📅 Ngày 20 tháng 12 | Hệ sinh thái Crypto Toàn cầu
Trong thế giới crypto, không phải luôn luôn những khai thác tinh vi hay lỗi mã hóa gây ra những tổn thất lớn nhất. Đôi khi, chỉ một cú nhấp chuột sai là đủ. Một nhà giao dịch có kinh nghiệm đã mất gần 50 triệu USD trong USDT sau khi rơi vào một trong những trò lừa đảo đơn giản nhất và, một cách nghịch lý, hiệu quả nhất trong hệ sinh thái: cuộc tấn công làm ô nhiễm địa chỉ.
📖 Theo dữ liệu từ nền tảng phân tích on-chain Lookonchain, nạn nhân đã chuyển 49,999,950 USDT đến một địa chỉ do kẻ tấn công kiểm soát, sau khi rút tiền từ Binance với ý định gửi chúng đến ví của mình.
Quá trình bắt đầu có vẻ an toàn. Như thường lệ, trader đầu tiên thực hiện một giao dịch thử nghiệm 50 USDT đến địa chỉ đích. Tuy nhiên, một kịch bản tự động do kẻ tấn công tạo ra đã phát hiện chuyển động và ngay lập tức tạo ra một địa chỉ giả mạo được thiết kế để trông gần giống hệt như địa chỉ hợp pháp.
Địa chỉ ví giả mạo khớp với năm ký tự đầu tiên và bốn ký tự cuối cùng của địa chỉ thật. Các sự khác biệt nằm ở giữa chuỗi chữ số và chữ cái, một phần mà nhiều giao diện ví ẩn đi bằng dấu ba chấm, tạo điều kiện cho sự nhầm lẫn về thị giác.
Sau đó, kẻ tấn công đã gửi các giao dịch nhỏ từ địa chỉ giả mạo này đến ví của nạn nhân, "làm ô nhiễm" lịch sử giao dịch. Khi trader quay lại vài phút sau và sao chép một địa chỉ từ lịch sử của họ để gửi toàn bộ số tiền, họ đã vô tình chọn địa chỉ độc hại.
Dữ liệu từ Etherscan cho thấy giao dịch thử nghiệm đã xảy ra lúc 3:06 UTC, trong khi việc chuyển nhầm toàn bộ số tiền đã được thực hiện chỉ 26 phút sau, vào lúc 3:32 UTC.
Kẻ tấn công đã hành động với tốc độ cực nhanh. Theo công ty an ninh SlowMist, trong chưa đầy 30 phút, USDT đã được trao đổi lấy DAI qua MetaMask Swap, một động thái chiến lược vì Tether có thể đông lạnh USDT, nhưng DAI thì thiếu các kiểm soát tập trung.
Kẻ tấn công sau đó đã chuyển đổi số tiền thành khoảng 16,690 ETH và gửi 16,680 ETH vào Tornado Cash, trình trộn tiền điện tử, làm cản trở nghiêm trọng việc truy dấu trên chuỗi.
Trong một nỗ lực tuyệt vọng để lấy lại số tiền, nạn nhân đã đề nghị kẻ tấn công một phần thưởng "mũ trắng" trị giá 1 triệu đô la để đổi lấy việc trả lại 98% tài sản bị đánh cắp. Nạn nhân cũng cho biết rằng họ đã nộp đơn khiếu nại hình sự và đang nhận được sự hỗ trợ từ cơ quan thực thi pháp luật, các cơ quan an ninh mạng và nhiều giao thức blockchain.
Đề tài Ý kiến:
Việc làm nhiễm địa chỉ không khai thác các lỗi kỹ thuật, mà là thói quen hàng ngày: sao chép và dán, tin tưởng lịch sử, giả định "Tôi đã thử rồi." Trong một môi trường mà các giao dịch không thể đảo ngược, việc tự động hóa các cuộc tấn công đang tiến triển nhanh hơn việc giáo dục người dùng.
💬 Có nên để ví hiển thị đầy đủ địa chỉ theo mặc định không?
Để lại bình luận của bạn...
#HackerAlert #USDT #Ethereum #TornadoCash #CryptoNews $ETH
