EnglishSai lầm 26 phút và cái giá hàng chục triệu USD
Theo nền tảng phân tích onchain Lookonchain, vụ việc xảy ra vào ngày 20/12 khi nạn nhân chuyển 49.999.950 USDT sang một địa chỉ do kẻ lừa đảo kiểm soát. Trước đó, trader này đã rút tiền từ sàn Binance và có ý định chuyển tài sản về ví cá nhân.
Như nhiều người dùng crypto cẩn trọng vẫn làm, nạn nhân đã thực hiện một giao dịch thử nghiệm trị giá 50 USDT để kiểm tra địa chỉ nhận. Tuy nhiên, chính bước tưởng chừng an toàn này lại mở ra cơ hội cho kẻ tấn công.
Cơ chế address poisoning hoạt động như thế nào?
Theo các công ty bảo mật blockchain, kẻ tấn công đã sử dụng một script tự động để tạo ra địa chỉ ví giả mạo có cấu trúc gần như trùng khớp với địa chỉ thật của nạn nhân. Cụ thể, địa chỉ độc hại có 5 ký tự đầu và 4 ký tự cuối giống hệt địa chỉ hợp pháp, chỉ khác ở phần ký tự giữa.
Do nhiều ví crypto rút gọn địa chỉ bằng dấu “…” để dễ nhìn, sự khác biệt này rất khó bị phát hiện bằng mắt thường. Sau khi tạo địa chỉ giả, kẻ tấn công gửi các giao dịch nhỏ từ địa chỉ đó tới ví của nạn nhân, nhằm “đầu độc” lịch sử giao dịch.
Khi nạn nhân quay lại sao chép địa chỉ từ lịch sử giao dịch để thực hiện lệnh chuyển gần 50 triệu USDT, họ đã vô tình chọn nhầm địa chỉ giả mạo.
Dữ liệu từ Etherscan cho thấy giao dịch thử nghiệm diễn ra lúc 3:06 UTC, trong khi giao dịch chuyển nhầm toàn bộ số tiền xảy ra chỉ 26 phút sau đó, vào 3:32 UTC.
Rửa tiền chớp nhoáng qua DAI, ETH và Tornado Cash
Ngay sau khi nhận được số USDT, kẻ tấn công hành động cực kỳ nhanh chóng. Theo công ty bảo mật SlowMist, chỉ trong vòng 30 phút, toàn bộ số USDT đã được hoán đổi sang DAI thông qua MetaMask Swap.
Động thái này được đánh giá là có tính toán, bởi USDT có thể bị Tether đóng băng nếu bị gắn cờ, trong khi DAI là stablecoin phi tập trung, không có cơ chế kiểm soát tập trung tương tự.
Sau đó, số DAI được chuyển đổi thành khoảng 16.690 ETH, trong đó 16.680 ETH được gửi vào Tornado Cash - công cụ trộn tiền từng bị Mỹ trừng phạt nhằm che giấu dấu vết giao dịch và làm phức tạp quá trình truy vết.
Treo thưởng 1 triệu USD, nhờ đến cơ quan pháp luật
Trong nỗ lực thu hồi tài sản, nạn nhân đã gửi một thông điệp trực tiếp onchain tới kẻ tấn công, đề nghị whitehat bounty trị giá 1 triệu USD để đổi lấy việc hoàn trả 98% số tiền bị đánh cắp.
Thông điệp cũng cho biết nạn nhân đã chính thức khởi kiện hình sự, đồng thời phối hợp với lực lượng thực thi pháp luật, các công ty an ninh mạng và nhiều giao thức blockchain để thu thập thông tin về kẻ tấn công.
Tuy nhiên, khả năng thu hồi tài sản vẫn là dấu hỏi lớn, đặc biệt khi phần lớn số tiền đã bị đưa vào Tornado Cash.
Address poisoning không còn là hiện tượng cá biệt
Vụ việc này gợi lại một sự cố tương tự vào tháng 5/2024, khi một người dùng Ethereum mất 71 triệu USD wrapped bitcoin vì address poisoning. Trong trường hợp đó, phần lớn tài sản đã được thu hồi sau các cuộc đàm phán onchain với sự hỗ trợ của các công ty bảo mật blockchain.
Dù vậy, không phải trường hợp nào cũng có kết cục tích cực, nhất là khi kẻ tấn công hành động nhanh và sử dụng các công cụ ẩn danh mạnh.
Năm 2025: Crypto tiếp tục là “miếng mồi béo” của hacker
Theo cảnh báo từ Jameson Lopp, đồng sáng lập Casa, các cuộc tấn công address poisoning đang gia tăng trên nhiều blockchain. Riêng với Bitcoin, đã có khoảng 48.000 vụ việc nghi ngờ được ghi nhận kể từ năm 2023.
Trong khi đó, Chainalysis cho biết tổng thiệt hại do hack và lừa đảo crypto trong năm 2025 đã vượt 3,4 tỷ USD, tăng so với năm 2024. Đáng chú ý, vụ hack sàn Bybit hồi tháng 2 với 1,4 tỷ USD bị đánh cắp - được cho là do tin tặc Triều Tiên thực hiện chiếm gần 44% tổng thiệt hại cả năm, và được Elliptic mô tả là “vụ trộm crypto lớn nhất lịch sử”.
Đọc thêm:
_thumb_720.jpg)
