50 triệu USD biến mất trong tích tắc: Lỗi sao chép-dán ví tiền gây ra một trong những vụ lừa đảo địa chỉ tốn kém nhất trong lĩnh vực tiền mã hoá

Những điểm chính:

• Một người dùng tiền mã hóa đã mất gần 50 triệu USD bằng USDT sau khi sao chép địa chỉ ví giả mạo từ lịch sử giao dịch.
• Cuộc tấn công sử dụng chiếm đoạt địa chỉ, khai thác giao diện ví ẩn phần giữa của địa chỉ.
• Số tiền nhanh chóng được chuyển đổi và định tuyến qua nhiều ví, với một phần được gửi đến Tornado Cash, hạn chế các lựa chọn khôi phục.

Một lỗi sao chép-dán duy nhất đã dẫn đến một trong những lỗi người dùng tốn kém nhất từng được ghi nhận on-chain. Sự cố này làm nổi bật cách thói quen giao diện đơn giản có thể ghi đè hành vi thận trọng và dẫn đến tổn thất không thể phục hồi.

Một Lần Chuyển Thử Nghiệm Thường Lệ Đã Biến Thành Khoản Lỗ 50 Triệu USD Như Thế Nào

Theo các nhà điều tra on-chain, bao gồm Lookonchain, nạn nhân bắt đầu với một bước mà nhiều người dùng có kinh nghiệm coi là thực hành tốt nhất: một giao dịch thử nghiệm nhỏ. Người dùng đã gửi 50 USDT đến một địa chỉ ví cá nhân quen thuộc để xác nhận độ chính xác trước khi chuyển một số tiền lớn hơn nhiều.

Tuy nhiên, lần chuyển thử nghiệm đó đã trở thành yếu tố kích hoạt.

Trong giây lát, một kẻ lừa đảo đã triển khai chiến thuật chiếm đoạt địa chỉ. Kẻ tấn công đã tạo một địa chỉ ví có bốn chữ số đầu và cuối giống với địa chỉ thực của nạn nhân. Sau đó, một giao dịch nhỏ được gửi đến nạn nhân trên địa chỉ này trông giống như địa chỉ thật, đảm bảo rằng nó sẽ được ghi lại trong lịch sử giao dịch của ví.

Khi nạn nhân quay lại để hoàn thành giao dịch chính: 49,999,950 USDT, họ đã sao chép địa chỉ từ lịch sử giao dịch thay vì nguồn đã lưu ban đầu. Vì nhiều giao diện ví cắt ngắn địa chỉ bằng "…", địa chỉ giả mạo có vẻ hợp pháp khi nhìn thoáng qua. Số tiền được chuyển ngay lập tức và vĩnh viễn cho tin tặc.

Đọc thêm: Pi Network Flags Scam Wallet Amid $346M Token Risks as 60M Users Await Unlock

Chiếm Đoạt Địa Chỉ: Một Cuộc Tấn Công Công Nghệ Thấp Với Tác Động Cao

Không cần phải hack khóa cá nhân hoặc sử dụng hợp đồng thông minh. Nó phụ thuộc vào giao diện và hành vi của con người.

Tại Sao Cuộc Tấn Công Này Vẫn Hiệu Quả Ở Quy Mô Lớn

Hầu hết các ví đều viết tắt địa chỉ để tăng cường khả năng đọc. Người dùng thường xuyên kiểm tra việc chuyển bằng cách kiểm tra địa chỉ đầu tiên và cuối cùng. Điều này bị lạm dụng bởi những kẻ tấn công tạo ra các địa chỉ phản ánh những ký tự hiển thị như vậy.

Trong trường hợp này, kẻ lừa đảo đã làm điều này ngay sau giao dịch thử nghiệm và nó biểu thị sự giám sát tự động. Kẻ tấn công đã khiến sự tiện lợi che giấu lý do tốt hơn để thận trọng bằng cách đặt một địa chỉ gần giống hệt trong lịch sử giao dịch của nạn nhân.

Phương pháp này được coi là cơ bản so với các khai thác DeFi phức tạp. Tuy nhiên, kết quả cho thấy ngay cả những vụ lừa đảo "đơn giản" cũng có thể tạo ra tổn thất thảm khốc khi có số tiền lớn liên quan.

Các Chuyển Động On-Chain Sau Vụ Trộm

Hồ sơ blockchain cho thấy USDT bị đánh cắp không nằm yên. Kẻ tấn công rất nhanh chóng chuyển đổi một phần số tiền sang ETH và gửi chúng đến nhiều ví, điều này điển hình để giảm khả năng truy vết.

Tài sản sau đó được chuyển đến Tornado Cash, một bộ trộn quyền riêng tư ẩn dấu vết của việc chuyển. Ngay sau khi tiền được đầu tư vào các dịch vụ như vậy, việc khôi phục cực kỳ khó xảy ra nếu không có hành động ngay lập tức của các sàn giao dịch hoặc trình xác thực.

Chuỗi ví được mô tả bởi các nhà phân tích người tuyên bố nó có hiệu quả và được lên kế hoạch trước có nghĩa là kẻ lừa đảo đã sẵn sàng thực hiện hành động ngay khi giao dịch lớn được thực hiện.

Tại Sao Trường Hợp Này Gây Sốc Các Nhà Phân Tích

Chiếm đoạt địa chỉ được biết đến rộng rãi và thường được thảo luận như một trò lừa đảo phiền toái liên quan đến số tiền nhỏ. Điều làm cho trường hợp này nổi bật là quy mô và mức độ của lỗi.

Nạn nhân đã tuân theo một bước an toàn phổ biến bằng cách thử nghiệm với một giao dịch chuyển nhỏ. Trớ trêu thay, hành động đó đã cung cấp cho kẻ tấn công tín hiệu cần thiết để triển khai địa chỉ giả mạo vào đúng thời điểm.

Các nhà quan sát on-chain lưu ý rằng chỉ cần vài giây để sao chép địa chỉ từ nguồn gốc, thay vì lịch sử giao dịch sẽ ngăn chặn hoàn toàn tổn thất. Tốc độ của sự hoàn thiện blockchain không để lại cửa sổ nào để đảo ngược.

Đọc thêm: Shenzhen Issues Crypto Fraud Alert as Stablecoin Scams Multiply Across China

Thiết Kế Ví Và Yếu Tố Con Người

Sự cố này đặt ra câu hỏi về các lựa chọn UX của ví. Địa chỉ bị cắt ngắn cải thiện độ rõ ràng trực quan nhưng giảm bảo mật cho người dùng xử lý số tiền lớn.

Một số ví hiện cảnh báo người dùng về chiếm đoạt địa chỉ hoặc gắn cờ các địa chỉ giống với các địa chỉ đã biết. Những ví khác cung cấp danh sách trắng địa chỉ, nơi việc chuyển bị hạn chế đối với các địa chỉ được phê duyệt trước. Tuy nhiên, việc áp dụng các tính năng này vẫn không nhất quán.

Đối với các giao dịch chuyển có giá trị cao, sự phụ thuộc vào kiểm tra trực quan đơn thuần đã được chứng minh là không đủ. Trường hợp này cho thấy cách ngay cả những người dùng có kinh nghiệm cũng có thể rơi vào các mô hình có thể dự đoán được dưới áp lực thời gian.

The post $50M Vanishes in Seconds: Copy-Paste Wallet Error Triggers One of Crypto's Costliest Address Scams appeared first on CryptoNinjas.