Một nhà đầu tư tiền điện tử đã mất 2.6 triệu USD trị giá stablecoins trong hai cuộc tấn công phishing gần như giống nhau trong vòng ba giờ, nhấn mạnh một mối đe dọa đang phát triển và tinh vi trong tài chính dựa trên blockchain: lừa đảo chuyển nhượng không.
Sự việc, được cảnh báo vào ngày 26 tháng 5 bởi công ty an ninh tiền điện tử Cyvers, liên quan đến hai giao dịch lớn của Tether (USDT) - giao dịch đầu tiên tổng cộng 843,000 USD, và ngay sau đó là giao dịch thứ hai trị giá 1.75 triệu USD. Trong cả hai trường hợp, nạn nhân dường như đã bị lừa bởi một chiến thuật lừa gạt trên chuỗi gọi là chuyển nhượng không giá trị, một phương pháp lừa đảo đang được sử dụng ngày càng nhiều bởi các kẻ gian nhắm vào hành vi sử dụng của người dùng liên quan đến các địa chỉ ví.
Mất mát kép này làm nổi bật những hạn chế của các giao diện ví hướng tới người dùng hiện tại, sự gia tăng của kỹ thuật xã hội thông minh trong tội phạm tiền điện tử, và nhu cầu cấp thiết về các giải pháp an ninh mạnh mẽ trên toàn bộ Web3.
Các chuyển nhượng không giá trị lợi dụng một sơ hở trong cách người dùng hiểu lịch sử giao dịch và tin tưởng các địa chỉ ví. Kỹ thuật này lạm dụng chức năng transferFrom của token ERC-20, cho phép bất kỳ bên nào khởi tạo việc chuyển nhượng token mà không cần sự đồng ý của người dùng - nếu số lượng là không.
Do không có token thực sự nào được di chuyển, những giao dịch không giá trị này không yêu cầu chữ ký số từ ví đích. Chúng vẫn được ghi lại trên chuỗi, thường lừa nạn nhân tin rằng địa chỉ giả mạo là địa chỉ đã được tin tưởng trước đó.
Hiệu quả mà nói, những kẻ lừa đảo "đầu độc" lịch sử giao dịch của một nạn nhân bằng cách tiêm vào các chuyển nhượng không giá trị trông có vẻ vô hại mà có vẻ hợp pháp. Khi nạn nhân sau đó thực hiện một giao dịch thực - có thể sử dụng lịch sử ví hoặc sao chép một địa chỉ đã tương tác trước - họ có thể vô tình gửi tiền đến địa chỉ giả mạo của kẻ tấn công.
Lỗ hổng này lấy ý tưởng từ và mở rộng một phương pháp tấn công liên quan gọi là đầu độc địa chỉ, nơi kẻ lừa đảo gửi một lượng nhỏ tiền điện tử từ các địa chỉ ví được thiết kế để trông giống hệt như liên hệ đã biết của người dùng. Điều này thường dựa vào việc người dùng phụ thuộc vào việc khớp từng phần của địa chỉ - thường là bốn ký tự đầu và cuối - thay vì xác minh toàn bộ chuỗi.
Lừa đảo tiên tiến
Điểm nguy hiểm chính phía sau các vụ lừa đảo chuyển nhượng không và đầu độc địa chỉ không nằm ở việc phá vỡ các giao thức mã hóa mà là ở việc thao túng hành vi người dùng. Các giao diện ví tiền điện tử - đặc biệt là các ví dựa trên trình duyệt và ứng dụng di động - thường hiển thị các lịch sử địa chỉ và các giao dịch trước đây như các chỉ báo về tính an toàn, sự tin tưởng hoặc đã sử dụng trước đó. Điều này tạo ra một bề mặt tấn công không dựa vào các lỗ hổng trong mã, mà thay vào đó dựa vào sự ra quyết định của con người.
Trong trường hợp của vụ mất cắp trị với 2.6 triệu USD gần đây, nạn nhân có thể đã sử dụng lịch sử giao dịch của ví của mình để khởi tạo hoặc xác minh địa chỉ, tin rằng họ đang gửi tiền đến một liên hệ đã biết hoặc đã tin cậy trước đó. Việc lặp lại cuộc tấn công trong vòng dưới ba giờ gợi ý rằng nạn nhân hoặc không phát hiện mất mát ban đầu kịp thời hoặc tin rằng giao dịch đầu tiên là hợp pháp - cả hai kịch bản đều chỉ ra mức độ tinh vi và thuyết phục của vụ lừa đảo trong thời gian thực.
Những thiệt hại chỉ xảy ra trong USDT (Tether), một stablecoin được sử dụng rộng rãi với hàng tỷ giao dịch trên chuỗi hàng ngày. Do USDT thường được sử dụng trong các giao dịch lớn của các tổ chức và bán lẻ, nó đã trở thành mục tiêu chính cho các vụ lừa đảo chính xác tập trung vào các ví giá trị lớn.
Các cuộc tấn công đầu độc gia tăng
Sự việc này không phải là trường hợp đơn lẻ. Một nghiên cứu toàn diện được phát hành vào tháng 1 năm 2025 cho thấy có hơn 270 triệu cố gắng đầu độc địa chỉ đã được ghi nhận trên Ethereum và BNB Chain từ tháng 7 năm 2022 đến tháng 6 năm 2024. Mặc dù chỉ có 6,000 trong số những cuộc tấn công đó là thành công, chúng đã cùng góp phần tạo nên hơn 83 triệu USD trong các mất mát đã xác nhận.
