Chuyên gia khuyên người dùng crypto dừng tất cả giao dịch on-chain vì lỗ hổng nghiêm trọng

Lỗ hổng mới này có thể tác động sâu rộng đến toàn ngành tiền mã hóa, buộc nhiều chuyên gia bảo mật kêu gọi người dùng tạm dừng giao dịch on-chain để đề phòng.

Chuyên gia khuyên người dùng crypto dừng tất cả giao dịch on-chain vì lỗ hổng nghiêm trọng. Ảnh: The Block

Cập nhật chiều ngày 09/09/2025

Charles Guillemet – Giám đốc Công nghệ (CTO) của Ledger – xác nhận cuộc tấn công on-chain trên hệ sinh thái NPM đã “gần như thất bại”, với không đáng kể nạn nhân bị ảnh hưởng.

Cuộc tấn công bắt nguồn từ một chiến dịch lừa đảo qua email, kẻ xấu đã chiếm được quyền truy cập tài khoản của lập trình viên để phát hành các bản cập nhật mã độc, nhắm tới hoạt động crypto trên Ethereum, Solana và nhiều blockchain khác. Tuy nhiên, sai sót kỹ thuật khiến kế hoạch nhanh chóng bị phát hiện và ngăn chặn.

Update on the NPM attack: The attack fortunately failed, with almost no victims.🔒

It began with a phishing email from a fake npm support domain that stole credentials and gave attackers access to publish malicious package updates. The injected code targeted web crypto activity,… https://t.co/Ud1SBSJ52v pic.twitter.com/lOik6k7Dkp

— Charles Guillemet (@P3b7_) September 9, 2025

Công ty phân tích on-chain Arkham xác nhận thiệt hại trực tiếp chỉ khoảng 504 USD, số tiền này trùng khớp với địa chỉ ví mà Ledger nêu trong cảnh báo.

Thống kê địa chỉ của hacker NPM, ảnh chụp màn hình Arkham vào 05:40 PM ngày 09/09/2025

Nhóm bảo mật SEAL Org nhận định kết quả lần này là “may mắn”, bởi một tài khoản NPM bị chiếm quyền với hàng tỷ lượt tải mỗi tuần có thể tạo ra “khoản lợi nhuận khổng lồ” nếu mã độc tinh vi hơn.

https://t.co/hB5oV2Ba7o

— Security Alliance (@_SEAL_Org) September 8, 2025

Bài viết gốc

Tối ngày 08/09/2025, Giám đốc Công nghệ ví cứng Ledger là ông Charles Guillemet đã phát cảnh báo khẩn cấp về một lỗ hổng an ninh mạng nghiêm trọng, có thể ảnh hưởng đến tất cả giao dịch on-chain của người dùng tiền số.

If you use a Ledger or hardware wallet with clear signing, you are not at risk.

My tweet above is warning people who do not use a hardware wallet with clear signing of the risk. Always review every transaction before you sign.

— Charles Guillemet (@P3b7_) September 8, 2025

Vị CTO của Ledger khẳng định đang có một vụ tấn công dây chuyền, xuất phát từ việc tài khoản NPM – nền tảng chia sẻ thư viện lập trình JavaScript phổ biến - của một lập trình viên có tên tuổi đã bị kẻ xấu xâm nhập. Hiện các gói dữ liệu độc hại hiện đã bị tải xuống hơn 1 tỷ lần, đồng nghĩa với việc mã độc có thể đã lan đến toàn bộ hệ sinh thái JavaScript.

Đáng chú ý, người này tuyên bố mã độc có thể tự động đổi địa chỉ đích trong quá trình thực hiện giao dịch để đánh cắp tài sản crypto của người dùng.

Ông Guillemet cho rằng người dùng ví cứng nên chú ý kỹ đến giao dịch blockchain trước khi ký duyệt, trong khi người dùng các ứng dụng hay giao thức giao dịch on-chain khác thì nên tạm ngừng tương tác cho đến khi vấn đề được khắc phục.

Các chuyên gia bảo mật sau đó đã cung cấp danh sách những gói dữ liệu NPM bị ảnh hưởng, đồng thời khuyến nghị những ai đã tải những gói dữ liệu này phải chuyển đổi phiên bản phần mềm về phiên bản cũ. NPM cũng nhanh chóng hành động để vô hiệu hóa những tệp có mã độc.

Looks like npm disabled the compromised versions of these packages.

However, if your app did an npm update in the last few hours you might still be at risk. Would highly recommend devs check all their dependencies. These are the affected versions:

ansi-styles@6.2.2
debug@4.4.2…

— cygaar (@0xCygaar) September 8, 2025

Một tài khoản khác thì lý giải chi tiết hơn về cách thức lỗ hổng này bị kẻ xấu tận dụng, cho biết mã độc sẽ chỉ xuất hiện ở những trang web hay ứng dụng đã cập nhật NPM sau khi hacker xâm nhập, trong khi những website vẫn dùng phiên bản cũ thì khả năng vẫn an toàn. Tuy vậy, người này vẫn khuyến nghị người dùng crypto tạm dừng giao dịch cho đến khi tình hình được giải quyết.

Explanation of the current npm hack

In any website that uses this hacked dependency, it gives a chance to the hacker to inject malicious code, so for example when you click a "swap" button on a website, the code might replace the tx sent to your wallet with a tx sending money to…

— 0xngmi (@0xngmi) September 8, 2025

Dữ liệu từ Arkham cho thấy địa chỉ của kẻ đã cài mã độc NPM hiện đang nắm giữ gần 500 USD tài sản crypto được cho là lấy cắp từ những người dùng crypto chịu ảnh hưởng từ lỗ hổng trên.

Thống kê địa chỉ của hacker NPM, ảnh chụp màn hình Arkham vào 08:45 AM ngày 09/09/2025

Các ứng dụng ví phổ biến trong ngành crypto mà MetaMask và Phantom thì lên tiếng khẳng định hệ thống bảo mật của họ là nhiều lớp và an toàn, trấn an rằng người dùng sẽ không bị ảnh hưởng bởi lỗ hổng trên.

As a MetaMask user, you do not need to be scared of the supply chain attack that took place earlier today.

MetaMask has multiple layers of defense to protect our products and users:

- Basic Security: We lock our versions, don't push directly to main, have manual and automated…

— MetaMask.eth 🦊 (@MetaMask) September 8, 2025

Phantom is not at risk. We have confirmed Phantom does not use any vulnerable versions of the affected packages.

We take a number of steps to guard against these types of attacks, including:

- Strict version pinning for all dependencies, preventing automatic updates to…

— Phantom (@phantom) September 8, 2025

Coin68 tổng hợp