Kẻ tấn công đầu độc địa chỉ, người được cho là đã lừa người dùng gửi cho họ số Wrapped Bitcoin (WBTC) trị giá 68 triệu đô la, đã gửi lại số Ether (ETH) trị giá 153.000 đô la cho nạn nhân để thể hiện thiện chí. Trong cùng một giao dịch, kẻ tấn công đã gửi một tin nhắn đồng ý đàm phán và yêu cầu nạn nhân cung cấp tên người dùng Telegram để có thể liên hệ với họ. Số tiền được gửi lại chỉ chiếm 0,225% tổng số tiền bị cáo buộc bị đánh cắp.
Dữ liệu chuỗi khối cho thấy vào ngày 5 tháng 5, nạn nhân bị tấn công, có tài khoản kết thúc bằng 8fD5, đã gửi ba tin nhắn đến tài khoản kết thúc bằng dA6D. Người nhận tin nhắn đã nhận được tiền từ tài khoản tấn công, được gắn nhãn “FakePhishing327990” trên Etherscan, thông qua một số tài khoản trung gian. Điều này ngụ ý rằng dA6D có khả năng đã bị kẻ tấn công kiểm soát.
Các tin nhắn ngụ ý rằng nạn nhân sẵn sàng đưa cho kẻ tấn công 10% số tiền như một khoản tiền thưởng và sẽ không truy tố nếu họ trả lại 90% còn lại. Nạn nhân khai:
“Cả hai chúng tôi đều biết không có cách nào để rửa sạch số tiền này. Bạn sẽ bị truy tìm. Cả hai chúng tôi đều hiểu cụm từ 'ngủ ngon' không phải nói về phẩm chất đạo đức và đạo đức của bạn. Tuy nhiên, chúng tôi chính thức quản trị quyền 10% của bạn. Gửi lại 90%. Bạn có 24 giờ trước 10 giờ sáng UTC, ngày 6 tháng 5 năm 2024 để đưa ra quyết định sẽ thay đổi cuộc đời bạn trong mọi trường hợp.”
Vào lúc 11:37 sáng UTC ngày 9 tháng 5, một tài khoản khác kết thúc bằng 72F1 đã phản hồi bằng cách gửi 51 Ether (ETH) (trị giá 153.000 USD theo giá hôm nay) cho nạn nhân. 72F1 cũng đã nhận được tiền từ FakePhishing327990 thông qua một số tài khoản trung gian, cho thấy nó cũng nằm dưới sự kiểm soát của kẻ tấn công.
Trong giao dịch gửi 51 ETH, kẻ tấn công cũng đăng một thông báo có nội dung “Xin vui lòng để lại bức điện tín của bạn và tôi sẽ liên lạc với bạn”. Sau đó, họ cố gắng sửa dấu câu sai vào lúc 11:43 sáng, đăng thêm một thông báo có nội dung: “Vui lòng để lại điện tín của bạn và tôi sẽ liên hệ với bạn[.]”
Đáp lại, nạn nhân đã đăng tên người dùng Telegram để họ có thể liên hệ.
Địa chỉ nạn nhân bị đầu độc thương lượng với kẻ tấn công. Nguồn: Etherscan.
Cuộc đàm phán xảy ra sau khi kẻ tấn công bị cáo buộc đã lừa nạn nhân gửi nhầm 1.155 Wrapped Bitcoin (WBTC) (trị giá 68 triệu đô la vào thời điểm đó) vào tài khoản của họ, điều mà họ đã thực hiện thông qua giao dịch “đầu độc địa chỉ”.
Dữ liệu chuỗi khối cho thấy vào lúc 09:17 sáng ngày 3 tháng 5, kẻ tấn công đã sử dụng hợp đồng thông minh để chuyển 0,05 token từ tài khoản nạn nhân sang tài khoản của kẻ tấn công. Mã thông báo được chuyển không có tên được liệt kê trên Etherscan và được gọi đơn giản là “ERC-20”. Trong các trường hợp thông thường, kẻ tấn công không thể chuyển mã thông báo từ người dùng khác mà không có sự đồng ý của họ. Nhưng trong trường hợp này, mã thông báo có thiết kế tùy chỉnh cho phép chuyển nó từ tài khoản mà không cần sự đồng ý của người dùng.
Vào lúc 10h31 sáng cùng ngày, nạn nhân đã gửi nhầm 1.155 WBTC đến địa chỉ này. Địa chỉ này có thể trông giống với địa chỉ mà nạn nhân sử dụng để gửi tiền vào một sàn giao dịch tập trung hoặc vì một số lý do khác.
Ngoài ra, nạn nhân có thể đã thấy trước đây họ đã gửi 0,05 mã thông báo đến địa chỉ này và do đó cho rằng địa chỉ đó an toàn. Tuy nhiên, 0,05 token đã được kẻ tấn công gửi và dường như chỉ đến từ nạn nhân.
Khi kẻ tấn công cố gắng làm nạn nhân bối rối bằng cách gửi thư rác cho họ với các giao dịch có vẻ như đến từ họ nhưng thực tế lại đến từ kẻ tấn công, các chuyên gia bảo mật gọi đó là “cuộc tấn công đầu độc địa chỉ”. Các chuyên gia khuyến nghị người dùng nên kiểm tra cẩn thận địa chỉ gửi trong giao dịch trước khi xác nhận, để tránh những sai sót tốn kém từ các kiểu tấn công này.
Liên quan: Cách tránh các cuộc tấn công đầu độc địa chỉ chuyển giá trị bằng 0