Số lượng cố gắng lớn - dù thành công hay không - chỉ ra rằng chiến lược đầu độc rất rẻ để thực hiện và vẫn hiệu quả do các xu hướng hành vi của người dùng và thiếu trải nghiệm người dùng chống lừa đảo trong các ví tiền điện tử thông thường.
Đáng chú ý, mức độ thiệt hại trong các trường hợp cá nhân là đáng kể. Năm 2023, một vụ lừa đảo chuyển nhượng không tương tự đã dẫn đến mất cắp 20 triệu USD trong USDT, trước khi Tether cuối cùng đưa vào danh sách đen địa chỉ ví. Tuy nhiên, đưa vào danh sách đen không phải là một biện pháp bảo vệ phổ biến
- nhiều token không hỗ trợ danh sách đen của nhà phát hành, và không phải tất cả các mạng blockchain cung cấp công cụ can thiệp tương tự.
Công cụ Phát hiện AI và Cải tiến Giao diện
Đối phó với sự gia tăng của lừa đảo chuyển nhượng không, một số công ty hạ tầng ví và an ninh mạng đang cố gắng giảm thiểu rủi ro thông qua các hệ thống phát hiện thông minh hơn.
Đầu năm nay, công ty an ninh blockchain Trugard đã hợp tác với giao thức an ninh trên chuỗi Webacy để ra mắt một hệ thống phát hiện dựa trên AI được thiết kế đặc biệt để phát hiện các cuộc tấn công đầu độc địa chỉ tiềm năng. Theo các nhà phát triển của nó, công cụ đã chứng minh một tỷ lệ chính xác 97% trong các bài kiểm tra liên quan đến dữ liệu tấn công lịch sử.
Hệ thống hoạt động bằng cách phân tích các mẫu trong dữ liệu giao dịch metadata, hành vi chuyển nhượng, và sự tương tự của địa chỉ, sau đó cảnh báo người dùng trước khi giao dịch được hoàn tất. Tuy nhiên, sự sử dụng rộng rãi trên các ví phổ biến vẫn còn hạn chế, vì nhiều nền tảng vẫn đang trong quá trình tích hợp các công cụ an ninh từ bên thứ ba.
Một số nhà phát triển ví cũng đang khám phá các thay đổi trong cách trình bày lịch sử giao dịch. Ví dụ, gắn cờ các giao dịch không giá trị, đánh màu các địa chỉ dựa trên điểm tin tưởng, và làm cho việc xác minh địa chỉ đầy đủ trở nên dễ dàng hơn đang được xem xét như cách để làm gián đoạn tỷ lệ thành công của lừa đảo. Nhưng cho đến khi các thay đổi giao diện này được tiêu chuẩn hóa trên toàn bộ ngành công nghiệp, người dùng vẫn sẽ có nguy cơ.
Lỗ hổng Pháp lý và Quy định
Trong khi các vụ lừa đảo chuyển nhượng không là những vụ án công nghệ đơn giản, hành động pháp lý chống lại những kẻ phạm tội là phức tạp và hiếm khi thành công. Nhiều trong số vụ lừa đảo này xuất phát từ các thực thể không rõ danh tính hoặc nước ngoài, với số tiền nhanh chóng được rửa qua các sàn giao dịch phi tập trung, máy trộn, hoặc cầu nối cross-chain.
Các nhà phát hành stablecoin như Tether chỉ có thể can thiệp khi tồn tại các cơ chế kiểm soát trung tâm
- và chỉ khi số tiền bị đánh cắp vẫn còn nguyên trạng hoặc có thể theo dõi. Khi kẻ tấn công chuyển tiền vào các pool riêng tư hoặc chuyển đổi chúng thành các tài sản khác, việc thu hồi trở nên gần như không thể.
Ngoài ra, các cơ quan thực thi pháp luật thường thiếu kiến thức chuyên môn công nghệ hoặc quyền hạn để điều tra những vụ tấn công này trừ khi chúng thuộc một phần của chiến dịch tổ chức lớn hơn.
Tuyến phòng thủ cuối cùng
Trong lúc này, người dùng cuối phải áp dụng mức độ cẩn trọng cao hơn khi tương tác với các địa chỉ blockchain - đặc biệt là cho các giao dịch có giá trị lớn. Các thực hành tốt nhất bao gồm:
- Luôn xác minh địa chỉ đầy đủ, không chỉ các ký tự đầu/cuối.
- Tránh sử dụng lịch sử ví để sao chép địa chỉ.
- Đánh dấu thủ công các địa chỉ đã biết từ các nguồn chính thức.
- Sử dụng ví có chức năng phát hiện lừa đảo tích hợp, khi có.
- Theo dõi các chuyển nhượng không giá trị đến như là các cảnh báo đỏ tiềm năng.
Sự tăng trưởng trong các vụ tấn công lừa đảo chuyển nhượng không đại diện cho một sự thay đổi trong các mối đe dọa của Web3 từ các vụ hack cấp giao thức sang các cuộc tấn công kỹ thuật xã hội sử dụng metadata trên chuỗi. Khi giá trị tài sản trên các blockchain công khai tăng lên, mức độ tinh vi của các phương pháp này cũng sẽ tăng theo - làm cho giáo dục người dùng và công cụ ví tốt hơn trở thành điều rất quan trọng để bảo vệ tài sản.