Nạn nhân tuyệt vọng đã mất 50 triệu USDT do lừa đảo poisoning địa chỉ

Thảm họa xảy ra vào tháng 12 năm ngoái cho thấy mức độ nhanh chóng mà số tiền lớn trong lĩnh vực tiền điện tử có thể biến mất chỉ trong tích tắc do một sai lầm đơn giản. Một nhà giao dịch đã rơi vào tình cảnh tuyệt vọng khi mất gần 50 triệu USDT do một cuộc tấn công tinh vi, sử dụng công nghệ không quá tiên tiến mà dựa trên xu hướng tự nhiên của con người là dựa vào lịch sử trình duyệt và ví của họ.

Cách kẻ tấn công đặt bẫy nhà giao dịch

Mọi chuyện bắt đầu khá vô hại. Nhà giao dịch muốn chuyển tài sản từ sàn giao dịch về ví cá nhân và trước khi thực hiện giao dịch chính, anh ta đã thử gửi 50 USDT để kiểm tra. Giao dịch nhỏ, cẩn thận này gửi đến địa chỉ ví thực của anh ta, nhưng lại trở thành phát hiện của kẻ tấn công, người theo dõi từng bước đi của anh.

Kẻ tấn công đã ngay lập tức tạo ra một địa chỉ ví giả – và đây là điểm mấu chốt – bốn ký tự đầu tiên và bốn ký tự cuối cùng của địa chỉ giả này giống hệt địa chỉ thật. Ví dụ, nếu địa chỉ thật là 0xBAF4…F8B5, thì kẻ gian đã tạo ra một địa chỉ trông gần như không thể phân biệt được với địa chỉ thật đối với người dùng bình thường.

Lịch sử giao dịch bị nhiễm độc – bẫy không nhìn thấy

Kẻ tấn công đã gửi một lượng nhỏ tiền điện tử từ địa chỉ giả này trực tiếp đến nạn nhân. Hành động này thật sự xuất sắc – nó đã phá hủy lịch sử giao dịch của nhà giao dịch, khi chèn địa chỉ giả vào các mục mới nhất. Hầu hết các ví và trình duyệt blockchain hiện đại, do độ dài của địa chỉ, thường rút ngắn chúng thành dạng có dấu chấm lửng ở giữa – chính vì vậy, địa chỉ giả trông giống hệt địa chỉ thật.

Khi nạn nhân quyết định chuyển nốt 49.999.950 USDT còn lại, anh ta đã mắc phải phản xạ tự nhiên: sao chép địa chỉ người nhận từ các giao dịch gần nhất thay vì lấy trực tiếp từ tab “Nhận” trong ví. Chỉ một giây lơ đãng, một thao tác copy-paste sai nguồn – và số tiền đã nằm trong tài khoản của kẻ lừa đảo.

Chạy trốn nhanh chóng: DAI, ETH và ẩn danh

Chỉ 30 phút sau khi địa chỉ bị nhiễm độc, số USDT bị đánh cắp đã được đổi thành stablecoin DAI (giữ giá ổn định quanh mức 1,00 USD), rồi nhanh chóng chuyển đổi thành khoảng 16.690 ETH. Theo dữ liệu thời điểm xảy ra sự cố, ETH được định giá vài nghìn đô la mỗi đồng, xác nhận quy mô thiệt hại tính theo USD. Các đồng tiền này sau đó đã đi qua Tornado Cash – dịch vụ trộn tiền giúp xóa bỏ mối liên hệ trực tiếp giữa địa chỉ gửi và nhận, gần như không thể theo dõi hay truy hồi số tiền.

Nỗ lực tuyệt vọng – và thất bại

Khi nhà giao dịch nhận ra chuyện gì đã xảy ra, anh đã gửi một tin nhắn trên chuỗi tới kẻ tấn công đề nghị thưởng trắng-hat – đề xuất 1 triệu đô la để đổi lấy việc hoàn trả 98% số tiền bị đánh cắp. Đó là một cuộc đàm phán với người vừa mất sạch tiền của họ. Phản hồi? Không có. Cho đến khi báo cáo này được công bố, tài sản vẫn chưa được khôi phục.

Nhà nghiên cứu an ninh mạng nổi tiếng Specter, người đã phân tích vụ việc này, đã bày tỏ sự ngạc nhiên về diễn biến của tình hình: “Đây có lẽ là cách ít có khả năng nhất để mất một số tiền lớn như vậy. Chỉ cần dành vài giây để sao chép đúng địa chỉ, cả thảm họa này đã có thể tránh khỏi.”

Tại sao các cuộc tấn công này ngày càng phổ biến?

Cùng với sự gia tăng giá trị của các ví tiền điện tử, các hình thức lừa đảo như nhiễm độc địa chỉ (address poisoning) đã trở nên có lợi hơn bao giờ hết đối với các tội phạm mạng. Đây không phải là một cuộc hack phức tạp dựa trên các giao thức tiên tiến, không cần khai thác lỗ hổng Zero Day – chỉ cần quan sát, tốc độ và khai thác bản năng con người.

Bốn cách thực tế để bảo vệ khỏi address poisoning

Để tránh rơi vào tình huống tương tự, cả nhà giao dịch dày dạn kinh nghiệm lẫn người mới bắt đầu đều nên áp dụng một số thói quen đơn giản sau:

Thứ nhất, luôn lấy địa chỉ người nhận trực tiếp từ tab “Nhận” trong ví của bạn hoặc từ chính người hoặc dịch vụ mà bạn gửi tiền đến. Không bao giờ sao chép địa chỉ từ lịch sử giao dịch, bất kể bạn có tự tin đến đâu rằng đó là địa chỉ đúng.

Thứ hai, thêm tất cả các địa chỉ đáng tin cậy vào danh sách trắng trong ví của bạn. Nhiều ví tiền điện tử hiện đại cung cấp chức năng này – cho phép bạn đánh dấu các địa chỉ an toàn và nhận cảnh báo khi cố gắng gửi tiền đến địa chỉ ngoài danh sách.

Thứ ba, nếu bạn sử dụng xác thực đầy đủ địa chỉ (full address verification), hãy đặt tiêu chuẩn cho ví cứng hoặc thiết bị khác yêu cầu xác nhận vật lý cho mỗi giao dịch. Điều này bổ sung một lớp xác thực thứ hai – ngay cả khi sao chép sai địa chỉ, thiết bị sẽ hiển thị đầy đủ, giúp bạn nhận ra lỗi.

Thứ tư, đối với các giao dịch lớn, luôn thực hiện một giao dịch thử nhỏ trước. Đây là chiến lược cổ điển mà nhà giao dịch trong bài viết đã áp dụng – tuy nhiên, trong trường hợp của anh ta, kẻ tấn công đã chuẩn bị sẵn sàng cho sự cẩn trọng này và phản ứng phù hợp.

Sự kiện này là một bài học lặp đi lặp lại rằng an ninh trong thế giới tiền điện tử không chỉ dựa vào công nghệ mới nhất – đôi khi, chỉ cần chú ý và thói quen là đủ.