298 nạn nhân nghi ngờ và thực hiện rửa tiền trong khoảng thời gian từ ngày 11 tháng 1 năm 2024 đến ngày 30 tháng 3, với tổng số tiền lên tới 353,6 ETH và 330.500 USDT.
Tin tặc sẽ trao đổi các loại token bị đánh cắp qua một DEX thành USDT, sau đó phân tán lưu trữ ở nhiều địa chỉ khác nhau, một phần nguồn vốn thu lợi đã được chuyển qua cầu chuỗi hoặc trực tiếp vào một nền tảng giao dịch nào đó. Cần lưu ý rằng địa chỉ này đã bị đánh dấu là địa chỉ lừa đảo và đã ngừng hoạt động vào ngày 30 tháng 3.
Trường hợp này rõ ràng cho thấy mối đe dọa từ các ứng dụng tiền điện tử giả mạo là có thật và cấp bách. Điều này không chỉ gây tổn hại trực tiếp đến lợi ích kinh tế của người dùng mà còn gây ảnh hưởng tiêu cực nghiêm trọng đến uy tín của các thương hiệu liên quan.
Nguyên nhân của việc ứng dụng giả mạo lan tràn
Quy trình kiểm tra tồn tại lỗ hổng: Mặc dù cửa hàng ứng dụng có cơ chế kiểm tra nghiêm ngặt, nhưng vẫn có khả năng bị lách. Một số nhà phát triển có thể tận dụng lỗ hổng trong quá trình kiểm tra, khiến ứng dụng giả mạo hoặc gian lận tạm thời vượt qua được kiểm tra. Ngay cả khi ứng dụng đã được phát hành và bị phát hiện sử dụng cho mục đích độc hại, từ khi phát hiện đến khi gỡ bỏ cũng cần một khoảng thời gian nhất định, điều này đã tạo ra đủ không gian hoạt động cho tội phạm.
Lạm dụng các phương tiện kỹ thuật: Các nhà phát triển bất hợp pháp có thể sử dụng các phương tiện kỹ thuật tiên tiến để né tránh kiểm tra an ninh. Ví dụ, sử dụng mã hóa và tải nội dung động để che giấu ý định thực sự của ứng dụng, khiến cho các công cụ kiểm tra an ninh tự động khó nhận diện được bản chất lừa đảo của nó.
Lợi dụng niềm tin của người dùng: Các nhà phát triển ứng dụng giả mạo thông qua việc bắt chước giao diện và tên của các ứng dụng nổi tiếng, lợi dụng niềm tin của người dùng vào thương hiệu, làm cho họ nhầm lẫn khi tải xuống và sử dụng. Do người dùng thường cho rằng các ứng dụng trong cửa hàng ứng dụng đã được kiểm tra nghiêm ngặt, nên có thể bỏ qua sự cần thiết phải xác minh thêm.
Đề xuất phòng ngừa
Để đối phó với vấn đề này, cửa hàng ứng dụng cần liên tục cải thiện quy trình đánh giá của mình; các bên dự án chính thức nên kịp thời phát hiện và báo cáo ứng dụng giả mạo; trong khi đó, người dùng tài sản tiền điện tử nên thực hiện các biện pháp phòng ngừa sau:
Xác minh thông tin nhà phát triển một cách cẩn thận
Tải về xem chi tiết đánh giá ứng dụng và phản hồi của người dùng
Báo cáo kịp thời các ứng dụng nghi ngờ
Chỉ tải ứng dụng từ các kênh chính thức
Cảnh giác với các ứng dụng yêu cầu cung cấp khóa riêng hoặc cụm từ khôi phục
Thông qua nỗ lực chung của nhiều bên, chúng ta mới có thể xây dựng một hệ sinh thái ứng dụng Tài sản tiền điện tử an toàn hơn, bảo vệ an toàn tài sản của người dùng.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
10 thích
Phần thưởng
10
3
Đăng lại
Chia sẻ
Bình luận
0/400
ClassicDumpster
· 16giờ trước
Những đồ ngốc này thật sự là không thể chơi đùa với mọi người được.
Xem bản gốcTrả lời0
PhantomMiner
· 16giờ trước
又是一地 đồ ngốc chơi đùa với mọi người
Xem bản gốcTrả lời0
BearMarketGardener
· 16giờ trước
Apple kiểm duyệt sao mà kém vậy? Để altcoin hoành hành.
Tài sản tiền điện tử giả mạo ứng dụng đe dọa bảo mật tài sản của người dùng, lỗ hổng kiểm duyệt của cửa hàng ứng dụng cần được giải quyết ngay.
Tài sản tiền điện tử ứng dụng tràn lan: Những rủi ro trong cửa hàng ứng dụng và lo ngại về an toàn của người dùng
Với sự phát triển mạnh mẽ của thị trường Tài sản tiền điện tử, một lượng lớn ứng dụng liên quan đã tràn vào các cửa hàng ứng dụng di động, cung cấp cho người dùng những công cụ phong phú để giao dịch, đầu tư và quản lý tài sản. Tuy nhiên, cơn sốt này cũng tạo ra cơ hội cho kẻ xấu, một số ứng dụng lừa đảo được ngụy trang tinh vi đã len lỏi vào đó, đe dọa nghiêm trọng đến sự an toàn của tài sản người dùng.
Bài viết này sẽ lấy cửa hàng ứng dụng trên nền tảng iOS làm ví dụ, thảo luận về tình trạng hiện tại của các ứng dụng giả mạo Tài sản tiền điện tử, phân tích nguyên nhân của sự tràn lan này, và thông qua các trường hợp thực tế để tiết lộ những mối nguy hiểm tiềm ẩn mà các ứng dụng giả mạo này mang lại, nhằm nâng cao nhận thức cảnh giác của người dùng.
