🚨 Đã có một cuộc tấn công trị giá khoảng 15 triệu đô la... và nguyên nhân không phải là một lỗ hổng phức tạp trong blockchain, mà là sai lầm trong lòng tin và kiểm tra con người!
Dự án tiền điện tử #gua đã bị tấn công an ninh lớn dẫn đến việc đánh cắp khoảng 14.98 triệu token GUA, với giá trị ước tính khoảng 15.2 triệu đô la vào thời điểm xảy ra sự cố.
Kẻ tấn công không chỉ dừng lại ở việc ăn cắp, mà còn bán toàn bộ số lượng ngay lập tức trên mạng (On-Chain), gây ra sự sụp đổ nhanh chóng và mạnh mẽ trong giá của đồng tiền, sau đó chuyển đổi lợi nhuận thành 2,784 ETH và phân phối cho nhiều ví khác nhau.
Điều thú vị trong câu chuyện là cuộc tấn công không dựa vào việc bẻ khóa mã hóa hay xâm nhập vào blockchain.
Theo thông tin được lưu hành, kẻ tấn công đã khai thác sự kết hợp của:
• Can thiệp giao diện người dùng (UI Tampering)
• Và lỗi con người trong quá trình kiểm tra các địa chỉ
Cuộc tấn công đã thành công như thế nào?
Kẻ tấn công đã sử dụng sức mạnh tính toán lớn để tạo ra một số lượng khổng lồ địa chỉ ví, cho đến khi hắn có được một địa chỉ rất giống với địa chỉ hợp pháp của Airdrop.
Địa chỉ hợp pháp:
0x70ae...5c15
Địa chỉ ví độc hại:
0x70AE...5C15
Vấn đề là một số cuộc kiểm tra đã chỉ dựa vào việc kiểm tra ký tự đầu và cuối của địa chỉ, thay vì kiểm tra đầy đủ.
Và ngay khi giao dịch nhận được các chữ ký cần thiết trong hệ thống Multi-Signature, tài sản đã được chuyển đến địa chỉ của kẻ tấn công một cách vĩnh viễn và không thể hoàn lại.
Bài học an ninh ở đây rất quan trọng:
Trong thế giới crypto, việc dựa vào:
✔ 4 ký tự đầu tiên
✔ Và 4 ký tự cuối
Chỉ để kiểm tra các địa chỉ đã không còn đủ.
Các kẻ tấn công đã trở nên có khả năng tạo ra các địa chỉ tương tự về mặt hình thức để lừa đảo người dùng và thậm chí là các đội ngũ chuyên nghiệp.
Làm thế nào để giảm thiểu loại rủi ro này?
• Kiểm tra đầy đủ địa chỉ trước khi ký
• Sử dụng Sổ địa chỉ đáng tin cậy cho các địa chỉ nhạy cảm
• Kiểm tra các giao dịch một cách độc lập từ nhiều người
• Sử dụng công cụ hiển thị sự khác biệt giữa các địa chỉ một cách rõ ràng
• Không chỉ dựa vào kiểm tra thị giác nhanh chóng
Sự cố nhắc nhở chúng ta về một sự thật quan trọng:
Đôi khi, những tổn thất lớn nhất trong thế giới crypto không xảy ra do một lỗ hổng kỹ thuật phức tạp...
Nhưng vì vài giây vội vàng trong quá trình kiểm tra.
#CyberSecurity #CryptoSecurity #Blockchain #Ethereum #InfoSec #Web3
