#EthereumWarnsonAddressPoisoning A $50M Sự mất mát phơi bày một lỗi bảo mật hệ thống trong trải nghiệm người dùng Ví tiền và xác minh Địa chỉ

Một vụ lừa đảo đầu độc địa chỉ trị giá $50 triệu USDT gần đây trên Ethereum đã làm nổi bật một trong những lỗ hổng bảo mật nguy hiểm nhất mà người dùng và các tổ chức crypto phải đối mặt. Trong vụ việc này, một khoản chuyển lớn dự kiến cho một ví tiền đã bị gửi nhầm đến một địa chỉ giống hệt đã bị "đầu độc" vào lịch sử giao dịch của nạn nhân thông qua các giao dịch nhỏ được chế tạo cẩn thận. Kẻ tấn công đã tạo ra một địa chỉ ví chia sẻ cùng ký tự đầu và cuối với người nhận dự kiến, lợi dụng thực tiễn phổ biến của ví tiền là cắt ngắn địa chỉ để hiển thị. Tin tưởng vào hình thức rút gọn có sẵn trong lịch sử gần đây của họ, nạn nhân đã sao chép địa chỉ mà không xác minh các ký tự ở giữa, chuyển gần $50 triệu vào ví tiền của kẻ lừa đảo.
Tấn công đánh lừa địa chỉ không phải là một trường hợp ngoại lệ. Đây là một vector tấn công có thể mở rộng. Nghiên cứu cho thấy các kẻ tấn công có thể tạo ra hàng triệu địa chỉ giống hệt trên Ethereum và các chuỗi tương thích EVM khác, dẫn đến tổn thất tài chính đáng kể và ảnh hưởng đến hàng ngàn người dùng. Những cuộc tấn công này khai thác thói quen của ví tiền là ẩn đi các ký tự ở giữa của địa chỉ và chèn các địa chỉ giả vào lịch sử giao dịch, khiến người dùng dễ bị tổn thương trước những sai sót dường như nhỏ nhưng có hậu quả thảm khốc.
Nhiều ví tiền phổ biến không đủ cảnh báo người dùng về các địa chỉ nghi ngờ hoặc giống nhau về mặt hình thức. Các đánh giá của hơn 50 ví tiền Ethereum cho thấy chỉ một tỷ lệ nhỏ thực hiện cảnh báo hiệu quả, để lại hầu hết người dùng dễ bị tổn thương trước các cuộc tấn công khai thác sự tương đồng về mặt hình thức. Ngay cả những người điều hành dày dạn kinh nghiệm cũng có thể bị đánh lừa bởi chế độ thất bại dễ đoán này, cho thấy nguyên nhân gốc rễ không phải là sự bất cẩn của người dùng mà là những thiếu sót trong thiết kế trải nghiệm người dùng của ví tiền.
Trong vụ việc gần đây $50M , nạn nhân đã thực hiện một giao dịch thử nghiệm nhỏ ban đầu, như được khuyến nghị cho các giao dịch có giá trị cao. Tuy nhiên, chỉ vài phút sau, một giao dịch lớn hơn đã được gửi đến địa chỉ độc hại đã được chèn vào lịch sử của Ví tiền. Chỉ trong vòng ba mươi phút, kẻ tấn công đã hoán đổi USDT bị đánh cắp thành các token khác và chuyển tiền qua các mixer, hiệu quả là rửa tiền tài sản bị đánh cắp. Điều này cho thấy các kẻ tấn công có thể khai thác nhanh chóng và hiệu quả những điểm yếu nhỏ trong trải nghiệm người dùng.
Vấn đề hệ thống nằm ở thiết kế ví tiền. Hầu hết các ví tiền hiển thị địa chỉ như "0x1234…ABCD," ngầm đào tạo người dùng chỉ xác minh các đoạn hiển thị. Kẻ tấn công khai thác điều này bằng cách tạo ra các địa chỉ có tiền tố và hậu tố giống hệt nhau, khiến cho sự khác biệt ở phần giữa ẩn giấu gần như không thể nhìn thấy. Vấn đề càng trở nên nghiêm trọng khi kẻ tấn công sử dụng các công cụ tăng tốc GPU để sản xuất hàng nghìn địa chỉ giống nhau và đưa chúng vào lịch sử của người dùng, vũ khí hóa các tương tác ví tiền hàng ngày.
Việc giảm thiểu yêu cầu cả những thay đổi ở cấp độ ví tiền và các thực hành vận hành có kỷ luật. Giao diện ví tiền nên hiển thị đầy đủ địa chỉ theo mặc định và cung cấp các sự khác biệt trực quan để làm nổi bật bất kỳ sự khác biệt nào khi dán hoặc chọn một địa chỉ. Các phương pháp phỏng đoán nên đánh dấu các trường hợp gần giống với các địa chỉ đã biết, và cảnh báo rõ ràng phải được phát ra khi một địa chỉ mới hoặc tương tự về mặt hình thức được sử dụng. Các hệ thống đặt tên dễ đọc như Dịch vụ Tên Ethereum (ENS) có thể giúp ích, nhưng chỉ khi các địa chỉ đã được giải quyết được hiển thị cùng với tên và được xác minh qua các kênh đáng tin cậy.
Đối với người dùng có giá trị cao, DAO, và người quản lý quỹ, kỷ luật hoạt động hiện nay là rất cần thiết. Các phương pháp tốt nhất bao gồm việc xác minh thủ công địa chỉ đầy đủ trước khi phê duyệt các giao dịch chuyển tiền, tránh việc sao chép địa chỉ từ lịch sử ví tiền, thực hiện các giao dịch thử nghiệm với các xác nhận riêng biệt qua các kênh an toàn, duy trì danh sách địa chỉ cho phép an toàn, và thực thi các phê duyệt đa chữ ký cho những người nhận quan trọng hoặc lần đầu tiên. Các doanh nghiệp tiên tiến cũng có thể sử dụng giám sát trên chuỗi để phát hiện các địa chỉ giống nhau hoặc các giao dịch bụi đáng ngờ.
Bài học lớn hơn là rõ ràng: Các lựa chọn UX ưu tiên sự thuận tiện hơn là an ninh tạo ra các vector tấn công có thể dự đoán trong các môi trường thù địch. Những gì từng được coi là thiết kế ví tiền chấp nhận được giờ đây lại đặt ra những rủi ro nghiêm trọng, đặc biệt khi các kẻ tấn công trở nên tinh vi hơn và sự chấp nhận của các tổ chức ngày càng tăng. Việc hiển thị và xác minh địa chỉ phải được coi là các bề mặt an ninh quan trọng, không phải là các yếu tố trang trí. Cho đến khi ví tiền, hệ thống đặt tên và thực hành hoạt động phù hợp với thực tế này, việc lừa đảo địa chỉ tương tự sẽ vẫn là một trong những hình thức trộm cắp hiệu quả và tàn phá nhất trong crypto.