Một lỗi sao chép và dán đã dẫn đến mất 50 triệu USD USDT trong quỹ ví

Làm thế nào để dễ dàng đánh cắp số tiền lớn qua lừa đảo ô nhiễm địa chỉ

Các sự kiện an ninh blockchain một lần nữa nhắc nhở người dùng cẩn trọng với từng giao dịch. Theo phân tích theo dõi của nền tảng phân tích blockchain Lookonchain, một nhà đầu tư tiền điện tử đã mất vĩnh viễn 50 triệu USD trong ví USDT do một sai sót nhỏ trong thao tác. Sự kiện này đã làm rõ mức độ nguy hiểm của trò lừa đảo ô nhiễm địa chỉ (address poisoning).

Nguyên nhân của sự việc có vẻ vô hại — người dùng thực hiện các thử nghiệm thông thường trước khi thực hiện chuyển khoản lớn. Anh ta gửi 50 USD vào ví USDT của mình 0xbaf4b…95F8b5 để xác minh. Tuy nhiên, nhóm lừa đảo lợi dụng đặc tính hiển thị của địa chỉ ví, giả mạo một địa chỉ giả có 4 ký tự đầu và 4 ký tự cuối giống hệt địa chỉ thật, nhưng ký tự ở giữa hoàn toàn khác.

Vì người dùng thường chỉ có thể nhìn thấy ký tự đầu và cuối của địa chỉ trong trình duyệt hoặc giao diện ví, toàn bộ 50 triệu USDT cuối cùng đã bị gửi nhầm đến ví do kẻ tấn công kiểm soát. Phương pháp “lừa mắt” này tận dụng tối đa giới hạn nhận thức của con người về chuỗi ký tự dài.

Theo dõi và hành trình chuyển khoản của số tiền bị đánh cắp

Dữ liệu trên blockchain cho thấy ví của người dùng này đã hoạt động liên tục trong hai năm qua, chủ yếu để giao dịch USDT. Ghi nhận lần rút tiền gần nhất từ các nền tảng giao dịch chính cho thấy, vào thời điểm xảy ra sự kiện, người dùng đang tích cực quản lý ví này.

Sau khi nhận được tiền, kẻ tấn công ngay lập tức bắt đầu chuyển khoản. Họ đổi toàn bộ 50 triệu USD USDT thành Ethereum (ETH), theo giá hiện tại khoảng 2974 USD, rồi phân tán ETH vào nhiều ví khác nhau. Một phần số tiền được chuyển vào dịch vụ trộn tiền, làm tăng thêm độ khó trong việc truy vết nguồn gốc.

Một nhà phân tích blockchain bình luận: “Đây chính là thực tế tàn khốc của trò lừa ô nhiễm địa chỉ, không cần xâm nhập hệ thống mà chỉ cần tận dụng thói quen hành vi và giới hạn thị giác của con người.”

Nhiều vụ sai sót địa chỉ trong giao dịch tiền điện tử

Các sai sót về địa chỉ tương tự không phải là hiếm gặp. Tháng 4 năm nay, một mã số Bitcoin (tác phẩm nghệ thuật số) đã bị chuyển nhầm vào địa chỉ nạp Bitcoin tiêu chuẩn của một sàn giao dịch, gây tranh cãi gay gắt về trách nhiệm quản lý quỹ. Mặc dù sàn giao dịch khuyên người dùng gửi Bitcoin thông thường, nhưng sự cố cuối cùng đã gây ra nhiều chỉ trích và phê phán trên mạng xã hội.

Một ví dụ cảnh báo khác đến từ cáo trạng mới nhất của cơ quan thực thi pháp luật — Văn phòng Công tố viên Brooklyn đã buộc tội một kẻ lừa đảo giả danh đại diện chính thức của một nền tảng tiền điện tử nổi tiếng. Hắn dùng các phương thức lừa dối để thuyết phục nạn nhân tin rằng tài khoản của họ đang gặp nguy hiểm về an ninh, cuối cùng khiến nạn nhân chuyển gần 160 triệu USD vào ví do hắn kiểm soát. Nền tảng này cho biết đang phối hợp với cơ quan thực thi pháp luật để truy vết nguồn tiền và hỗ trợ nạn nhân.

Dữ liệu về mất cắp tài sản số

Theo báo cáo của công ty phân tích blockchain Chainalysis, trong vòng một năm gần đây, tổng số tài sản số bị đánh cắp đã lên tới 3,41 tỷ USD. Trong đó, một vụ tấn công hacker vào một sàn giao dịch (liên quan đến 1,5 tỷ USD) chiếm 44% tổng thiệt hại. Ba vụ tấn công nghiêm trọng nhất chiếm 69% tổng thiệt hại của các dịch vụ tiền điện tử, cho thấy mức độ tập trung cao của các vụ trộm lớn.

Các khuyến nghị quan trọng để bảo vệ ví USDT và các tài sản số khác

Đối mặt với các mối đe dọa an ninh này, người dùng nên thực hiện các biện pháp phòng ngừa sau:

Cẩn trọng xác minh từng chi tiết địa chỉ. Trước khi thực hiện bất kỳ giao dịch chuyển khoản nào, nhất định phải xác minh đầy đủ địa chỉ ví qua trình duyệt blockchain hoặc nhiều nguồn khác, chứ không chỉ dựa vào ký tự đầu và cuối của địa chỉ. Đặc biệt chú ý bước này đối với các giao dịch lớn.

Sử dụng giao dịch thử nhỏ. Cách làm của nạn nhân trong vụ việc này — gửi một khoản nhỏ để xác minh — vẫn là thực hành an toàn hiệu quả, nhưng phải đảm bảo quá trình xác minh cẩn thận.

Tránh sao chép dán nhanh chóng. Giảm phụ thuộc vào các công cụ tự động sao chép địa chỉ, thay vào đó kiểm tra thủ công hoặc dùng chức năng danh bạ địa chỉ chính thức của ví.

Kích hoạt nhiều cơ chế bảo mật. Sử dụng ví phần cứng, ví đa chữ ký hoặc dịch vụ yêu cầu xác minh nhiều bước để quản lý số tiền lớn.

Những sự kiện này cùng nhau cho thấy, các biện pháp kỹ thuật không thể hoàn toàn ngăn chặn lỗi con người, ý thức an toàn của người dùng và thói quen thao tác mới là lớp phòng thủ cuối cùng.