Nguy cơ nghiêm trọng: làm thế nào các hacker đánh cắp hàng chục triệu qua các địa chỉ ví giả mạo

Thế giới tiền điện tử liên tục đối mặt với làn sóng lừa đảo mới liên quan đến việc làm giả địa chỉ ví. Gần đây, một người dùng đã trở thành nạn nhân của một vụ lừa đảo nghiêm trọng, mất khoảng $50 triệu đô la do sao chép sai địa chỉ khi thực hiện giao dịch tiền điện tử. Trường hợp này đã tiết lộ một điểm yếu nghiêm trọng trong các thực hành hàng ngày của người dùng trong ngành công nghiệp crypto.

Cách hoạt động của loại tấn công này vào địa chỉ ví

Công nghệ mà kẻ xấu sử dụng khá tinh vi. Nó dựa trên thực tế là hầu hết các giao diện ví hiển thị địa chỉ dưới dạng rút gọn, chỉ cho thấy ký tự đầu và cuối cùng. Chính điều này mà các kẻ lừa đảo lợi dụng.

Trong trường hợp này, nạn nhân ban đầu đã gửi một khoản thử nghiệm $50 đến địa chỉ ví thật của chính mình. Giao dịch thử này đã cung cấp cho kẻ xấu một thông tin quan trọng - hắn ngay lập tức đã làm giả một địa chỉ mới, hoàn toàn trùng khớp với địa chỉ gốc về phần đầu và cuối cùng của chuỗi ký tự. Khi người dùng sau đó sao chép cùng một địa chỉ để thực hiện giao dịch chính với số tiền là $49,999,950, hắn không nhận ra sự thay đổi và chuyển tiền trực tiếp đến địa chỉ do kẻ xấu kiểm soát.

Mô hình này gọi là “poison attack” - tấn công bằng “độc tố” trong chuỗi địa chỉ, trông có vẻ hợp lệ. Vì các giao dịch trên blockchain là không thể đảo ngược, số tiền không thể lấy lại.

Tại sao việc sao chép dán địa chỉ lại nguy hiểm

Các chuyên gia trong ngành crypto đã cảnh báo từ lâu về rủi ro của việc sao chép địa chỉ một cách máy móc từ các nguồn khác nhau. Ngay cả khi địa chỉ trông quen thuộc, kẻ xấu có thể làm giả để nó trông không thể phân biệt bằng mắt thường.

Khuyến nghị đơn giản là: trước khi gửi một khoản lớn bằng tiền điện tử, hãy đảm bảo bạn đã kiểm tra đầy đủ chuỗi địa chỉ, chứ không chỉ phần hiển thị. Một số người dùng sử dụng các công cụ xác minh địa chỉ chuyên dụng, và cách an toàn nhất là lấy địa chỉ trực tiếp từ người nhận qua kênh liên lạc an toàn.

Có các biện pháp bảo vệ chống lại các cuộc tấn công kiểu này không?

Cộng đồng người dùng tiền điện tử đang tích cực thảo luận về các giải pháp khả thi. Đề xuất bao gồm việc triển khai hợp đồng thông minh với danh sách trắng các địa chỉ đã được xác minh, các chiến dịch thông tin chi tiết hơn và các giao diện ví nâng cao hiển thị đầy đủ địa chỉ mà không rút gọn.

Một số nền tảng hàng đầu trong ngành crypto đã bắt đầu hợp tác với các cơ quan thực thi pháp luật để phát hiện và chấm dứt các mô hình lừa đảo quy mô lớn. Những nỗ lực chung này cho thấy vấn đề đã được nhận thức rõ và cần một cách tiếp cận toàn diện.

Các lời khuyên thực tế để bảo vệ tài sản của bạn

Người dùng được khuyến nghị tuân thủ các quy tắc đơn giản nhưng hiệu quả khi làm việc với các khoản lớn trong tiền điện tử:

• Luôn kiểm tra đầy đủ chuỗi địa chỉ, chứ không chỉ phần đầu và cuối
• Đối với các giao dịch lớn, gửi thử một khoản nhỏ trước
• Lấy địa chỉ trực tiếp từ người nhận, không sao chép từ lịch sử
• Sử dụng các công cụ xác minh và nguồn tin cậy
• Không bao giờ vội vàng xác nhận các giao dịch lớn

Trường hợp mất $50 triệu đô la này không chỉ là một sai lầm của một người dùng, mà còn là một ví dụ rõ ràng về vấn đề lừa đảo quy mô lớn trong ngành công nghiệp crypto. Mỗi thành viên trong thị trường tiền điện tử cần hiểu rằng an toàn của địa chỉ ví là trách nhiệm cá nhân của chính họ, và không nền tảng nào có thể bảo vệ hoàn toàn khỏi sự bất cẩn của con người.