07/02/2023 21:40 read

238

Những kẻ lừa đảo đang nhắm mục tiêu người dùng tiền điện tử bằng thủ thuật

Thủ thuật này cho phép kẻ tấn công xác nhận các giao dịch có giá trị bằng 0 từ ví nạn nhân, chiếm đoạt lịch sử giao dịch của người dùng.

Dữ liệu từ Etherscan cho thấy một số kẻ lừa đảo tiền điện tử đang nhắm mục tiêu người dùng bằng một thủ thuật mới cho phép họ xác nhận giao dịch từ ví của nạn nhân nhưng không cần có khóa cá nhân của nạn nhân. Cuộc tấn công chỉ có thể được thực hiện đối với các giao dịch có giá trị bằng 0. Tuy nhiên, nó có thể khiến một số người dùng vô tình gửi Token cho kẻ tấn công do cắt và dán từ lịch sử giao dịch bị tấn công.

Công ty bảo mật blockchain SlowMist đã phát hiện ra kỹ thuật mới vào tháng 12 và tiết lộ nó trong một bài đăng trên blog. Kể từ đó, cả SafePal và Etherscan đã áp dụng các kỹ thuật giảm thiểu để hạn chế ảnh hưởng của nó đối với người dùng, nhưng một số người dùng có thể vẫn không biết về sự tồn tại của nó.

Recently we have received reports from the community of a new type of scam: Zero Transfer Scam. Be careful if you see suspicious 0 transfer in your wallet record:

1/10
— Veronica (@V_SafePal) December 14, 2022

Theo bài đăng từ SlowMist, trò lừa đảo hoạt động bằng cách gửi một giao dịch không có Token từ ví nạn nhân đến một địa chỉ trông giống với địa chỉ mà nạn nhân đã gửi Token trước đó.

Ví dụ: nếu nạn nhân đã gửi 100 xu đến địa chỉ tiền gửi trên nền tảng giao dịch, kẻ tấn công có thể gửi 0 xu từ ví nạn nhân đến một địa chỉ trông giống nhưng trên thực tế, nằm dưới sự kiểm soát của kẻ tấn công. Nạn nhân có thể thấy giao dịch này trong lịch sử giao dịch của họ và kết luận rằng địa chỉ được hiển thị là địa chỉ gửi tiền chính xác. Do đó, họ có thể gửi tiền trực tiếp cho kẻ tấn công.

Gửi một giao dịch mà không có sự cho phép của chủ sở hữu

Trong các trường hợp thông thường, kẻ tấn công cần khóa cá nhân của nạn nhân để gửi giao dịch từ ví của nạn nhân. Nhưng tính năng tab hợp đồng Etherscan tiết lộ rằng có một kẽ hở trong một số hợp đồng Token có thể cho phép kẻ tấn công gửi giao dịch từ bất kỳ ví nào.

Ví dụ: mã cho USD Coin (USDC) trên Etherscan cho thấy chức năng TransferFrom cho phép bất kỳ người nào chuyển tiền từ ví của người khác miễn là số tiền họ đang gửi nhỏ hơn hoặc bằng số tiền được cho phép bởi chủ sở hữu của địa chỉ.

Điều này thường có nghĩa là kẻ tấn công không thể thực hiện giao dịch từ địa chỉ của người khác trừ khi chủ sở hữu chấp thuận một khoản trợ cấp cho họ.

Tuy nhiên, có một kẽ hở trong hạn chế này. Số tiền được phép được xác định là một số (được gọi là loại uint256), có nghĩa là nó được hiểu là số không trừ khi nó được đặt cụ thể thành một số khác. Điều này có thể được nhìn thấy trong chức năng phụ cấp.

Kết quả là, miễn là giá trị của giao dịch kẻ tấn công nhỏ hơn hoặc bằng 0, chúng có thể gửi giao dịch từ bất kỳ ví nào chúng muốn mà không cần khóa cá nhân hoặc sự chấp thuận trước của chủ sở hữu.

USDC không phải là token duy nhất cho phép thực hiện điều này. Mã tương tự có thể được tìm thấy trong hầu hết các hợp đồng Token. Nó thậm chí có thể được tìm thấy trong các hợp đồng mẫu được liên kết từ trang web chính thức của Ethereum Foundation.

Ví dụ về lừa đảo chuyển giá trị bằng 0

Etherscan cho thấy rằng một số địa chỉ ví đang gửi hàng nghìn giao dịch có giá trị bằng không mỗi ngày từ ví của nhiều nạn nhân mà không có sự đồng ý của họ.

Ví dụ: một tài khoản có nhãn Fake_Phishing7974 đã sử dụng hợp đồng thông minh chưa được xác minh để thực hiện hơn 80 gói giao dịch vào ngày 12 tháng 1, với mỗi gói chứa 50 giao dịch có giá trị bằng 0 trong tổng số 4.000 giao dịch trái phép trong một ngày.

Địa chỉ gây hiểu nhầm

Xem xét kỹ hơn từng giao dịch cho thấy động cơ của thư rác này: Kẻ tấn công đang gửi các giao dịch có giá trị bằng 0 đến các địa chỉ trông rất giống với các địa chỉ mà nạn nhân đã gửi tiền trước đó.

Ví dụ: Etherscan cho thấy rằng một trong những địa chỉ người dùng bị kẻ tấn công nhắm mục tiêu là:

0x20d7f90d9c40901488a935870e1e80127de11d74.

Vào ngày 29 tháng 1, tài khoản này đã ủy quyền 5.000 Tether (USDT) được gửi đến địa chỉ nhận này:

0xa541efe60f274f813a834afd31e896348810bb09.

