Ví tiền mã hóa bị đánh cắp 50 triệu USD vì 'từ khóa' địa chỉ độc hại, Binance cảnh báo khẩn

Một vụ đánh cắp tiền mã hóa với thiệt hại lên đến 50 triệu USD — tương đương khoảng 719 tỷ đồng — đang làm dấy lên lo ngại toàn ngành, khi nhà sáng lập Binance, Triệu Trường Bằng (Changpeng Zhao - CZ), kêu gọi cộng đồng gấp rút triển khai hệ thống chặn “từ khóa” địa chỉ độc hại (Address Poisoning) trên các ví tiền số.

Theo Crypto Briefing đưa tin ngày 20 tháng 12 (giờ địa phương), phát biểu của CZ được đưa ra sau khi một nhà đầu tư mất trắng gần 5.000 vạn USDT do nhầm lẫn địa chỉ ví. Đây là minh chứng rõ nét cho sự nguy hiểm của kiểu lừa đảo đánh lừa thị giác, vốn đang ngày càng tinh vi.

Địa chỉ ‘giả’ gây thiệt hại thật

Sự việc xảy ra ngay sau khi nhà đầu tư thực hiện giao dịch rút tiền từ sàn Binance. Theo trình tự, người này đã chuyển thử 50 USDT về ví cá nhân. Tuy nhiên, hacker đã dùng một đoạn mã tự động để gửi một lượng tiền nhỏ từ một địa chỉ có định dạng rất giống ví người dùng vào lịch sử giao dịch. Việc cấu hình hiển thị sẵn trong nhiều ứng dụng ví — chỉ hiện thị 5 ký tự đầu và cuối của địa chỉ ví, phần giữa được thay bằng dấu ba chấm (...) — tạo điều kiện cho hacker đánh tráo.

Chỉ 26 phút sau lần chuyển thử, nhà đầu tư do sơ suất đã sao chép nhầm địa chỉ giả mạo và chuyển toàn bộ 4,999,950 USDT vào tay kẻ xấu — tương đương gần 719 tỷ đồng. Bình luận: Vụ việc cho thấy ngay cả người dùng có kinh nghiệm vẫn có thể mắc bẫy khi tin vào lịch sử giao dịch mà không xác minh địa chỉ đầy đủ.

CZ kêu gọi triển khai công cụ bảo vệ cấp ví

Trước tình trạng các vụ "từ khóa" địa chỉ độc hại tái diễn, Triệu Trường Bằng đã kêu gọi ngành phát triển hệ thống bảo vệ ngay trong ứng dụng ví. Ông nhấn mạnh rằng, “chỉ cần hệ thống ví phát hiện và xác minh địa chỉ khả nghi, chúng ta hoàn toàn có thể ngăn chặn tình trạng này".

CZ đề xuất thành lập một nhóm hợp tác an ninh giữa các nền tảng ví và sàn giao dịch, nhằm chia sẻ dữ liệu các địa chỉ ví độc hại theo thời gian thực. Một danh sách đen chung có thể giúp người dùng nhận cảnh báo ngay khi nhập hoặc sao chép địa chỉ bị ‘nhiễm độc’. Ông cũng tiết lộ rằng ví của Binance đã bắt đầu áp dụng chức năng chặn và cảnh báo trong những trường hợp khả nghi.

Ngoài ra, CZ kiến nghị phát triển thêm bộ lọc loại bỏ giao dịch spam trong giao diện ví, nhằm ngăn hacker “gieo mồi” vào nhật ký giao dịch của người dùng.

Lặp lại kịch bản thiệt hại hàng triệu USD

Theo công ty phân tích blockchain SlowMist, hacker sau khi nhận được tiền đã lập tức quy đổi USDT sang đồng ổn định DAI, tiếp đó là 16.690 đồng Ethereum(ETH) và đẩy vào dịch vụ trộn Tornado Cash — một công cụ phổ biến để xóa dấu vết giao dịch.

Trong nỗ lực vớt vát hy vọng, người bị hại đã đưa ra mức thưởng ‘mũ trắng’ 1 triệu USD cho bất kỳ ai giúp lấy lại số tiền bị mất.

Đáng chú ý, đây không phải trường hợp đầu tiên. Hồi tháng 5 cùng năm, một nhà đầu tư khác cũng mắc bẫy "từ khóa" địa chỉ độc hại, lỡ tay chuyển 1.150 Wrapped Bitcoin(WBTC), tương đương khoảng 68 triệu USD — gần 978 tỷ đồng — tới ví giả mạo.

Bình luận: Điều này cho thấy đây là hình thức tấn công không mới, nhưng vẫn hiệu quả — khai thác điểm yếu trong thiết kế giao diện người dùng cũng như tâm lý chủ quan của người giao dịch thường xuyên.

Chuyên gia: Cần giải pháp UX và hợp tác toàn mạng lưới

Đánh giá về tình hình, nhiều chuyên gia ngành blockchain nhận định "từ khóa" địa chỉ độc hại thực chất không hề là một kỹ thuật phức tạp. Nó hoàn toàn phụ thuộc vào việc người dùng không kiểm tra kỹ toàn bộ chuỗi ký tự của địa chỉ ví trước khi giao dịch.

Chính tính đặc thù của blockchain — chi phí giao dịch thấp và giao dịch không đảo ngược — khiến các đòn đánh ‘gây nhiễu thị giác’ dù nhỏ nhưng lại có sức huỷ hoại rất lớn.

Bình luận: Để khắc phục triệt để, mô hình UX của ví tiền mã hóa cần được cải tổ toàn diện: từ hiển thị đầy đủ địa chỉ giao dịch đến phát hiện hành vi bất thường theo hành vi người dùng.

Kết luận

Sự kiện mất 719 tỷ đồng vì "từ khóa" địa chỉ độc hại một lần nữa gióng lên hồi chuông báo động về lỗ hổng trong bảo mật ví và giao diện người dùng. Hệ thống xác minh địa chỉ, danh sách đen chia sẻ trong thời gian thực, cũng như khuyến cáo cẩn trọng từ các nền tảng lớn như Binance đang trở nên cần thiết hơn bao giờ hết.

Bên cạnh đó, nhận thức của người dùng cũng cần được nâng cao: hãy kiểm tra kỹ toàn bộ địa chỉ ví trước khi giao dịch, đừng phụ thuộc tuyệt đối vào dữ liệu trong lịch sử chuyển khoản.

Chỉ khi người dùng và nền tảng cùng đồng lòng, "từ khóa" địa chỉ độc hại mới không còn là nỗi ám ảnh trong thế giới tiền mã hóa.