Cá mập tiền điện tử mất $10 triệu trong vụ lừa đảo lừa đảo tinh vi, tài sản bị đánh cắp đã được chuyển qua dịch vụ trộn

Một vụ vi phạm an ninh nghiêm trọng đã khiến cộng đồng tiền điện tử một lần nữa cảnh giác cao độ. Vào tháng 9 năm 2023, một nhà đầu tư đã trở thành nạn nhân của một cuộc tấn công lừa đảo phối hợp, khiến hơn $24 triệu đô la tài sản kỹ thuật số đã staking bị rút sạch. Điều làm cho vụ việc này đặc biệt đáng chú ý không chỉ là khoản lỗ lớn mà còn là sự tinh vi về mặt kỹ thuật và các hoạt động di chuyển số tiền bị đánh cắp qua các kênh che giấu.

Cuộc tấn công diễn ra như thế nào: Một vụ trộm hai giai đoạn

Cuộc tấn công diễn ra trong hai giai đoạn tính toán nhằm vào các khoản nắm giữ của nạn nhân trong các giao thức staking lớn. Trong giai đoạn đầu, 9.579 stETH từ dịch vụ thanh khoản staking của Rocket Pool đã bị rút đi. Giai đoạn thứ hai, thêm 4.851 rETH nữa, đưa tổng thiệt hại lên đến $24 triệu đô la. Đến ngày 21 tháng 3, công ty phân tích blockchain CertiK đã theo dõi kẻ tấn công khi họ chuyển 3.700 ETH—được định giá khoảng $10 triệu đô la dựa trên điều kiện thị trường gần đây—vào dịch vụ trộn Tornado Cash, qua đó che giấu nguồn gốc và các hoạt động tiếp theo của số tiền này.

Cách các phê duyệt token trở thành điểm yếu

Lỗ hổng này tận dụng một phương thức đơn giản nhưng cực kỳ hiệu quả: lạm dụng cơ chế phê duyệt token. Nền tảng phát hiện gian lận Scam Sniffer tiết lộ rằng nạn nhân đã vô tình ủy quyền một giao dịch “Tăng giới hạn” (Increase Allowance). Hành động tưởng chừng vô hại này đã cấp cho kẻ tấn công đặc quyền nguy hiểm—khả năng chuyển các token ERC-20 theo ý muốn bằng cách tự động hóa qua hợp đồng thông minh.

Lỗ hổng này xuất phát từ cách tiêu chuẩn token của Ethereum hoạt động. Khi người dùng tương tác với các ứng dụng phi tập trung, họ thường cấp phép cho các hợp đồng chi tiêu tài sản của mình vượt quá một giao dịch duy nhất. Dù tiện lợi, thiết kế này đã trở thành một bề mặt tấn công chính cho các tội phạm tinh vi.

Quy trình chuyển đổi

Các nhà phân tích an ninh tại PeckShield đã ghi lại chiến lược chuyển đổi của kẻ tấn công. Các tài sản kỹ thuật số bị đánh cắp đã được chuyển đổi có hệ thống thành 13.785 ETH (với giá khoảng 2.95K đô la mỗi đơn vị theo tỷ giá hiện tại) và 1,64 triệu stablecoin Dai (duy trì peg 1.00 đô la). Một phần Dai đã được chuyển qua sàn FixedFload, trong khi phần còn lại biến mất vào các địa chỉ ví không thể truy vết.

Một vấn đề hệ thống đang ngày càng nghiêm trọng

Vụ việc trị giá $10 triệu đô la này chỉ là một nút trong một cuộc khủng hoảng an ninh lớn hơn. Dữ liệu gần đây cho thấy bức tranh đáng lo ngại: các vụ lừa đảo liên quan đến lừa đảo qua phishing đã rút sạch gần $47 triệu đô la chỉ trong tháng 2. Rủi ro tập trung cũng rất đáng báo động—78% các vụ trộm này nhắm vào mạng lưới Ethereum, trong đó token ERC-20 chiếm tới 86% tổng số tiền bị đánh cắp.

Lỗ hổng này không chỉ giới hạn ở các vụ việc riêng lẻ. Ngay trước khi vụ việc này được chú ý, các hợp đồng thông minh lỗi thời của sàn Dolomite đã bị lợi dụng để đánh cắp 1,8 triệu đô la từ người dùng đã từng cấp phép. Phản ứng khẩn cấp của Dolomite bao gồm cảnh báo người dùng thu hồi quyền ủy quyền từ hợp đồng dễ bị tấn công này.

Khi phát hiện hoạt động hiệu quả: Trường hợp Layerswap

Không phải tất cả các vụ vi phạm an ninh đều dẫn đến mất toàn bộ tài sản. Vụ việc Layerswap ngày 20 tháng 3 cho thấy tầm quan trọng của phản ứng nhanh với sự cố. Mặc dù kẻ tấn công đã thành công xâm phạm trang web của nền tảng và rút khoảng 100.000 đô la qua khoảng 50 tài khoản người dùng, sự phối hợp nhanh chóng của đội ngũ với các nhà cung cấp tên miền đã ngăn chặn một thảm họa lớn hơn nhiều. Quan trọng hơn, Layerswap đã cam kết hoàn trả tất cả các người dùng bị ảnh hưởng cộng thêm khoản bồi thường cho sự gián đoạn.

Điều này có ý nghĩa gì đối với cộng đồng rộng lớn hơn

Những vụ việc liên tiếp này nhấn mạnh một điểm yếu nghiêm trọng trong cách người dùng tương tác với các giao thức blockchain. Phê duyệt token, dù giúp mở rộng chức năng của tài chính phi tập trung, nhưng đã trở thành một con ngựa thành Troy cho các cuộc tấn công xã hội tinh vi. Thành phần lừa đảo vẫn khá đơn giản—lừa người dùng truy cập các trang giả mạo và xác nhận các giao dịch độc hại—nhưng lại gây hậu quả nghiêm trọng.

Con đường phía trước đòi hỏi các lớp phòng thủ đa tầng: nâng cao nhận thức của người dùng về rủi ro của việc phê duyệt hợp đồng không giới hạn, phát triển các tiêu chuẩn phê duyệt token hạn chế hơn, các công cụ phát hiện lừa đảo tốt hơn, và tăng cường các quy trình kiểm tra an ninh cho các nền tảng đã được thiết lập. Khi các cuộc tấn công ngày càng phối hợp tinh vi và kỹ thuật cao hơn, trách nhiệm này đặt lên vai các công ty an ninh, nhà phát triển giao thức và người dùng cá nhân để duy trì cảnh giác liên tục và xác minh cẩn thận từng giao dịch.