Chainalysis đã phát hành bản xem trước báo cáo của mình về gian lận tiền điện tử vào năm 2024, đặc biệt chú ý đến sự phát triển bùng nổ của Lừa đảo phê duyệt. Trên thực tế, chỉ riêng năm 2023, 374,6 triệu đô la đã bị đánh cắp.
Nhưng lừa đảo phê duyệt có chủ đích là gì?
Phân tích chuỗi và gian lận tiền điện tử: báo cáo về sự phát triển mạnh mẽ của lừa đảo phê duyệt trong hai năm qua
Trong bản xem trước “Báo cáo tội phạm tiền điện tử năm 2024” mới, tập trung vào gian lận tiền điện tử, Chainalysis đã thảo luận về sự tăng trưởng mạnh mẽ mà hoạt động lừa đảo phê duyệt đã trải qua trong hai năm qua.
Các trò lừa đảo lừa đảo phê duyệt có mục tiêu đang gia tăng, với nhiều kẻ lừa đảo sử dụng chiến thuật lừa đảo lãng mạn để lừa nạn nhân ký các TX độc hại. Chúng tôi ước tính các nạn nhân đã mất hơn 374 triệu đô la vào năm 2023. Tìm hiểu thêm trong bản xem trước Báo cáo tội phạm tiền điện tử năm 2024 đầu tiên của chúng tôi https://t.co/5cRD7VgNrN
- Chainalysis (@chainalysis) Ngày 14 tháng 12 năm 2023
“Các vụ lừa đảo nhắm mục tiêu phê duyệt đang gia tăng, với nhiều kẻ lừa đảo sử dụng các chiến thuật lừa đảo lãng mạn để lừa nạn nhân ký TX có hại. Chúng tôi ước tính rằng các nạn nhân đã mất hơn 374 triệu đô la vào năm 2023. Để tìm hiểu thêm, hãy xem bản xem trước đầu tiên của chúng tôi về Báo cáo tội phạm tiền điện tử năm 2024.”
Trong thực tế, không giống như các trò lừa đảo tiền điện tử khác, bằng cách lừa đảo phê duyệt có chủ đích, những kẻ lừa đảo xúi giục người dùng ký một giao dịch blockchain có hại.
Cụ thể, chữ ký của người dùng cho phép kẻ lừa đảo phê duyệt địa chỉ để chi tiêu các mã thông báo cụ thể trong ví của họ, cho phép chúng xóa địa chỉ của nạn nhân khỏi các mã thông báo đó theo quyết định của họ.
Thông thường, kỹ thuật này liên quan đến ba địa chỉ ví:
của nạn nhân ký giao dịch với sự chấp thuận đến địa chỉ thứ hai để tiêu tiền của họ;
địa chỉ thứ hai thuộc về kẻ lừa đảo, kẻ sẽ thực hiện các giao dịch và chuyển tiền đến địa chỉ đích thứ ba;
địa chỉ thứ ba sẽ là địa chỉ chứa số tiền bị đánh cắp.
Kỹ thuật lừa đảo tiền điện tử này đã chứng kiến sự phát triển bùng nổ trong hai năm qua, với ít nhất 374 triệu đô la bị nghi ngờ đã bị đánh cắp vào năm 2023.
Phân tích chuỗi và gian lận tiền điện tử: sự phát triển của dApps là nguyên nhân dẫn đến sự phát triển của lừa đảo phê duyệt
Chainalysis tiếp tục mô tả kỹ thuật lừa đảo phê duyệt ngày càng tăng liên kết nó với các trò lừa đảo lãng mạn để thuyết phục nạn nhân ký các giao dịch phê duyệt.
Và thực sự, đằng sau sự tăng trưởng mạnh mẽ trong hai năm qua của loại lừa đảo tiền điện tử này là sự gia tăng của các ứng dụng phi tập trung (hoặc dApps) yêu cầu chữ ký phê duyệt để ủy quyền cho các hợp đồng thông minh.
