Một người dùng tiền điện tử đã mất 50 triệu USDT sau khi trở thành nạn nhân của một vụ lừa đảo đánh cắp địa chỉ trong một cuộc tấn công mạng quy mô lớn.
Vụ trộm, được phát hiện bởi công ty bảo mật Web3 Antivirus, xảy ra sau khi người dùng gửi một giao dịch thử nghiệm trị giá 50 đô la để xác nhận địa chỉ người nhận trước khi chuyển phần tiền còn lại.
Làm thế nào để mất 50 triệu đô la trong chưa đầy một giờ. Đây là một trong những vụ lừa đảo mất tiền on-chain lớn nhất mà chúng tôi từng thấy gần đây.
— Web3 Antivirus (@web3_antivirus) 19 tháng 12 năm 2025
Một nạn nhân duy nhất đã mất 50 triệu đô la trong vụ lừa đảo đánh cắp địa chỉ email. Số tiền này vừa được chuyển đến chưa đầy 1 giờ trước đó.
Người dùng đầu tiên đã gửi một giao dịch thử nghiệm nhỏ đến địa chỉ chính xác. Vài phút… pic.twitter.com/Umsr8oTcXC
Chỉ trong vài phút, Scammer đã tạo ra một địa chỉ ví gần giống với địa chỉ đích, khớp cả ký tự đầu và cuối, vì biết rằng hầu hết các ví đều viết tắt địa chỉ và chỉ hiển thị tiền tố và hậu tố.
Scammer sau đó đã gửi cho nạn nhân một lượng tiền nhỏ "như bụi" để làm sai lệch lịch sử giao dịch của họ. Dường như tin rằng địa chỉ người nhận là hợp lệ và đã được nhập chính xác, nạn nhân đã sao chép địa chỉ từ lịch sử giao dịch của mình và cuối cùng đã gửi 49.999.950 USDT đến địa chỉ của kẻ lừa đảo.
Những giao dịch nhỏ lẻ này thường được gửi đến các địa chỉ có số dư lớn, làm sai lệch lịch sử giao dịch nhằm mục đích bắt lỗi sao chép-dán của người dùng, như trường hợp này. Bots thực hiện những giao dịch này giăng một cái lưới rộng, hy vọng thành công, và chúng đã đạt được điều đó trong trường hợp này.
Dữ liệu blockchain cho thấy số tiền bị đánh cắp sau đó đã được đổi lấy ether (ETH) trị giá 2.977,70 đô la và chuyển qua nhiều ví khác nhau. Một số địa chỉ liên quan đã tương tác với Tornado Cash, một công cụ trộn tiền điện tử được cấp phép, nhằm che giấu dấu vết giao dịch.
Để đáp trả, nạn nhân đã đăng tải một tin nhắn trên chuỗi khối yêu cầu trả lại 98% số tiền bị đánh cắp trong vòng 48 giờ. Tin nhắn này, kèm theo những lời đe dọa pháp lý, đề nghị kẻ tấn công 1 triệu đô la như một phần thưởng dành cho "người chơi chính nghĩa" nếu tài sản được trả lại đầy đủ.
Thông báo cảnh báo rằng việc không tuân thủ sẽ dẫn đến leo thang pháp lý và truy tố hình sự.
“Đây là cơ hội cuối cùng để các người giải quyết vấn đề này một cách hòa bình,” nạn nhân viết trong tin nhắn. “Nếu các người không hợp tác: chúng tôi sẽ đưa vụ việc ra tòa thông qua các kênh thực thi pháp luật quốc tế.”
Tấn công đánh cắp địa chỉ không khai thác lỗ hổng nào trong mã nguồn hay thuật toán mật mã, mà thay vào đó lợi dụng thói quen của người dùng, cụ thể là sự phụ thuộc vào việc khớp địa chỉ một phần và sao chép-dán từ lịch sử giao dịch.
