Tại sao chương trình điều trị ngộ độc, bất chấp "học phí" khổng lồ lên tới 50 triệu đô la, lại liên tục thành công?
Tựa đề gốc: 50 triệu đô la bị đánh cắp chỉ vì địa chỉ không được kiểm tra kỹ lưỡng.
Tác giả gốc: Eric, Foresight News
Sáng sớm hôm qua theo giờ Bắc Kinh, một nhà phân tích chuỗi khối có tên Specter đã phát hiện ra một trường hợp gần 50 triệu USDT được chuyển vào địa chỉ của một hacker do sơ suất trong việc kiểm tra địa chỉ chuyển tiền.
Theo điều tra của tôi, địa chỉ (0xcB80784ef74C98A89b6Ab8D96ebE890859600819) đã rút 50 USDT từ Binance vào khoảng 13:00 giờ Bắc Kinh ngày 19 như một thử nghiệm trước khi thực hiện rút tiền lớn.
Khoảng 10 giờ sau, địa chỉ này đã rút 49.999.950 USDT từ Binance trong một lần. Cộng với 50 USDT đã rút trước đó, tổng số tiền đạt chính xác 50 triệu USD.
Khoảng 20 phút sau, địa chỉ nhận được 50 triệu USDT đã chuyển 50 USDT đến 0xbaf4…95F8b5 để thử nghiệm.
Chưa đầy 15 phút sau khi giao dịch thử nghiệm hoàn tất, địa chỉ hacker 0xbaff…08f8b5 đã chuyển 0,005 USDT đến địa chỉ chứa số USDT còn lại là 49.999.950 USDT. Địa chỉ mà hacker sử dụng rất giống với địa chỉ đã nhận 50 USDT, cho thấy đây là một trường hợp tấn công "đầu độc địa chỉ" rõ ràng.
Mười phút sau, khi địa chỉ bắt đầu bằng 0xcB80 chuẩn bị chuyển 40 triệu USDT còn lại, có thể nó đã vô tình sao chép giao dịch trước đó, vốn là địa chỉ mà hacker đã "đầu độc" thiết bị, trực tiếp chuyển gần 50 triệu USDT vào tay hacker.
Với 50 triệu đô la trong tay, nhóm hacker bắt đầu rửa tiền chỉ 30 phút sau đó. Theo SlowMist, nhóm hacker đầu tiên chuyển đổi USDT thành DAI thông qua MetaMask, sau đó dùng toàn bộ DAI để mua khoảng 16.690 Ethereum, giữ lại 10 ETH và chuyển phần Ethereum còn lại sang Tornado Cash.
Khoảng 4 giờ chiều giờ Bắc Kinh hôm qua, nạn nhân đã đăng một thông báo trên blockchain cho biết đã đệ đơn kiện hình sự chính thức và với sự hỗ trợ của các cơ quan thực thi pháp luật, các cơ quan an ninh mạng và nhiều giao thức blockchain, một lượng lớn thông tin tình báo đáng tin cậy về hoạt động tấn công mạng đã được thu thập. Nạn nhân cho biết hacker có thể để lại 1 triệu đô la và trả lại 98% số tiền còn lại; nếu hacker tuân thủ, sẽ không có hành động nào tiếp theo được thực hiện. Nếu không, nạn nhân sẽ khởi kiện hacker cả về trách nhiệm hình sự và dân sự và sẽ công khai danh tính của hacker. Tuy nhiên, cho đến nay, hacker vẫn chưa có bất kỳ phản hồi nào.
Theo dữ liệu được tổng hợp bởi nền tảng Arkham, địa chỉ này có lịch sử giao dịch lớn với các địa chỉ Binance, Kraken, Coinhako và Cobo. Binance, Kraken và Cobo thì không cần giới thiệu nhiều, nhưng Coinhako có thể là một cái tên tương đối xa lạ. Coinhako là một sàn giao dịch tiền điện tử có trụ sở tại Singapore, được thành lập vào năm 2014 và nhận được giấy phép Tổ chức Thanh toán Lớn từ Cơ quan Tiền tệ Singapore vào năm 2022, trở thành một sàn giao dịch được quản lý tại Singapore.
Với việc địa chỉ này sử dụng nhiều nền tảng giao dịch và dịch vụ lưu trữ Cobo, cùng khả năng nhanh chóng liên hệ với tất cả các bên để truy tìm tin tặc trong vòng 24 giờ sau sự cố, tôi suy đoán rằng địa chỉ này rất có thể thuộc về một tổ chức chứ không phải một cá nhân.
Một "tai nạn" đã dẫn đến một sai lầm nghiêm trọng.
