Kẻ tấn công rút sạch $10 triệu tiền điện tử sau cuộc tấn công lừa đảo vào tài khoản của Whale

Trong một sự cố an ninh đáng kể được truy nguyên từ tháng 9 năm 2023, một nhà đầu tư tiền điện tử đã trở thành nạn nhân của một cuộc tấn công lừa đảo tinh vi khiến họ mất 24 triệu đô la trong các tài sản đã staking. Đặc biệt, các hacker đã thành công trong việc rút 10 triệu đô la Ethereum vào Tornado Cash, một dịch vụ trộn tiền điện tử thường được sử dụng để che giấu nguồn gốc quỹ. Sự cố này làm nổi bật mức độ tinh vi ngày càng tăng của các mối đe dọa mạng nhắm vào nhà đầu tư crypto và các điểm yếu nghiêm trọng trong cách người dùng tương tác với hợp đồng thông minh.

Vụ tấn công bắt đầu khi nạn nhân vô tình ủy quyền một giao dịch token thông thường. Thông qua kỹ thuật gọi là “Increase Allowance”, hacker đã có quyền truy cập theo chương trình vào các khoản nắm giữ crypto của nhà đầu tư. Các công ty an ninh blockchain như CertiK đã xác định tài khoản bị xâm phạm vào ngày 21 tháng 3, cho thấy khoảng 3.700 ETH đã bị chuyển hướng đến Tornado Cash—một phần trong tổng thiệt hại 24 triệu đô la, bao gồm cả stETH từ dịch vụ staking thanh khoản Rocket Pool và rETH tokens. Với ETH giao dịch gần 2.98K đô la vào thời điểm đó, đây là một khoản lỗ vốn khổng lồ cho nạn nhân.

Cách Phê duyệt Token Trở Thành Vũ Khí Chống Lại Người Dùng Crypto

Cuộc tấn công khai thác một tính năng cơ bản của tiêu chuẩn token ERC-20 của Ethereum. Khi người dùng tương tác với các ứng dụng phi tập trung, họ thường cấp phép cho hợp đồng thông minh quyền di chuyển token của mình—một tính năng tiện lợi đã trở thành mục tiêu hàng đầu của hacker. Theo các chuyên gia phát hiện gian lận tại Scam Sniffer, nạn nhân đã vô tình phê duyệt quyền chi tiêu thông qua cơ chế allowance của token, vô hình trung trao cho hacker một chìa khóa vào kho tài sản crypto của họ.

Kỹ thuật này không mới, nhưng mức độ phổ biến của nó thật đáng báo động. Phân tích của PeckShield cho thấy hacker đã chuyển đổi các tài sản bị đánh cắp thành khoảng 13.785 ETH và 1,64 triệu DAI (mỗi token trị giá khoảng 1 đô la theo tỷ giá hiện tại). Trong khi một phần DAI đã được chuyển đến sàn FixedFload, phần lớn số tiền bị đánh cắp đã chảy qua nhiều ví nhằm che giấu dấu vết.

Mối Liên Hệ Tornado Cash: Rửa Tiền Crypto Bị Đánh Cắp

Tornado Cash đóng vai trò là một phần quan trọng trong hạ tầng tội phạm. Bằng cách gửi tiền điện tử vào dịch vụ trộn này, hacker phá vỡ tính minh bạch của blockchain—một lợi thế chính mà các loại tiền điện tử vốn dĩ được cho là sẽ loại bỏ. Việc chuyển 10 triệu đô la đến Tornado Cash thể hiện nỗ lực của hacker nhằm tách mình khỏi hành vi trộm cắp có thể truy vết và rút hoặc chuyển số tiền bị đánh cắp mà không bị phát hiện.

Xu Hướng Tăng Lỗ: Phishing 47 Triệu Đô La Tháng 2

Sự cố tháng 9 năm 2023 không phải là sự kiện đơn lẻ. Báo cáo toàn diện của Scam Sniffer tiết lộ rằng gần 47 triệu đô la đã bị mất do các vụ lừa đảo liên quan đến phishing chỉ trong tháng 2. Đáng lo ngại, 78% các vụ trộm này xảy ra trên mạng lưới Ethereum, với token ERC-20 chiếm 86% tổng số tài sản bị đánh cắp. Dữ liệu này nhấn mạnh một thực tế đáng báo động: bất chấp nhiều cảnh báo về an ninh, các nhà đầu tư vẫn tiếp tục mất đi số tiền khổng lồ qua các kỹ thuật khai thác khá đơn giản.

Các sự cố gần đây còn cho thấy phạm vi của lỗ hổng này. Vào ngày 20 tháng 3, các nhóm đe dọa đã khai thác hợp đồng cũ của sàn Dolomite để rút 1,8 triệu đô la từ những người dùng đã từng cấp phép token cho hợp đồng đó. Các nhà phát triển của Dolomite đã khẩn trương khuyên người dùng thu hồi tất cả quyền đã cấp cho địa chỉ hợp đồng cũ, một biện pháp phản ứng đến quá muộn đối với các khoản tiền đã bị xâm phạm.

Khi Phản Ứng An Ninh Có Hiệu Quả: Nghiên Cứu Trường Hợp Layerswap

Không phải mọi sự cố an ninh crypto đều dẫn đến mất toàn bộ tài sản. Cùng ngày Dolomite bị khai thác, nhóm Layerswap đã thành công trong việc kiểm soát một cuộc tấn công vào trang web của họ sau khi phát hiện truy cập trái phép. Mặc dù phản ứng nhanh của họ đã ngăn chặn thảm họa toàn diện, hacker vẫn rút khoảng 100.000 đô la từ khoảng 50 người dùng trước khi vụ vi phạm bị kiểm soát. Layerswap đã cam kết hoàn trả cho các người dùng bị ảnh hưởng và cung cấp thêm bồi thường—một điều hiếm hoi trong hệ sinh thái crypto thường khắc nghiệt.

Kết Luận: Tại Sao Hacker Nhắm Vào Phishing và Phê duyệt Token

Sự kiên trì của các cuộc tấn công phishing trong lĩnh vực tiền điện tử bắt nguồn từ hiệu quả và tính đơn giản tương đối của chúng. Khác với các khai thác hợp đồng thông minh phức tạp đòi hỏi kỹ năng kỹ thuật cao, các trò lừa đảo dựa trên phê duyệt token khai thác kỹ năng xã hội và sự sơ suất của người dùng. Mỗi tài sản bị đánh cắp—dù là 10 triệu đô la rút vào Tornado Cash hay các khoản nhỏ hơn bị rút qua các hợp đồng bị xâm phạm—đều phản ánh một thất bại trong nhận thức của người dùng cũng như hệ thống bảo mật rộng lớn hơn.

Đối với các nhà tham gia tiền điện tử, bài học là rất quan trọng. Cảnh giác có nghĩa là kiểm tra kỹ mọi lần phê duyệt hợp đồng, hiểu rõ các quyền bạn cấp phép, và thường xuyên rà soát các quyền đã kích hoạt trên các nền tảng như Etherscan. Đối với ngành công nghiệp, điều này đòi hỏi sự hợp tác trong phát triển các công cụ phát hiện tốt hơn, hệ thống cảnh báo rõ ràng hơn và các sáng kiến giáo dục giúp người dùng nhận biết các cuộc tấn công phishing trước khi họ cấp phép các giao dịch độc hại. Cho đến khi các biện pháp này trở thành tiêu chuẩn, hacker sẽ tiếp tục rút hàng triệu đô la trong crypto qua các cuộc tấn công lừa đảo và khai thác phê duyệt token.