Tin tức 
Thông tin Coin 
Về chúng tôi 
Một cuộc tấn công lừa đảo tinh vi thông qua tính năng phê duyệt ví tiền mã hóa đã khiến một nhà đầu tư mất hơn 3 triệu USD, tương đương khoảng 42,4 tỷ đồng. Theo báo cáo từ Lookonchain, PeckShield và Scam Sniffer ngày 24 (giờ địa phương), hacker đã thành công trong việc chiếm đoạt toàn bộ lượng USDT nền tảng Aave (aEthUSDT) của nạn nhân chỉ nhờ một thao tác ký ví duy nhất.
Trong sự việc được cho là có mức độ tinh vi cao này, kẻ tấn công đã lợi dụng một hợp đồng thông minh giả lập, được thiết lập với giao diện tương tự như một giao dịch hợp pháp, lừa nạn nhân “ký duyệt” cho hành động chuyển tài sản. Theo phân tích từ các công ty bảo mật blockchain, nạn nhân không tự ý gửi hay rút tiền, mà đơn giản chỉ “nhấn” đồng ý một giao dịch có vẻ hợp lệ nhưng thực chất đã cấp quyền toàn diện để hacker thoải mái chuyển tài sản ra khỏi ví.
Cuộc tấn công sử dụng chuẩn ví mới EIP-7702 – vốn ngày càng phổ biến trên nền tảng Ethereum(ETH). Kẻ xấu đã ngụy tạo một giao dịch swap trên nền tảng Uniswap, khiến người dùng tưởng mình đang thực hiện một giao dịch DeFi thông thường. Tuy nhiên, nội dung giao dịch thật là một “chuyển khoản dạng nhóm” (từ batch transfer), dẫn đến toàn bộ tài sản bị chuyển sang ví của hacker chỉ bằng một lần ký.
Điều đáng lo ngại là loại lừa đảo này có thể có hiệu lực ngay cả sau nhiều tháng kể từ thời điểm ký. Scam Sniffer gần đây cũng cảnh báo một trường hợp khác khi một người dùng bị mất tới 908.000 USD (~12,6 tỷ đồng), vì một “chữ ký” đã từng cấp quyền cách đây 15 tháng.
Các chuyên gia bảo mật nhấn mạnh, việc kiểm tra định kỳ và thu hồi các quyền ví không còn dùng đến là "chìa khóa sống còn" để bảo vệ tài sản. Theo báo cáo ngày 24 của Bitget, chỉ riêng trong năm 2024, giá trị thiệt hại liên quan đến các vụ lừa đảo bằng tiền mã hóa lên tới từ 46 tỷ USD (~6,4 nghìn tỷ đồng). Đáng chú ý, khoảng 40% trong số đó liên quan trực tiếp đến các chiêu trò dựa trên trí tuệ nhân tạo như lừa đảo qua hình giả văn bản, giọng nói hoặc video có sử dụng công nghệ deepfake.
Hiện nay, các nền tảng như Bitget, SlowMist và Elliptic đang đầu tư tổng cộng khoảng 300 triệu USD (~4.170 tỷ đồng) để xây dựng các trung tâm chống lừa đảo. Tuy nhiên, các chuyên gia cảnh báo rằng hoàn toàn ngăn chặn các cuộc tấn công này trong thời gian thực vẫn là điều rất khó.
Để tránh trở thành nạn nhân tiếp theo, người dùng cần đặc biệt cẩn trọng với các liên kết KYC, giao dịch bundle, lời mời kết nối từ các DApp và ví phi tập trung. Trước khi thực hiện bất kỳ chữ ký nào, cần xác minh kỹ địa chỉ URL có thuộc nguồn chính thức hay không, và liệu việc ký có dẫn đến chuyển tài sản thực tế hay không.
Bình luận: Trong thế giới blockchain, một lần “nhấn sai” không đơn thuần là lỗi thao tác – đó có thể là “cánh cửa” mở ra cho hàng chục tỷ đồng bốc hơi. Dù bạn là nhà đầu tư lão luyện hay người mới bắt đầu, chỉ cần một lần lơ là là đủ để phải trả giá đắt. Do đó, “từ” xác minh giao dịch và quyền ví phải luôn được ưu tiên trong mọi lúc, mọi nơi.
“từ” bảo mật tiền mã hóa, từ khóa này nên luôn được người dùng ghi nhớ – và nên bắt đầu từ việc nghi ngờ mọi lời mời ký trên chuỗi. Nên nhớ, với blockchain, giao dịch đã ký là giao dịch không thể đảo ngược.
Bình luận 0