Lừa đảo 'từ địa chỉ độc' gây thiệt hại 1,6 triệu USD chỉ trong một tuần

Trong một tuần qua, hình thức lừa đảo tiền mã hóa mang tên “từ địa chỉ độc (Address Poisoning)” đã khiến người dùng thiệt hại lên tới hơn từ 22,4 tỷ đồng (khoảng 1,6 triệu USD), vượt xa tổng thiệt hại của cả tháng 3 vừa qua.

Theo ScamSniffer – nền tảng chuyên giám sát an ninh blockchain – vào ngày 24 (giờ địa phương), một người dùng Ethereum(ETH) đã vô tình chuyển 140 ETH (trị giá khoảng từ 8,85 tỷ đồng hay 636.500 USD) vào ví giả mạo được tạo ra bằng kỹ thuật “từ địa chỉ độc”. Kẻ xấu đã tinh vi chèn một địa chỉ ví rất giống thật vào lịch sử giao dịch của nạn nhân. Khi người dùng sao chép địa chỉ từ lịch sử giao dịch để chuyển tiếp, họ đã vô tình gửi tiền vào ví của kẻ lừa đảo. ScamSniffer cho biết: "Lịch sử giao dịch trên ví Ethereum của nạn nhân đã bị nhiễm hàng loạt địa chỉ độc."

Nhiều vụ lừa đảo tương tự cũng được ghi nhận. Theo báo cáo từ công ty bảo mật Web3 Antivirus, một người dùng khác đã bị đánh cắp lượng USDT ổn định trị giá khoảng từ 12,2 tỷ đồng (88.000 USD) do dính phải kỹ thuật tương tự. Ngoài ra, hai người dùng khác lần lượt mất khoảng từ 1,11 tỷ đồng (80.000 USD) và từ 862 triệu đồng (62.000 USD) trong các vụ việc khác cùng phương thức.

Dựa trên tổng hợp từ các nhóm an ninh blockchain, CoinTelegraph cho biết tổng thiệt hại chỉ trong một tuần do từ địa chỉ độc đã đạt khoảng từ 22,4 tỷ đồng (1,6 triệu USD), vượt xa tổng thiệt hại ước khoảng từ 16,6 tỷ đồng (1,2 triệu USD) trong suốt tháng 3 trước đó.

Về bản chất, kỹ thuật “từ địa chỉ độc” lợi dụng thói quen sao chép-dán địa chỉ ví khi thực hiện giao dịch. Kẻ gian sẽ tạo ví có địa chỉ gần giống địa chỉ thật và đưa vào lịch sử giao dịch của nạn nhân. Khi không kiểm tra kỹ, người dùng rất dễ dán nhầm và chuyển tiền sai địa chỉ. Với đặc thù ví tiền mã hóa có địa chỉ dài và khó nhớ, cộng thêm yếu tố tâm lý chủ quan khi sao chép địa chỉ trước đây, đây là lỗ hổng an toàn nghiêm trọng.

Các chuyên gia an ninh mạng cảnh báo: người dùng không nên hoàn toàn tin tưởng vào tính năng gợi ý địa chỉ hoặc lịch sử sao chép. Trước khi thực hiện giao dịch, cần phải kiểm tra toàn bộ địa chỉ một cách thủ công để đảm bảo chính xác tuyệt đối. “Đừng bao giờ tin mù quáng vào lịch sử giao dịch, hãy xác minh địa chỉ thật sự trước khi gửi,” các chuyên gia nhấn mạnh khi đề cập đến các rủi ro từ “từ địa chỉ độc”.