50 triệu đô la bị đánh cắp – tất cả chỉ vì địa chỉ không được kiểm tra kỹ lưỡng.

Tác giả: Eric, Foresight News

Sáng sớm hôm qua theo giờ Bắc Kinh, một nhà phân tích chuỗi khối có tên Specter đã phát hiện ra một trường hợp gần 50 triệu USDT được chuyển vào địa chỉ của hacker do thiếu sự xác minh cẩn thận địa chỉ chuyển tiền.

Theo điều tra của tác giả, địa chỉ (0xcB80784ef74C98A89b6Ab8D96ebE890859600819) đã rút 50 USDT từ Binance vào khoảng 13:00 giờ Bắc Kinh ngày 19 như một thử nghiệm trước khi rút số tiền lớn.

Khoảng 10 giờ sau, địa chỉ này đã rút 49.999.950 USDT từ Binance trong một lần. Cộng với 50 USDT đã rút trước đó, tổng số tiền rút lên tới chính xác 50 triệu USD.

Khoảng 20 phút sau, địa chỉ nhận được 50 triệu USDT đã chuyển 50 USDT đến 0xbaf4…95F8b5 để thử nghiệm.

Chưa đầy 15 phút sau khi giao dịch thử nghiệm hoàn tất, địa chỉ hacker 0xbaff…08f8b5 đã chuyển 0.005 USDT đến Địa chỉ nhận được 49.999.950 USDT còn lại. Địa chỉ được hacker sử dụng và địa chỉ nhận được 50 USDT có phần đầu và phần cuối rất giống nhau, cho thấy đây là một cuộc tấn công "đầu độc địa chỉ" rõ ràng.

Mười phút sau, khi địa chỉ bắt đầu bằng 0xcB80 chuẩn bị chuyển 40 triệu USDT còn lại, nó có thể đã vô tình sao chép giao dịch trước đó—địa chỉ nơi hacker "đầu độc" tiền—trực tiếp chuyển gần 50 triệu USDT vào tay hacker.

Với việc địa chỉ này sử dụng nhiều sàn giao dịch và dịch vụ lưu ký của Cobo, cùng khả năng nhanh chóng liên hệ với tất cả các bên để truy tìm tin tặc trong vòng 24 giờ sau sự cố, tác giả suy đoán rằng địa chỉ này rất có thể thuộc về một tổ chức chứ không phải một cá nhân.

"Sự bất cẩn" dẫn đến một sai lầm lớn

Lời giải thích duy nhất cho cuộc tấn công "đầu độc địa chỉ" thành công là "sự bất cẩn." Các cuộc tấn công như vậy có thể tránh được chỉ bằng cách kiểm tra kỹ địa chỉ trước khi chuyển tiền, nhưng rõ ràng, nhân vật chính trong vụ việc này đã bỏ qua bước quan trọng này.

Các cuộc tấn công đầu độc địa chỉ bắt đầu xuất hiện vào năm 2022, và câu chuyện bắt nguồn từ các công cụ tạo "địa chỉ cao cấp", những công cụ có thể tùy chỉnh phần đầu của địa chỉ EVM. Ví dụ, bản thân tôi có thể tạo một địa chỉ bắt đầu bằng 0xeric để làm cho địa chỉ trở nên khác biệt hơn. Công cụ này sau đó đã bị tin tặc phát hiện có một lỗ hổng thiết kế cho phép chúng tấn công vét cạn khóa riêng tư, dẫn đến một số vụ trộm cắp tài chính lớn. Tuy nhiên, khả năng tạo ra phần đầu và phần cuối tùy chỉnh cũng đã mang lại cho một số cá nhân xấu một "ý tưởng xảo quyệt": bằng cách tạo ra các địa chỉ có phần đầu và phần cuối tương tự như các địa chỉ chuyển tiền mà người dùng thường sử dụng, và sau đó chuyển tiền đến các địa chỉ khác mà người dùng thường sử dụng, một số người dùng có thể bất cẩn nhầm lẫn địa chỉ của tin tặc với địa chỉ của chính họ và vô tình gửi tài sản trên chuỗi vào túi của tin tặc.

Thông tin trên chuỗi trước đây cho thấy các địa chỉ bắt đầu bằng 0xcB80 là mục tiêu chính của các cuộc tấn công đầu độc địa chỉ trước cuộc tấn công này, và các cuộc tấn công này đã bắt đầu gần một năm trước. Về cơ bản, loại tấn công này liên quan đến việc tin tặc đặt cược rằng cuối cùng bạn sẽ mắc bẫy do sự bất cẩn hoặc sơ suất. Chính phương pháp tấn công dễ phát hiện này khiến những người bất cẩn liên tục trở thành nạn nhân.

Thông tin trên chuỗi trước đây cho thấy các địa chỉ bắt đầu bằng 0xcB80 là mục tiêu chính của tin tặc trước cuộc tấn công này, và các cuộc tấn công đầu độc địa chỉ đã bắt đầu gần một năm trước. Về cơ bản, phương pháp tấn công này là tin tặc đặt cược rằng cuối cùng bạn sẽ mắc bẫy do bất cẩn hoặc sơ suất. Chính phương pháp tấn công dễ phát hiện này khiến những người bất cẩn lần lượt mắc bẫy.

Liên quan đến vụ việc này, người đồng sáng lập F2Pool, Wang Chun, đã đăng tải trên Twitter bày tỏ sự cảm thông với nạn nhân, cho biết năm ngoái, để kiểm tra xem địa chỉ của mình có bị xâm phạm hay không, anh đã chuyển 500 bitcoin cho một hacker, người này sau đó đã đánh cắp 490 bitcoin. Mặc dù kinh nghiệm của Wang Chun không liên quan đến các cuộc tấn công đầu độc địa chỉ, nhưng có lẽ anh ấy muốn bày tỏ rằng ai cũng có thể mắc sai lầm, và sự bất cẩn của nạn nhân không nên bị đổ lỗi; Thay vào đó, lỗi phải thuộc về hacker.

50 triệu đô la không phải là một số tiền nhỏ, nhưng nó không phải là số tiền lớn nhất bị đánh cắp trong loại tấn công này.

Vào tháng 5 năm 2024, một địa chỉ đã chuyển hơn 70 triệu đô la WBTC đến địa chỉ của hacker do một cuộc tấn công tương tự. Tuy nhiên, nạn nhân cuối cùng đã thu hồi được gần như toàn bộ số tiền thông qua đàm phán trên chuỗi với sự hỗ trợ của công ty bảo mật Match Systems và sàn giao dịch CryptoX. Tuy nhiên, trong trường hợp này, hacker đã nhanh chóng chuyển đổi số tiền bị đánh cắp thành ETH và chuyển chúng đến Tornado Cash, vì vậy liệu chúng có thể được thu hồi hay không vẫn còn chưa chắc chắn. Jameson Lopp, đồng sáng lập và giám đốc an ninh của Casa, đã cảnh báo vào tháng 4 rằng các cuộc tấn công đầu độc địa chỉ đang lan rộng nhanh chóng, với khoảng 48.000 sự cố như vậy xảy ra chỉ riêng trên mạng Bitcoin kể từ năm 2023. Các phương pháp tấn công này, bao gồm cả các liên kết cuộc họp Zoom giả mạo trên Telegram, không tinh vi, nhưng chính cách tiếp cận "đơn giản" này khiến mọi người mất cảnh giác. Đối với những người sống trong khu rừng tối tăm, việc cảnh giác hơn không bao giờ là điều tồi tệ.