Hơn nửa triệu đô la bị đánh cắp: Giải thích về vụ lừa đảo ủy quyền aEthUSDT

Một sự cố an ninh đáng kể đã xuất hiện trong lĩnh vực tiền điện tử, với một người dùng mất khoảng 563.590 đô la giá trị token aEthUSDT thông qua một phương thức ký giả mạo lừa đảo. Theo cuộc điều tra của Scam Sniffer, được công bố vào ngày 16 tháng 12, nạn nhân đã trở thành nạn nhân của một cái bẫy ủy quyền tinh vi khai thác sự sơ suất phổ biến của người dùng.

Cách hoạt động của cuộc tấn công ký giả mạo độc hại

Cơ chế tấn công tập trung vào các “chữ ký ủy quyền” giả mạo — một kỹ thuật mà kẻ lừa đảo lừa người dùng ký vào những gì trông có vẻ là một giao dịch hợp lệ hoặc yêu cầu xác minh. Trong thực tế, người dùng vô tình cấp phép cho kẻ tấn công rút hết số token của họ.

Sự cố này đã khiến nạn nhân phê duyệt một tương tác hợp đồng thông minh có vẻ bình thường. Chữ ký giả mạo này về cơ bản hoạt động như một cánh cửa mở, cho phép kẻ tấn công chuyển toàn bộ số dư aEthUSDT mà không cần sự đồng ý hoặc biết của chủ sở hữu.

Tại sao người dùng aEthUSDT lại gặp nguy hiểm

Việc nhắm mục tiêu vào aEthUSDT đặc biệt cho thấy các kẻ tấn công đang theo dõi các holder token wrapped. Những sản phẩm phái sinh này đặc biệt hấp dẫn vì chúng thường được giao dịch ít bị kiểm soát hơn so với các loại tiền điện tử chính, và người dùng có thể ít quen thuộc với các thực hành bảo mật đúng đắn xung quanh chúng.

Mất mát 560.000 đô la này nhấn mạnh mức độ tàn phá của một giao dịch phê duyệt duy nhất khi người dùng không xác minh chính xác những gì họ đang ký.

Điểm rút ra quan trọng: Xác minh trước khi ký

Trường hợp này nhấn mạnh một nguyên tắc bảo mật cơ bản trong crypto: không bao giờ ký bất cứ điều gì mà không hiểu rõ chính xác các quyền hạn bạn đang cấp phép. Dù là phê duyệt token, tương tác hợp đồng, hay xác minh ví, việc dành thêm 30 giây để xem xét yêu cầu có thể ngăn chặn những tổn thất thảm khốc.

Người dùng nên thường xuyên kiểm tra các hợp đồng đã được phê duyệt của họ và thu hồi các quyền không cần thiết trước khi quá muộn.