$24M Biến mất trong vài phút: Đây là cách cá mập lừa đảo bị rút sạch tài sản

Một cá mập tiền điện tử đã học bài học đắt giá về lý do tại sao bạn không bao giờ nên nhấp vào các liên kết ngẫu nhiên. Vào tháng 9 năm 2023, ai đó đã mất 1 triệu đô la thông qua một cuộc tấn công lừa đảo trên dịch vụ staking của Rocket Pool—và mới đây, hacker đã chuyển 1 triệu đô la giá trị ETH đến Tornado Cash, có khả năng để rút tiền mặt.

Chuyện gì thực sự đã xảy ra

Kẻ tấn công đã sử dụng một thủ thuật xã hội cổ điển: họ khiến nạn nhân phê duyệt một giao dịch “Tăng giới hạn cho phép”. Nghe có vẻ vô hại, đúng không? Nhưng điểm mấu chốt là—quyền này về cơ bản giống như một chiếc séc trắng để hacker có thể rút hết các token ERC-20 từ ví đó.

Trong hai đợt, kẻ tấn công đã rút đi:

• 9.579 stETH (Ethereum đã stake)
• 4.851 rETH (token nhận của Rocket Pool)

Tổng thiệt hại: 1 triệu đô la.

Dòng tiền theo dấu

Các điều tra viên blockchain tại PeckShield đã theo dõi số tiền chuyển đổi thành 13.785 ETH và 1,64 triệu DAI. Số ETH trị 1 triệu đô la này đã được chuyển đến Tornado Cash—một dịch vụ trộn tiền—vào ngày 21 tháng 3, một thủ đoạn rửa tiền điển hình để che giấu dấu vết giao dịch.

Điều này không phải là trường hợp cá biệt. Chỉ riêng trong tháng 2, các vụ lừa đảo qua lừa đảo đã rút sạch gần 1 triệu đô la từ người dùng crypto, trong đó 78% là ETH và 86% là token ERC-20.

Vấn đề thực sự: Phê duyệt token rất nguy hiểm

Điều mà nhiều người không nhận ra là: khi bạn tương tác với một giao thức DeFi hoặc tạo NFT, bạn thường ký một hợp đồng thông minh nói rằng “địa chỉ này có thể di chuyển token của tôi.” Nếu hợp đồng hoặc trang web đó bị xâm phạm, bạn sẽ gặp rắc rối lớn.

Chỉ vài ngày sau vụ hack này, một nạn nhân khác đã bị tấn công qua hợp đồng cũ của sàn Dolomite—rút mất 1,8 triệu đô la từ những người đã từng phê duyệt địa chỉ đó. Dolomite đã phải gấp rút kêu gọi người dùng thu hồi các quyền này càng sớm càng tốt.

Phần tích cực

Không phải mọi cuộc tấn công đều thành công quy mô lớn. Khi trang web của Layerswap bị xâm phạm vào ngày 20 tháng 3, nhà cung cấp DNS của họ đã phát hiện kịp thời, chỉ mất khoảng 100.000 đô la và ảnh hưởng đến khoảng 50 người dùng. Họ đang hoàn trả lại toàn bộ và bồi thường thêm.

Những việc bạn cần làm ngay

1. Không bao giờ phê duyệt token không giới hạn—hầu hết các giao thức đều cho phép bạn đặt giới hạn tùy chỉnh
2. Thu hồi các quyền đã cấp mà bạn không còn sử dụng nữa—kiểm tra trên Etherscan hoặc revoke.cash
3. Xác minh URL trước khi kết nối—các trang phishing trông giống hệt trang thật
4. Suy nghĩ kỹ trước khi ký hợp đồng—đặc biệt qua tin nhắn Discord hoặc các liên kết ngẫu nhiên

Các công ty bảo mật crypto và cộng đồng cần hệ thống cảnh báo sớm tốt hơn, nhưng thành thật mà nói? Biện pháp an toàn nhất là luôn trong trạng thái cảnh giác cao độ. Giả định mọi liên kết là giả cho đến khi được chứng minh là thật.