Một nhà giao dịch tiền điện tử đã mất 50 triệu USDT ( USDT của Tether) sau khi trở thành nạn nhân của một cuộc tấn công "đầu độc địa chỉ" tinh vi.
Vào ngày 20 tháng 12, công ty bảo mật blockchain Scam Sniffer báo cáo rằng vụ tấn công bắt đầu sau khi nạn nhân gửi một giao dịch thử nghiệm nhỏ trị giá 50 đô la đến địa chỉ của chính mình.
Diễn biến của vụ lừa đảo đánh cắp địa chỉ
Đáng chú ý, các nhà giao dịch sử dụng biện pháp phòng ngừa tiêu chuẩn này để xác nhận rằng họ đang gửi tiền đến đúng địa chỉ.
Tuy nhiên, hoạt động đó đã kích hoạt một Script tự động do kẻ tấn công điều khiển, và kịch bản này ngay lập tức tạo ra một địa chỉ ví "giả mạo".
Địa chỉ giả được thiết kế để trùng khớp với địa chỉ của người nhận dự định ở phần đầu và cuối của chuỗi ký tự chữ và số. Sự khác biệt chỉ xuất hiện ở các ký tự ở giữa, khiến cho việc phát hiện gian lận trở nên khó khăn chỉ bằng cái nhìn thoáng qua.
Sau đó, kẻ tấn công đã chuyển một lượng tiền điện tử không đáng kể từ địa chỉ giả mạo đến ví của nạn nhân.
Giao dịch đó đã vô tình đưa địa chỉ gian lận vào lịch sử giao dịch gần đây của nạn nhân, nơi mà nhiều giao diện ví chỉ hiển thị thông tin địa chỉ bị cắt bớt.
Dựa vào cách viết tắt trực quan đó, nạn nhân đã sao chép địa chỉ từ lịch sử giao dịch của mình mà không kiểm tra toàn bộ chuỗi địa chỉ. Vì vậy, thay vì chuyển tiền vào ví cá nhân an toàn, người giao dịch đã gửi trực tiếp 49.999.950 USDT cho kẻ tấn công.
Theo ghi nhận on-chain, sau khi nhận được tiền,kẻ tấn công độc hại đã nhanh chóng tìm cách hạn chế rủi ro bị tịch thu tài sản. Kẻ tấn công ngay lập tức đổi USDT bị đánh cắp (mà bên phát hành có thể đóng băng) lấy stablecoin Dai bằng MetaMask Swap.
Kẻ tấn công chuyển hướng sang che giấu dấu vết giao dịch. Nguồn: SlowmistSau đó, kẻ tấn công đã chuyển đổi số tiền đó thành khoảng 16.680 ETH.
Để che giấu thêm dấu vết giao dịch, kẻ tấn công đã gửi ETH vào Tornado Cash . Dịch vụ trộn tiền phi tập trung này được thiết kế để cắt đứt LINK (Chainlink) rõ ràng giữa địa chỉ gửi và địa chỉ nhận.
Nạn nhân treo thưởng 1 triệu đô la.
Trong nỗ lực thu hồi tài sản, nạn nhân đã gửi một tin nhắn on-chain, đề nghị treo thưởng 1 triệu đô la cho người có chuyên môn để đổi lấy 98% số tiền bị đánh cắp.
“Chúng tôi đã chính thức khởi tố vụ án hình sự. Với sự hỗ trợ của các cơ quan thực thi pháp luật, các cơ quan an ninh mạng và nhiều giao thức blockchain, chúng tôi đã thu thập được thông tin tình báo đáng kể và có thể sử dụng được liên quan đến các hoạt động của bạn”, thông báo cho biết .
Thông điệp cảnh báo rằng nạn nhân sẽ theo đuổi hành động pháp lý "quyết liệt" nếu kẻ tấn công không tuân thủ trong vòng 48 giờ.
“Nếu anh không tuân thủ: Chúng tôi sẽ đưa vụ việc lên cấp cao hơn thông qua các kênh thực thi pháp luật quốc tế và pháp lý. Danh tính của anh sẽ bị lộ và chia sẻ với các cơ quan chức năng có thẩm quyền. Chúng tôi sẽ kiên quyết theo đuổi các hành động hình sự và dân sự cho đến khi công lý được thực thi trọn vẹn. Đây không phải là lời đề nghị. Anh đang được trao cơ hội cuối cùng để tránh những hậu quả không thể đảo ngược,” nạn nhân tuyên bố.
Sự việc này nhấn mạnh một lỗ hổng dai dẳng trong cách ví điện tử hiển thị thông tin giao dịch và cách kẻ tấn công khai thác hành vi người dùng thay vì các lỗi trong mã blockchain.
Các nhà phân tích bảo mật đã nhiều lần cảnh báo rằng việc các nhà cung cấp ví điện tử rút gọn các chuỗi địa chỉ dài vì lý do tiện ích và thiết kế tạo ra một rủi ro thường trực.
Nếu vấn đề này không được giải quyết, tin tặc có thể sẽ tiếp tục lợi dụng thói quen của người dùng chỉ kiểm tra vài ký tự đầu và cuối của địa chỉ.
