StepDrainer rút cạn ví tiền mã hoá trên +20 mạng
Một công cụ đánh cắp tiền mã hoá có tên StepDrainer đang rút cạn tiền từ các ví trên Ethereum, BNB Chain, Arbitrum, Polygon và ít nhất 17 mạng khác.
StepDrainer hoạt động như một bộ công cụ malware-as-a-service. Nó sử dụng các cửa sổ pop-up ví Web3 giả mạo nhưng trông rất thật để lừa người dùng phê duyệt các giao dịch chuyển tiền. Một số màn hình đó được thiết kế để trông giống như kết nối ví Web3Modal.
Theo LevelBlue, khi ai đó kết nối ví của họ, StepDrainer sẽ tìm kiếm các token có giá trị nhất trước và tự động gửi chúng đến các ví do kẻ tấn công kiểm soát.
StepDrainer lạm dụng các công cụ hợp đồng thông minh
StepDrainer lạm dụng các công cụ hợp đồng thông minh thực như Seaport và Permit v2 để hiển thị các pop-up phê duyệt ví trông có vẻ bình thường. Nhưng các chi tiết bên trong những pop-up đó đều là giả mạo.
Trong một trường hợp, các nhà nghiên cứu an ninh mạng phát hiện nạn nhân nhìn thấy một thông báo giả mạo cho biết họ đang nhận "+500 USDT," khiến việc phê duyệt trông có vẻ an toàn.
StepDrainer tải mã độc hại thông qua các script thay đổi liên tục và lấy cấu hình từ các tài khoản trên chuỗi phi tập trung.
Cách thiết lập đó giúp kẻ tấn công né tránh các công cụ bảo mật thông thường vì mã độc hại không được lưu trữ ở một nơi cố định duy nhất nơi nó có thể dễ dàng bị quét.
StepDrainer không chỉ là dự án của một người. Các nhà nghiên cứu cho biết có một thị trường ngầm đã phát triển đang bán các bộ drainer làm sẵn, giúp nhiều kẻ tấn công dễ dàng thêm tính năng đánh cắp ví vào các trò lừa đảo mà họ đang thực hiện.
EtherRAT hút cạn tiền mã hoá từ người dùng Windows
Các nhà nghiên cứu cũng phát hiện một phần mềm độc hại khác ngoài StepDrainer, có tên là EtherRAT. Nó nhắm mục tiêu vào Windows thông qua một phiên bản giả mạo của công cụ quản trị mạng Tftpd64.
Theo LevelBlue, EtherRAT ẩn Node.js bên trong một trình cài đặt giả mạo, đảm bảo nó tồn tại trên máy tính thông qua Windows registry, và sử dụng PowerShell để kiểm tra hệ thống.
EtherRAT ban đầu nhắm mục tiêu vào Linux. Giờ đây nó đang mang các thủ thuật phần mềm độc hại và hành vi đánh cắp tiền mã hoá sang Windows.
EtherRAT âm thầm chạy trong nền. Nó kiểm tra các thứ như công cụ diệt virus, cài đặt hệ thống, thông tin domain và phần cứng trước khi bắt đầu đánh cắp.
Theo một báo cáo gần đây của Cryptopolitan, hơn 500 ví Ethereum đã bị rút cạn trong 24 giờ qua. Kẻ tấn công đã hút hơn 800.000 USD tài sản tiền mã hoá và sau đó swap các khoản tiền qua ThorChain.
Theo nhà nghiên cứu on-chain Wazz, nhiều ví bị rút cạn đã không hoạt động trong hơn 7 năm. Các khoản tiền bị rút được điều hướng bởi một địa chỉ ví duy nhất do kẻ tấn công kiểm soát.
Các nhà nghiên cứu an ninh mạng khuyên người dùng kết nối ví với các trang web lạ nên xác minh domain, đọc kỹ chi tiết giao dịch trước khi ký, và xóa bất kỳ phê duyệt token không giới hạn nào.
Có một con đường trung gian giữa việc để tiền trong ngân hàng và đánh cược vào tiền mã hoá. Hãy bắt đầu với video miễn phí này về tài chính phi tập trung.
Có thể bạn cũng thích
XRP Las Vegas 2026 khai mạc với các diễn giả gọi XRP là đồng tiền dự trữ toàn cầu trong tương lai
![[OPINION] Rủi ro tâm lý xã hội — chi phí ẩn của công việc tại Philippines](https://www.rappler.com/tachyon/2026/04/TL-psychosocial-work-apr-22-2026.jpg)
[OPINION] Rủi ro tâm lý xã hội — chi phí ẩn của công việc tại Philippines
