Vừa rồi mình đọc được một vụ lừa đảo khá kinh hoàng trong không gian tiền mã hóa. Một influencer khá nổi trên X với gần 25 nghìn người theo dõi tên là Sillytuna đã bị mất 24 triệu USD chỉ vì một sơ suất nhỏ. Sự việc này được công ty bảo mật blockchain PeckShield xác nhận vào năm ngoái, và nó thực sự đáng để tất cả chúng ta cảnh báo.

Cơ chế tấn công khá tinh vi. Kẻ tấn công tạo ra một địa chỉ ví giả, chỉ khác với địa chỉ thực của Sillytuna ở vài ký tự ở giữa, nhưng các ký tự đầu và cuối thì y hệt. Sau đó họ gửi một giao dịch nhỏ vô giá trị từ địa chỉ này đến ví của nạn nhân. Mục đích rất rõ ràng - làm cho địa chỉ giả xuất hiện trong lịch sử giao dịch, để khi lần sau Sillytuna cần chuyển tiền, anh ta sẽ sao chép địa chỉ từ lịch sử mà không kiểm tra kỹ.

Và đúng như vậy, khi Sillytuna thực hiện một khoản chuyển lớn, anh ta đã vô tình copy địa chỉ bị đầu độc. 24 triệu USD USDC (cụ thể là aEthUSDC) bị chuyển thẳng đến tay kẻ tấn công. Sau đó, chúng tôi thấy kẻ này nhanh chóng chuyển đổi khoảng 20 triệu USD thành DAI, chia thành nhiều ví riêng biệt, rồi bắt đầu di chuyển sang mạng Arbitrum - một bước chuẩn bị điển hình trước khi cố gắng rửa tiền.

Cái đáng sợ ở đây là nó không phải một lỗ hổng kỹ thuật phức tạp nào. Đây hoàn toàn là kỹ thuật xã hội - lợi dụng sơ suất con người. Và nó đang ngày càng phổ biến hơn. Trong khi mọi người tập trung vào bảo mật các sàn giao dịch hay các lỗi hợp đồng thông minh, những cuộc tấn công như thế này lại gây ra thiệt hại lớn hơn nhiều.

Theo các chuyên gia bảo mật, điều quan trọng nhất là cảnh giác. Bất cứ khi nào chuyển một khoản tiền lớn, bạn phải kiểm tra kỹ từng ký tự của địa chỉ đích - không phải kiểm tra một lần, mà kiểm tra ba lần. Tốt hơn hết là sử dụng sổ địa chỉ trong ví, lưu các liên hệ đã xác minh thay vì sao chép từ lịch sử. Một cách khác rất hiệu quả là gửi một giao dịch thử nhỏ trước - nếu nó đến đúng nơi, bạn mới gửi số tiền chính. Nếu Sillytuna đã làm vậy, anh ta đã có thể tránh được mất mát này.

Đối với những người có tài sản lớn, cần phải thực hiện một số biện pháp bảo mật cơ bản. Thứ nhất, tách biệt ví lạnh để lưu trữ số dư lớn và ví nóng cho các giao dịch hàng ngày. Thứ hai, sử dụng thiết lập đa chữ ký (multisig) để bất kỳ giao dịch lớn nào cũng cần nhiều phê duyệt. Thứ ba, tận dụng tên miền ENS hoặc bí danh ví có thể đọc được bằng chữ cái thay vì dãy số hex dài, vì chúng khó giả mạo hơn. Thứ tư, sử dụng các công cụ mô phỏng giao dịch để xem trước kết quả trước khi ký.

Cái tích cực là cộng đồng blockchain đang tích cực tìm kiếm giải pháp. Một số ý tưởng bao gồm cải thiện giao diện ví để làm nổi bật các địa chỉ không khớp, hoặc thêm màn hình cảnh báo khi bạn gửi đến một địa chỉ mới lần đầu tiên. Nhưng ở cuối cùng, bảo mật cần phải là một phần tự nhiên của trải nghiệm người dùng, không phải là một suy nghĩ muộn màng.

Vụ này cũng cho thấy thách thức lớn trong việc theo dõi tiền bị đánh cắp trên các chuỗi khác nhau. Khi tiền được di chuyển qua nhiều blockchain như vậy, việc khôi phục trở nên gần như không thể. Điều duy nhất có thể giúp là nếu kẻ tấn công cố gắng chuyển đổi tiền trên một sàn giao dịch tập trung nào đó - lúc đó các công ty bảo mật như PeckShield hoặc Chainalysis có thể gắn cờ địa chỉ và sàn có thể đóng băng chúng.

Nhân tiện, nếu bạn trở thành nạn nhân của vụ lừa đảo này, điều đầu tiên cần làm là báo cáo cho các công ty bảo mật blockchain và các sàn giao dịch liên quan. Mặc dù khôi phục là không chắc chắn, việc báo cáo sẽ giúp gắn cờ địa chỉ và có thể ngăn kẻ tấn công rút tiền mặt.

Tóm lại, bảo mật tiền mã hóa không chỉ là việc giữ khóa riêng an toàn. Nó cũng là việc xác minh từng chi tiết một cách cẩn thận, đặc biệt là khi số tiền lớn có liên quan. Bài học từ Sillytuna là một lời nhắc nhở rằng trong thế giới phi tập trung, trách nhiệm cuối cùng luôn nằm ở bạn. Công nghệ cho phép chúng ta có tự do tài chính chưa từng có, nhưng nó cũng đòi hỏi sự cẩn thận chưa từng có.