Lời giải thích duy nhất cho một cuộc tấn công "làm giả địa chỉ" thành công là "sự bất cẩn". Những cuộc tấn công như vậy có thể tránh được chỉ bằng cách kiểm tra kỹ địa chỉ trước khi thực hiện chuyển khoản, nhưng người liên quan đến vụ việc này rõ ràng đã bỏ qua bước quan trọng này.
Các cuộc tấn công đầu độc địa chỉ bắt đầu xuất hiện vào năm 2022, và câu chuyện bắt nguồn từ các công cụ tạo "địa chỉ cao cấp", là những công cụ có thể tùy chỉnh phần đầu của địa chỉ EVM. Ví dụ, bản thân tôi có thể tạo một địa chỉ bắt đầu bằng 0xeric để làm cho địa chỉ đó trở nên khác biệt hơn.
Công cụ này sau đó được các hacker phát hiện có một lỗ hổng thiết kế cho phép họ tấn công vét cạn (brute-force) các khóa riêng tư, dẫn đến một số vụ trộm cắp tài chính lớn. Tuy nhiên, khả năng tạo ra các phần đầu và cuối tùy chỉnh cũng đã mang lại cho một số cá nhân xấu một "ý tưởng xảo quyệt": bằng cách tạo ra các địa chỉ có phần đầu và cuối tương tự như các địa chỉ chuyển tiền thông dụng của người dùng và chuyển tiền đến các địa chỉ khác thường được người dùng sử dụng, một số người dùng có thể bất cẩn nhầm lẫn địa chỉ của hacker với địa chỉ của chính họ và vô tình giao tài sản trên chuỗi khối của họ cho hacker.
Thông tin trên chuỗi khối trước đây cho thấy các địa chỉ bắt đầu bằng 0xcB80 là mục tiêu chính của tin tặc trước cuộc tấn công này, và các cuộc tấn công làm nhiễm độc địa chỉ nhắm vào chúng đã bắt đầu gần một năm trước. Về cơ bản, kiểu tấn công này liên quan đến việc tin tặc đặt cược rằng bạn cuối cùng sẽ mắc bẫy do sự bất cẩn hoặc sơ suất. Chính phương pháp tấn công dễ phát hiện này khiến những người bất cẩn liên tục trở thành nạn nhân.
Đáp lại vụ việc, người đồng sáng lập F2Pool, Wang Chun, đã đăng tải trên Twitter bày tỏ sự cảm thông với nạn nhân, cho biết năm ngoái, để kiểm tra xem địa chỉ của mình có bị rò rỉ khóa riêng hay không, anh đã chuyển 500 bitcoin đến địa chỉ đó, và kết quả là 490 bitcoin đã bị tin tặc đánh cắp. Mặc dù trải nghiệm của Wang Chun không liên quan đến vụ tấn công đầu độc địa chỉ, nhưng có lẽ anh muốn thể hiện rằng ai cũng có thể mắc sai lầm, và sự bất cẩn của nạn nhân không đáng bị đổ lỗi; thay vào đó, lỗi thuộc về phía tin tặc.
50 triệu đô la không phải là một khoản tiền nhỏ, nhưng nó không phải là số tiền lớn nhất bị đánh cắp trong loại tấn công này. Vào tháng 5 năm 2024, một địa chỉ đã chuyển hơn 70 triệu đô la WBTC đến địa chỉ của một hacker do một cuộc tấn công tương tự, nhưng nạn nhân cuối cùng đã thu hồi được gần như toàn bộ số tiền thông qua đàm phán trên chuỗi với sự hỗ trợ của công ty bảo mật Match Systems và nền tảng giao dịch Cryptotex. Tuy nhiên, trong vụ việc này, hacker đã nhanh chóng chuyển đổi số tiền bị đánh cắp thành ETH và chuyển chúng đến Tornado Cash, vì vậy việc liệu chúng có thể được thu hồi hay không vẫn còn chưa chắc chắn.
Vào tháng 4, Jameson Lopp, đồng sáng lập kiêm giám đốc an ninh của Casa, cảnh báo rằng các cuộc tấn công đánh cắp địa chỉ đang lan rộng nhanh chóng, với khoảng 48.000 vụ việc như vậy xảy ra chỉ riêng trên mạng Bitcoin kể từ năm 2023.
Những cuộc tấn công này, bao gồm cả việc giả mạo các liên kết cuộc họp Zoom trên Telegram, không tinh vi, nhưng chính cách tiếp cận "đơn giản" này lại khiến mọi người mất cảnh giác. Đối với những người đang sống trong một khu rừng tối tăm, luôn luôn nên cảnh giác.
Chào mừng bạn tham gia cộng đồng chính thức của BlockBeats:
Nhóm Telegram đăng ký: https://t.me/theblockbeats
Nhóm Telegram thảo luận: https://t.me/BlockBeats_App
Tài khoản Twitter chính thức: https://twitter.com/BlockBeatsAsia
