Nhà giao dịch crypto chịu lỗ 50 triệu USD sau khi bị tấn công address poisoning

Một nhà giao dịch tiền mã hóa đã mất 50 triệu USD bằng USDT của Tether sau khi trở thành nạn nhân của một vụ tấn công “độc chiếm địa chỉ” tinh vi.

Vào ngày 20/12/2023, công ty bảo mật blockchain Scam Sniffer cho biết vụ tấn công bắt đầu khi nạn nhân chuyển thử một giao dịch nhỏ trị giá 50 USD vào chính địa chỉ của mình.

Cách chiêu trò address poisoning đã diễn ra như thế nào

Thông thường, các trader sẽ làm thao tác này như một bước kiểm tra an toàn để chắc chắn rằng họ đang gửi tiền tới đúng địa chỉ mong muốn.

Tuy nhiên, hoạt động này đã khiến một đoạn mã tự động do kẻ tấn công kiểm soát ngay lập tức tạo ra một địa chỉ ví giả mạo.

Địa chỉ giả mạo này được thiết kế để giống với địa chỉ thật ở phần đầu và cuối trong chuỗi ký tự, chỉ khác một vài ký tự ở giữa nên rất khó nhận ra nếu chỉ nhìn lướt qua.

Sau đó, kẻ tấn công chuyển một lượng tiền mã hóa rất nhỏ từ địa chỉ giả tới ví của nạn nhân.

Giao dịch này khiến địa chỉ giả xuất hiện trong lịch sử giao dịch gần đây của nạn nhân, trong khi đa số giao diện ví chỉ hiển thị rút gọn địa chỉ, không đầy đủ toàn bộ ký tự.

Dựa vào cách hiển thị này, nạn nhân đã sao chép địa chỉ từ lịch sử giao dịch mà không kiểm tra kỹ toàn bộ chuỗi ký tự. Do đó, thay vì chuyển tiền về ví an toàn của mình, trader này đã gửi trực tiếp 49,999,950 USDT tới ví của kẻ tấn công.

Sau khi nhận được số tiền, kẻ tấn công đã lập tức thực hiện các thao tác nhằm hạn chế rủi ro bị thu hồi tài sản, theo dữ liệu on-chain. Người này đã ngay lập tức chuyển đổi số USDT vừa chiếm được – loại token mà nhà phát hành có thể đóng băng – sang stablecoin DAI thông qua tính năng MetaMask Swap.

Tiếp theo, kẻ tấn công chuyển đổi số tiền sang khoảng 16,680 ETH.

Để che giấu dấu vết giao dịch thêm nữa, số ETH này đã được gửi vào Tornado Cash – một dịch vụ phi tập trung giúp ngắt kết nối rõ ràng giữa địa chỉ gửi và nhận.

Nạn nhân treo thưởng 1 triệu USD

Để cố gắng lấy lại tài sản, nạn nhân đã gửi một tin nhắn on-chain đề nghị kẻ tấn công trả lại 98% số tiền để nhận về khoản thưởng “white-hat” trị giá 1 triệu USD.

“Chúng tôi đã chính thức trình báo vụ việc. Với sự hỗ trợ của cơ quan thực thi pháp luật, các đơn vị an ninh mạng và nhiều giao thức blockchain, chúng tôi đã thu thập được rất nhiều thông tin quan trọng và có thể sử dụng về hoạt động của bạn,” tin nhắn cho biết.

Tin nhắn cũng cảnh báo nạn nhân sẽ tiến hành các biện pháp pháp lý quyết liệt nếu trong vòng 48 giờ kẻ tấn công không hợp tác.

“Nếu bạn không hợp tác: Chúng tôi sẽ tiếp tục làm việc với các cơ quan thực thi pháp luật quốc tế. Danh tính của bạn sẽ bị lộ và được cung cấp cho nhà chức năng có thẩm quyền. Chúng tôi sẽ quyết tâm truy cứu trách nhiệm hình sự và dân sự đến khi công lý được thực thi. Đây không phải là một lời đề nghị, bạn chỉ có một cơ hội cuối cùng để tránh hậu quả không thể đảo ngược,” nạn nhân khẳng định.

Sự việc này cho thấy một điểm yếu vẫn tồn tại trong cách ví tiền số hiển thị thông tin giao dịch và cách kẻ gian lợi dụng thói quen của người dùng thay vì tấn công vào lỗi kỹ thuật trên blockchain.

Các chuyên gia bảo mật nhiều lần cảnh báo rằng việc rút gọn chuỗi địa chỉ dài của các dịch vụ ví – nhằm tăng sự tiện lợi và thiết kế – thường tiềm ẩn nhiều rủi ro cho người dùng.

Nếu vấn đề này không được giải quyết, kẻ gian chắc chắn vẫn sẽ tiếp tục tận dụng thói quen của người dùng là chỉ kiểm tra vài ký tự đầu và cuối của địa chỉ.