Cá voi mất trắng 50 triệu USD chỉ vì quên kiểm tra địa chỉ ví

Một câu chuyện hi hữu vừa xảy ra, khi địa chỉ ví “cá voi” vừa mất trắng gần 50 triệu USD chỉ trong vòng chưa đầy một giờ. Nguyên nhân không đến từ một vụ khai thác lỗ hổng bảo mật nghiêm trọng, mà xuất phát từ một sai lầm rất nhỏ sao chép địa chỉ ví từ lịch sử giao dịch mà không kiểm tra kỹ toàn bộ chuỗi ký tự.

Theo dữ liệu trên Etherscan, nạn nhân đã thực hiện gần như đầy đủ các bước an toàn cơ bản khi rút tiền từ sàn giao dịch Binance. Nhà đầu tư này rút khoảng 50 triệu USDT, gửi một giao dịch thử nghiệm với số tiền nhỏ để xác nhận địa chỉ nhận và giao dịch ban đầu diễn ra hoàn toàn bình thường. Tuy nhiên, khi chuyển nốt số tiền còn lại, chủ sở hữu số tiền lại không lấy địa chỉ trực tiếp từ ví nhận mà sao chép nhanh từ lịch sử giao dịch.

Địa chỉ được sao chép có hình thức gần như trùng khớp với địa chỉ ví thật, chỉ khác một vài ký tự ở giữa chuỗi dài hàng chục ký tự. Với cách hiển thị rút gọn quen thuộc có dấu “…” ở trung tâm, sự khác biệt này gần như không thể nhận ra bằng mắt thường nếu không so sánh cẩn thận từng ký tự. Hậu quả là toàn bộ số tiền lớn đã được gửi nhầm sang một địa chỉ giả mạo.

Địa chỉ ví thật của nạn nhân là 0xcb80784ef74c98a89b6ab8d96ebe890859600819, trong khi các địa chỉ được cho là thuộc về kẻ lừa đảo gồm 0xbaff2f13638c04b10f8119760b2d2ae86b08f8b5 và 0x9da061291e11dad806d68c20730c516c34a17b9b. Ngay sau khi nhận được tiền, kẻ tấn công lập tức hoán đổi toàn bộ USDT sang DAI, sau đó hoán đổi thành ETH rồi đưa toàn bộ số tài sản qua Tornado Cash nhằm che giấu dấu vết giao dịch trên mạng lưới Ethereum.

Đọc thêm: Vụ án FIN9 - Khi hacker Việt lấy cắp hơn 71 triệu USD và rửa tiền qua crypto

Đây là một vụ tấn công điển hình theo hình thức tấn công phủ bụi. Trong kiểu lừa đảo này, kẻ xấu không cần xâm nhập ví hay đánh cắp khóa riêng tư. Thay vào đó, chúng khai thác thói quen chủ quan của người dùng khi thường xuyên sao chép địa chỉ từ lịch sử giao dịch.

Cách thức hoạt động của chiêu trò này khá đơn giản nhưng cực kỳ hiệu quả. Kẻ tấn công tạo ra một địa chỉ ví mới có phần đầu và phần cuối giống hệt địa chỉ thật của nạn nhân, sau đó gửi một giao dịch rất nhỏ, chỉ vài xu từ địa chỉ giả đó đến ví của nạn nhân. Giao dịch “bụi” này xuất hiện trong lịch sử ví và do hệ thống chỉ hiển thị rút gọn địa chỉ, người dùng rất dễ nhầm lẫn. Khi cần gửi tiền, nạn nhân sao chép nhầm địa chỉ giả và vô tình chuyển toàn bộ tài sản cho kẻ lừa đảo.

Đọc thêm: CZ lên tiếng cảnh báo: Tài khoản Wechat của Yi He bị hack

Do đặc tính bất khả đảo ngược của blockchain, một khi giao dịch đã được xác nhận trên mạng lưới, số tiền gần như không có khả năng thu hồi. Đây cũng chính là lý do khiến các vụ việc tương tự thường kết thúc bằng thiệt hại hoàn toàn cho nạn nhân.

Vụ mất 50 triệu USD này được xem là lời cảnh tỉnh đắt giá cho toàn bộ cộng đồng tiền điện tử. Các chuyên gia bảo mật khuyến cáo người dùng phải kiểm tra toàn bộ địa chỉ ví từng ký tự, tuyệt đối không dựa vào phần đầu và phần cuối. Địa chỉ nhận nên được lấy trực tiếp từ chức năng “nạp” trong ví hoặc từ danh sách địa chỉ đã được lưu trữ và xác minh an toàn. Việc sử dụng tên miền ENS, ví cứng như Ledger hay Trezor, cũng như kiên nhẫn chờ xác nhận sau giao dịch thử nghiệm, đều là những biện pháp quan trọng để giảm thiểu rủi ro.