Cụ thể, các dApp sử dụng hợp đồng thông minh, chẳng hạn như Ethereum, yêu cầu người dùng ký các giao dịch phê duyệt cho phép hợp đồng thông minh của dApp chuyển số tiền do địa chỉ của người dùng nắm giữ.
Với thói quen mới này được giới thiệu cho người dùng, những kẻ lừa đảo sẽ tự chuyển tiếp các yêu cầu chữ ký của họ để phê duyệt các giao dịch của họ, thay vào đó, điều này lại có hại.
Trong các cuộc điều tra do Chainalysis thực hiện, có vẻ như mức thu nhập cao nhất đối với những kẻ bị nghi ngờ lừa đảo lừa đảo đã xảy ra vào tháng 5 năm 2022. Về mặt số học, số tiền bị đánh cắp ước tính thông qua vụ lừa đảo tiền điện tử này trong cả năm 2022 sẽ là 516,8 triệu USD.
Không chỉ vậy, nghiên cứu còn nhấn mạnh rằng địa chỉ lừa đảo được phê duyệt thành công nhất có khả năng đã đánh cắp 44,3 triệu USD từ hàng nghìn địa chỉ nạn nhân.
Phân tích chuỗi và gian lận tiền điện tử: mẹo để tránh rơi vào bẫy lừa đảo phê duyệt
Chainalysis, nền tảng dữ liệu blockchain cung cấp phần mềm, dịch vụ và nghiên cứu, cũng đã khám phá cách giải quyết vấn đề gian lận tiền điện tử do lừa đảo phê duyệt.
Thông qua sơ đồ phân tích các địa chỉ liên quan đến kỹ thuật này, Chainlysis mời các nhóm tuân thủ trao đổi tiền điện tử giám sát chuỗi khối.
Mục đích là để xác định các nghi phạm lừa đảo có khả năng tiếp xúc mạnh với các địa chỉ đích được liên kết.
Không chỉ vậy, nói chung, nền tảng blockchain mời toàn bộ ngành làm việc để giáo dục người dùng không ký các giao dịch phê duyệt đáng ngờ hoặc để có nhận thức rõ hơn về những gì họ đang cấp.
Tấn công lừa đảo và tội phạm tiền điện tử
Kỹ thuật lừa đảo dành cho các cuộc tấn công tội phạm tiền điện tử đang chứng kiến sự phát triển của nó. Trên thực tế, trò lừa đảo lừa đảo lãng mạn có sự chấp thuận này được thêm vào các kỹ thuật lừa đảo khác như chiến dịch email.
Về vấn đề này, vào tháng 11 năm ngoái, các chiến dịch lừa đảo qua email đã nhắm mục tiêu vào thị trường NFT của OpenSea và nhắm đến cả khách hàng và nhà phát triển nền tảng.
Trong trường hợp này, mặc dù OpenSea không bị hack dưới bất kỳ hình thức nào nhưng người dùng đã nhận được email từ “OpenSea giả” chứa các liên kết độc hại. Người dùng đã báo cáo mọi thứ trên mạng xã hội, đưa ra bằng chứng về điều đó.
Tuy nhiên, ngược lại, cuộc tấn công lừa đảo xảy ra vào đầu tháng 9 đã nhắm mục tiêu vào tài khoản X của Vitalik Buterin, người đồng sáng lập Ethereum và dẫn đến vụ đánh cắp 700.000 USD từ người dùng.
Và thực sự, tài khoản X bị xâm nhập của Buterin đã được sử dụng để quảng cáo một loại tiền NFT kỷ niệm giả. Người dùng được mời đúc các NFT này với ưu đãi trong thời gian giới hạn.
Rõ ràng, liên kết được cung cấp đã dẫn đến một trang web lừa đảo gây ra mối đe dọa đáng kể cho những nạn nhân không nghi ngờ bằng cách sử dụng công cụ “Phần mềm thoát nước màu hồng”.
Trong số hàng hóa bị đánh cắp còn có vụ trộm một Crypto Punk NFT quý giá trị giá 153 ETH, tương đương 250.000 USD vào thời điểm đó.
