Một nhà đầu tư đã gửi nhầm 68 triệu USD crypto đến ví của kẻ lừa đảo sau vì nhầm lẫn đây với địa chỉ mình muốn dùng.

Tối ngày 03/05, cộng đồng tiền mã hóa phát hiện một giao dịch đáng ngờ, trong đó người dùng crypto chưa rõ danh tính đã chuyển 1.155 WBTC, trị giá khoảng 68 triệu USD, đến sai địa chỉ.

Nhiều kênh bảo mật blockchain đã cho đây là một vụ tấn công có chủ đích theo hình thức “address poisoning” (đầu độc địa chỉ). Theo đó, kẻ xấu sẽ cố tình khởi tạo một địa chỉ có các ký tự đầu và cuối giống với ví đích được nạn nhân muôn sử dụng, sau đó gửi các giao dịch có giá trị nhỏ đến ví nạn nhân để chờ đến khi người này sơ suất sao chép nhầm địa chỉ.

$68M (1155WBTC) lost after victim fell for address poisoning attack.

TL;DR on attack: Attacker is sending spam transactions to your address in order to catch you being inattentive. You can copy their address instead of your own from the TX history. Attackers generate addresses… https://t.co/0bpNeSpTZw

— Officer's Notes (@officer_cia) May 3, 2024

Sở dĩ hình thức tấn công này có thể xảy ra là vì những trình block explorer như Etherscan chỉ hiển thị các ký tự đầu và cuối của dãy địa chỉ, ẩn phần ở giữa đi, tạo điều kiện để hacker lợi dụng.

Trong vụ việc lần này, kẻ tấn công đã tạo ra địa chỉ 0xd9A1C3788D81257612E2581A6ea0aDa244853a91 có 6 ký tự đầu và cuối giống với địa chỉ 0xd9A1b0B1e1aE382DbDc898Ea68012FfcB2853a91 mà nạn nhân muốn chuyển đến.

Trong quá khứ, cựu CEO Binance Changpeng Zhao đã lên tiếng cảnh báo về vụ việc tương tự khi có người dùng sàn bị lừa chuyển 20 triệu USDT đến địa chỉ giả mạo, nhưng rất may là kịp phát hiện sai sót và nhờ Binance ngăn chặn thành công.

Ví MetaMask cũng từng khuyến nghị người sử dụng cẩn thận để tránh sập bẫy address poisoning.