Tình trạng ứng dụng Tài sản tiền điện tử giả mạo
Lấy ví dụ về Magic Eden và Jupiter nổi tiếng, hai nền tảng có ảnh hưởng lớn trong lĩnh vực Tài sản tiền điện tử, đã trở thành mục tiêu chính để các kẻ lừa đảo bắt chước.
Magic Eden như một thị trường giao dịch NFT đa chuỗi phổ biến, cung cấp cho người dùng nền tảng để mua, bán và khám phá các tác phẩm nghệ thuật kỹ thuật số. Tuy nhiên, vào ngày 7 tháng 3, các thành viên trong nhóm Magic Eden phát hiện ra rằng có các ứng dụng giả mạo thương hiệu của họ xuất hiện trên cửa hàng ứng dụng. Những ứng dụng này đã mô phỏng trang web chính thức và thiết kế giao diện, dụ dỗ người dùng tải về và yêu cầu cung cấp các thông tin nhạy cảm như khóa riêng của ví, từ đó thực hiện lừa đảo. Do Magic Eden hiện chưa phát hành ứng dụng di động chính thức, điều này khiến người dùng khó phân biệt được tính xác thực của những ứng dụng độc hại này.
Tương tự, sàn giao dịch phi tập trung Jupiter dựa trên Solana cũng đã gặp phải sự xâm phạm của các ứng dụng giả mạo. Khu vực bình luận của người dùng tràn ngập cảnh báo lừa đảo, có nạn nhân sau khi tải và sử dụng ứng dụng này đã bị đánh cắp 1250 đô la do thao tác ủy quyền. Nghiêm trọng hơn, các ứng dụng này còn đánh cắp cụm từ khôi phục của người dùng, thực hiện các vụ trộm quy mô lớn hơn.
Phân tích địa chỉ lừa đảo
Dựa trên địa chỉ lừa đảo được một người dùng nạn nhân công khai, chúng tôi đã tiến hành phân tích sâu. Địa chỉ này đã đánh cắp cụm từ khôi phục của 298 nạn nhân nghi ngờ và thực hiện rửa tiền trong khoảng thời gian từ ngày 11 tháng 1 năm 2024 đến ngày 30 tháng 3, với tổng số tiền lên tới 353,6 ETH và 330.500 USDT.
Tin tặc sẽ trao đổi các loại token bị đánh cắp qua một DEX thành USDT, sau đó phân tán lưu trữ ở nhiều địa chỉ khác nhau, một phần nguồn vốn thu lợi đã được chuyển qua cầu chuỗi hoặc trực tiếp vào một nền tảng giao dịch nào đó. Cần lưu ý rằng địa chỉ này đã bị đánh dấu là địa chỉ lừa đảo và đã ngừng hoạt động vào ngày 30 tháng 3.
Trường hợp này rõ ràng cho thấy mối đe dọa từ các ứng dụng tiền điện tử giả mạo là có thật và cấp bách. Điều này không chỉ gây tổn hại trực tiếp đến lợi ích kinh tế của người dùng mà còn gây ảnh hưởng tiêu cực nghiêm trọng đến uy tín của các thương hiệu liên quan.
Nguyên nhân của việc ứng dụng giả mạo lan tràn
Quy trình kiểm tra tồn tại lỗ hổng: Mặc dù cửa hàng ứng dụng có cơ chế kiểm tra nghiêm ngặt, nhưng vẫn có khả năng bị lách. Một số nhà phát triển có thể tận dụng lỗ hổng trong quá trình kiểm tra, khiến ứng dụng giả mạo hoặc gian lận tạm thời vượt qua được kiểm tra. Ngay cả khi ứng dụng đã được phát hành và bị phát hiện sử dụng cho mục đích độc hại, từ khi phát hiện đến khi gỡ bỏ cũng cần một khoảng thời gian nhất định, điều này đã tạo ra đủ không gian hoạt động cho tội phạm.
Lạm dụng các phương tiện kỹ thuật: Các nhà phát triển bất hợp pháp có thể sử dụng các phương tiện kỹ thuật tiên tiến để né tránh kiểm tra an ninh. Ví dụ, sử dụng mã hóa và tải nội dung động để che giấu ý định thực sự của ứng dụng, khiến cho các công cụ kiểm tra an ninh tự động khó nhận diện được bản chất lừa đảo của nó.
Lợi dụng niềm tin của người dùng: Các nhà phát triển ứng dụng giả mạo thông qua việc bắt chước giao diện và tên của các ứng dụng nổi tiếng, lợi dụng niềm tin của người dùng vào thương hiệu, làm cho họ nhầm lẫn khi tải xuống và sử dụng. Do người dùng thường cho rằng các ứng dụng trong cửa hàng ứng dụng đã được kiểm tra nghiêm ngặt, nên có thể bỏ qua sự cần thiết phải xác minh thêm.
Đề xuất phòng ngừa
Để đối phó với vấn đề này, cửa hàng ứng dụng cần liên tục cải thiện quy trình đánh giá của mình; các bên dự án chính thức nên kịp thời phát hiện và báo cáo ứng dụng giả mạo; trong khi đó, người dùng tài sản tiền điện tử nên thực hiện các biện pháp phòng ngừa sau:
Thông qua nỗ lực chung của nhiều bên, chúng ta mới có thể xây dựng một hệ sinh thái ứng dụng Tài sản tiền điện tử an toàn hơn, bảo vệ an toàn tài sản của người dùng.