Một trader crypto đã mất gần 50 triệu USD dưới dạng stablecoin USDT sau khi trở thành nạn nhân của một vụ tấn công “đầu độc địa chỉ” (address poisoning) – một chiêu lừa khá đơn giản nhưng vẫn thường khiến nhiều người mất cảnh giác, theo các công ty bảo mật.
Nền tảng phân tích onchain Lookonchain cho biết nạn nhân đã chuyển nhầm 49,999,950 USDT vào một địa chỉ do kẻ lừa đảo kiểm soát vào ngày 20/12. Sự việc xảy ra sau khi người này rút tiền từ Binance và cố gắng chuyển về ví cá nhân của mình.
Theo thói quen an toàn, nạn nhân trước tiên gửi một giao dịch thử trị giá 50 USDT đến địa chỉ đích dự định. Tuy nhiên, ngay sau đó, một script tự động của kẻ tấn công đã tạo ra một địa chỉ ví giả mạo, được thiết kế để giống địa chỉ thật ở phần đầu và phần cuối của chuỗi ký tự.
Cụ thể, địa chỉ độc hại có cùng 5 ký tự đầu và 4 ký tự cuối với địa chỉ ví hợp lệ. Sự khác biệt chỉ nằm ở các ký tự giữa – phần thường bị nhiều giao diện ví rút gọn bằng dấu “…” để dễ nhìn. Sau đó, kẻ lừa đảo gửi các giao dịch nhỏ từ địa chỉ giả này vào ví của nạn nhân, khiến lịch sử giao dịch bị “đầu độc”. Khi nạn nhân sao chép một địa chỉ từ lịch sử để thực hiện giao dịch lớn gần 50 triệu USD, họ rất có thể đã vô tình chọn nhầm địa chỉ giả mạo.
Dữ liệu từ Etherscan cho thấy giao dịch thử diễn ra lúc 3:06 UTC, và khoảng 26 phút sau, vào 3:32 UTC, giao dịch chuyển nhầm gần 50 triệu USD được thực hiện.
Theo SlowMist, kẻ tấn công đã nhanh chóng tẩu tán số tiền đánh cắp. Trong vòng 30 phút sau khi nhận USDT, toàn bộ số tiền được đổi sang DAI thông qua MetaMask Swap – một bước đi có chủ đích vì USDT có thể bị Tether đóng băng nếu bị gắn cờ, trong khi DAI là stablecoin phi tập trung, không có cơ chế kiểm soát tập trung. Sau đó, số DAI này được đổi thành khoảng 16,690 ETH, trong đó khoảng 16,680 ETH được gửi vào Tornado Cash – dịch vụ trộn tiền crypto từng bị trừng phạt – nhằm che giấu dấu vết giao dịch.
Để cố gắng lấy lại tài sản, nạn nhân đã gửi một thông điệp onchain cho kẻ tấn công, đề nghị “tiền thưởng mũ trắng” (whitehat bounty) trị giá 1 triệu USD nếu trả lại 98% số tiền bị đánh cắp.
Trong thông điệp, nạn nhân viết: “Chúng tôi đã chính thức nộp đơn tố cáo hình sự. Với sự hỗ trợ của cơ quan thực thi pháp luật, các đơn vị an ninh mạng và nhiều giao thức blockchain, chúng tôi đã thu thập được nhiều thông tin quan trọng và có thể hành động liên quan đến hoạt động của bạn.”
Vụ việc này gợi nhớ đến một sự cố tương tự vào tháng 5/2024, khi một người dùng Ethereum mất 71 triệu USD giá trị wrapped bitcoin do bị tấn công đầu độc địa chỉ. Trong trường hợp đó, nạn nhân đã thu hồi được gần như toàn bộ số tiền sau các cuộc đàm phán onchain, với sự hỗ trợ của công ty an ninh blockchain Match Systems và sàn Cryptex. Tuy nhiên, với việc số tiền trong vụ việc mới đã nhanh chóng bị đưa vào Tornado Cash, khả năng thu hồi vẫn còn là dấu hỏi.
Theo dõi CoinMoi để cập nhật những vấn đề HOT nhất của thị trường crypto nhé!!!
