Trong tháng Giêng, một loạt các sai lầm liên quan đến ví và các cuộc tấn công lừa đảo ngày càng tinh vi đã khiến người dùng tiền điện tử mất tổng cộng 62 triệu đô la, một lần nữa làm nổi bật rằng sai sót của con người vẫn là một trong những mắt xích yếu nhất trong bảo mật Web3.
Theo dữ liệu từ nền tảng bảo mật Web3 Scam Sniffer, các khoản lỗ chủ yếu do các cuộc tấn công đầu độc địa chỉ và các kế hoạch lừa đảo chữ ký, cả hai đều khai thác hành vi của người dùng thay vì các lỗ hổng kỹ thuật.
🧠 Sai Lầm của Người Dùng và Sự Tăng Trưởng của Các Cuộc Tấn Công Lừa Đảo
Một trong những sự cố gây chú ý nhất xảy ra vào tháng 1, khi một người dùng tiền điện tử vô tình mất 12,25 triệu đô la sau khi sao chép địa chỉ ví sai. Điều này tiếp theo một trường hợp tương tự vào tháng 12, khi một người dùng khác mất gần 50 triệu đô la do cùng một sai lầm.
Kết hợp, chỉ hai sự cố này đã chiếm phần lớn 62 triệu đô la trong các khoản lỗ đã được báo cáo.
Scam Sniffer cũng báo cáo sự gia tăng mạnh mẽ trong các cuộc tấn công lừa đảo ký tên trong tháng 1:
6,27 triệu đô la bị đánh cắp
4.741 nạn nhân bị ảnh hưởng
Tăng 207% so với tháng 12
Một số tổn thất lớn nhất liên quan đến lừa đảo bao gồm:
3,02 triệu đô la liên quan đến SLVon và XAUt (Tether Gold) thông qua các phê duyệt cho phép độc hại và tăngAllowance
1,08 triệu đô la bị đánh cắp từ aEthLBTC thông qua một chữ ký cho phép
Đáng chú ý, chỉ hai ví đã chiếm gần 65% tổng thiệt hại liên quan đến lừa đảo trong tháng.
🎯 Cách các cuộc tấn công đầu độc địa chỉ hoạt động
Đầu độc địa chỉ là một cuộc tấn công kỹ thuật xã hội trong đó kẻ lừa đảo gửi các giao dịch nhỏ từ các địa chỉ ví giống gần đúng với địa chỉ thực của nạn nhân.
Các địa chỉ giả này thường:
Chia sẻ cùng ký tự đầu và cuối
Xuất hiện hợp pháp trong lịch sử giao dịch
Lừa người dùng sao chép địa chỉ sai khi thực hiện các chuyển khoản trong tương lai
Khi nạn nhân vô tình gửi tiền đến địa chỉ bị đầu độc, tài sản sẽ được chuyển trực tiếp cho kẻ tấn công, với rất ít khả năng phục hồi.
✍️ Lừa đảo Ký tên: Một Mối đe dọa Im lặng nhưng Chết người
Lừa đảo ký tên càng làm tăng nguy cơ bằng cách lừa người dùng ký vào các giao dịch phê duyệt độc hại. Những chữ ký này có thể cấp phép cho kẻ tấn công:
Chi tiêu mã thông báo vào bất kỳ thời điểm nào trong tương lai
Rút ví mà không cần xác nhận thêm
Bởi vì những cuộc tấn công này phụ thuộc vào sự ủy quyền của người dùng, ngay cả những người nắm giữ tiền điện tử có kinh nghiệm cũng có thể trở thành nạn nhân—đặc biệt là khi tương tác với các trang web giả mạo, các dApps bị mạo danh hoặc các pop-up gây hiểu lầm.
💥 Thiệt hại 3 triệu đô la PYTH do một địa chỉ ví giả
Một trường hợp đáng chú ý từ tháng 11 năm ngoái liên quan đến một người nắm giữ tiền điện tử đã mất hơn 3 triệu đô la giá trị của mã thông báo PYTH sau khi gửi tiền đến một địa chỉ ví giả.
Các nhà phân tích blockchain tại Lookonchain tiết lộ rằng:
Kẻ tấn công đã tạo ra một ví phù hợp với bốn ký tự đầu tiên của địa chỉ gửi thực tế của nạn nhân
Một giao dịch nhỏ SOL đã được gửi đến nạn nhân để làm cho địa chỉ trông hợp pháp
Nạn nhân sau đó đã chuyển 7 triệu mã thông báo PYTH mà không kiểm tra lại địa chỉ đầy đủ
Tại thời điểm giao dịch, các mã thông báo PYTH bị đánh cắp có giá trị khoảng 3,08 triệu đô la.
🛡️ Safe Cảnh báo về Chiến dịch Đầu độc Địa chỉ Quy mô Lớn
Đáp lại số lượng sự cố ngày càng tăng, Safe (trước đây là Gnosis Safe), một nhà cung cấp ví multisig không giám sát hàng đầu, đã phát đi cảnh báo về một chiến dịch đầu độc địa chỉ và kỹ thuật xã hội quy mô lớn.
Safe đã tiết lộ rằng kẻ tấn công đã:
Đã tạo ra hàng nghìn địa chỉ ví Safe giả
Nhắm mục tiêu các ví multisig để lừa người dùng chuyển tiền đến các địa chỉ độc hại
Quan trọng, Safe đã nhấn mạnh rằng:
Không có lỗ hổng giao thức
Không có vấn đề gì với cơ sở hạ tầng hoặc hợp đồng thông minh
Để giảm thiểu rủi ro, Safe:
Đã xác định và đánh dấu khoảng 5.000 địa chỉ độc hại
Đã loại bỏ chúng khỏi giao diện Ví Safe để giảm khả năng chuyển nhầm
⚠️ Những suy nghĩ cuối cùng
Các sự cố này là một lời nhắc nhở mạnh mẽ rằng trong tiền điện tử, bảo mật không chỉ liên quan đến công nghệ—mà còn liên quan đến nhận thức của người dùng. Khi các kẻ tấn công tiếp tục tinh chỉnh các chiến thuật kỹ thuật xã hội, ngay cả những sai sót nhỏ trong sự chú ý cũng có thể dẫn đến những tổn thất thảm khốc.
Luôn luôn:
Xác minh địa chỉ ví từng ký tự một
Tránh sao chép địa chỉ từ lịch sử giao dịch
Hủy bỏ các phê duyệt mã thông báo không cần thiết
Hãy cẩn trọng khi ký các quyền
📌 Bài viết này chỉ mang tính chất thông tin và không cấu thành lời khuyên đầu tư. Luôn thực hiện nghiên cứu của bạn trước khi đưa ra quyết định tài chính.
👉 Theo dõi để nhận thêm cập nhật bảo mật tiền điện tử, thông tin trên chuỗi và tin tức thị trường. Hãy giữ an toàn.