Một nhà đầu tư nhỏ lẻ trong lĩnh vực tiền điện tử đã bị mất 4,556 Ethereum, trị giá khoảng 12.4 triệu USD, sau khi trở thành nạn nhân của một cuộc tấn công “đầu độc địa chỉ” rất tinh vi.
Specter, một chuyên gia phân tích blockchain ẩn danh, cho biết vụ trộm xảy ra khoảng 32 giờ sau khi kẻ tấn công gửi một giao dịch giá trị rất nhỏ vào ví của nạn nhân để “dò đường”.
Cách một địa chỉ giả mạo giống thật khiến một nhà đầu tư nhỏ lẻ Ethereum mất hàng triệu USD
Theo phân tích dữ liệu on-chain của Specter, kẻ tấn công đã theo dõi hoạt động giao dịch của nạn nhân suốt hai tháng. Trong thời gian này, hacker đã xác định địa chỉ ví thường xuyên sử dụng cho các giao dịch OTC (giao dịch mua bán ngoài sàn).
SponsoredKẻ tấn công đã sử dụng phần mềm tạo địa chỉ vanity (địa chỉ ví có ký tự theo ý muốn) để làm ra một ví giả trùng ký tự đầu và cuối với địa chỉ thật mà nạn nhân dự định gửi tiền tới.
“Đầu độc địa chỉ” tận dụng thói quen của người dùng là chỉ kiểm tra vài ký tự đầu và cuối của một địa chỉ ví dài. Trong trường hợp này, địa chỉ giả mạo và địa chỉ nhận OTC thật gần như không thể phân biệt bằng mắt thường nếu chỉ nhìn thoáng qua.
Đầu tiên, kẻ tấn công gửi một khoản nhỏ vào ví nạn nhân để làm cho địa chỉ giả xuất hiện nổi bật trên lịch sử giao dịch gần đây của người dùng.
Dựa vào danh sách lịch sử giao dịch này, nạn nhân đã vô tình sao chép địa chỉ “bị đầu độc” thay vì địa chỉ thật khi thực hiện giao dịch chuyển 12.4 triệu USD.
Đây là lần thứ hai trong vài tuần gần đây xảy ra vụ đánh cắp tài sản tiền điện tử có giá trị hàng chục triệu USD bằng thủ đoạn này. Tháng trước, một nhà giao dịch crypto khác cũng đã mất khoảng 50 triệu USD do bị lừa đảo theo cách tương tự.
Nhiều chuyên gia trong ngành cho rằng các vụ tấn công kiểu này ngày càng gia tăng vì giao diện ví thường rút gọn địa chỉ để tiết kiệm chỗ hiển thị, che đi phần ký tự ở giữa – nơi phân biệt địa chỉ thật và giả.
Bên cạnh đó, sự cố lần này cũng làm dấy lên mối lo ngại lớn về cách xác minh địa chỉ giao dịch của các nhà đầu tư tổ chức chuyên nghiệp.
Dù người dùng phổ thông thường chỉ copy-paste địa chỉ ví, nhưng các tổ chức lớn khi giao dịch hàng triệu USD thường có quy trình kiểm tra như whitelist (danh sách địa chỉ tin cậy) và gửi thử một khoản nhỏ trước.
Vì vậy, công ty bảo mật blockchain Scam Sniffer đã khuyến cáo nhà đầu tư không nên dựa hoàn toàn vào lịch sử giao dịch khi chuyển tiền nhiều lần. Thay vào đó, nên sử dụng sổ địa chỉ đã xác thực và lưu trữ cố định để phòng tránh bị lừa bởi các địa chỉ giả mạo trên giao diện ví.