Ngay sau đó, Fake_Phishing7974 đã gửi một giao dịch không có giá trị từ ví nạn nhân đến địa chỉ này:

0xA545c8659B0CD5B426A027509E55220FDa10bB09.

Năm ký tự đầu tiên và sáu ký tự cuối cùng của hai địa chỉ nhận này hoàn toàn giống nhau, nhưng các ký tự ở giữa hoàn toàn khác nhau. Kẻ tấn công có thể đã có ý định để người dùng gửi USDT đến địa chỉ thứ hai (giả mạo) này thay vì địa chỉ thật, đưa tiền của họ cho kẻ tấn công.

Trong tình huống cụ thể này, có vẻ như trò lừa đảo đã không hoạt động, vì Etherscan không hiển thị bất kỳ giao dịch nào từ địa chỉ này đến một trong những địa chỉ giả do kẻ lừa đảo tạo ra. Nhưng với khối lượng giao dịch có giá trị bằng 0 được thực hiện bởi tài khoản này, kế hoạch có thể đã hoạt động trong các tình huống khác.

Ví và block explorer có thể khác nhau đáng kể về cách thức hoặc liệu chúng có hiển thị các giao dịch gây hiểu lầm hay không.

Ví

Một số ví có thể hoàn toàn không hiển thị các giao dịch spam. Ví dụ: MetaMask không hiển thị lịch sử giao dịch nếu nó được cài đặt lại, ngay cả khi bản thân tài khoản có hàng trăm giao dịch trên blockchain. Điều này ngụ ý rằng nó lưu trữ lịch sử giao dịch của chính nó thay vì lấy dữ liệu từ blockchain. Điều này sẽ ngăn các giao dịch spam hiển thị trong lịch sử giao dịch ví.

Mặt khác, nếu ví lấy dữ liệu trực tiếp từ blockchain, các giao dịch rác có thể hiển thị trong màn hình ví. Trong một thông báo ngày 13 tháng 12 trên Twitter, Giám đốc điều hành SafePal Veronica Wong đã cảnh báo người dùng SafePal rằng ví của họ có thể hiển thị các giao dịch. Để giảm thiểu rủi ro này, cô ấy nói rằng SafePal đang thay đổi cách hiển thị địa chỉ trong các phiên bản mới hơn của ví của mình để giúp người dùng test địa chỉ dễ dàng hơn.

(6/10) Upon this, we have taken actions:
1) In the latest V3.7.3 update, we adjusted the length of the wallet address displayed in the transaction history. The first and last 10 digits of the wallet address will be displayed in default, for the sake of address examination
— Veronica (@V_SafePal) December 14, 2022

Vào tháng 12, một người dùng cũng đã báo cáo rằng ví Trezor của họ đang hiển thị các giao dịch sai lệch.

Cointelegraph đã liên hệ qua email tới SatoshiLabs, nhà phát triển Trezor để nhận xét. Đáp lại, một đại diện tuyên bố rằng ví sẽ lấy lịch sử giao dịch của nó trực tiếp từ blockchain mỗi khi người dùng cắm ví Trezor của họ.

Tuy nhiên, nhóm đang thực hiện các bước để bảo vệ người dùng khỏi lừa đảo. Trong bản cập nhật Trezor Suite sắp tới, phần mềm sẽ gắn cờ các giao dịch đáng ngờ có giá trị bằng 0 để người dùng được cảnh báo rằng các giao dịch đó có khả năng là gian lận. Công ty cũng tuyên bố rằng ví luôn hiển thị địa chỉ đầy đủ của mọi giao dịch và họ đặc biệt khuyến nghị người dùng luôn test địa chỉ đầy đủ, không chỉ các ký tự đầu tiên và cuối cùng.

Block Explorer

Ngoài ví, block explorer là một loại phần mềm khác có thể được sử dụng để xem lịch sử giao dịch. Một số trình khám phá có thể hiển thị các giao dịch này theo cách vô tình đánh lừa người dùng, giống như một số ví.

Để giảm thiểu mối đe dọa này, Etherscan đã bắt đầu chuyển sang màu xám các giao dịch Token không có giá trị không do người dùng thực hiện. Nó cũng đánh dấu các giao dịch này bằng một cảnh báo cho biết, Đây là một giao dịch chuyển Token có giá trị bằng 0 được bắt đầu bởi một địa chỉ khác, bằng chứng là hình ảnh bên dưới.

Các block explorer khác có thể đã thực hiện các bước tương tự như Etherscan để cảnh báo người dùng về các giao dịch này, nhưng một số có thể chưa thực hiện các bước này.

Mẹo để tránh thủ thuật 'Chuyển từ giá trị bằng 0'

Cointelegraph đã liên hệ với SlowMist để được tư vấn về cách tránh trở thành con mồi của thủ thuật Chuyển từ không có giá trị.

Một đại diện của công ty đã cung cấp cho Cointelegraph một danh sách các mẹo để tránh trở thành nạn nhân của cuộc tấn công:

"Hãy thận trọng và xác minh địa chỉ trước khi thực hiện bất kỳ giao dịch nào."
"Sử dụng tính năng danh sách trắng trong ví của bạn để tránh gửi tiền đến sai địa chỉ."
"Hãy cảnh giác và cập nhật thông tin. Nếu bạn gặp phải bất kỳ giao dịch chuyển tiền đáng ngờ nào, hãy dành thời gian điều tra vấn đề một cách bình tĩnh để tránh trở thành nạn nhân của những kẻ lừa đảo."
"Duy trì mức độ hoài nghi lành mạnh, luôn thận trọng và cảnh giác."

Từ lời khuyên này, điều quan trọng nhất mà người dùng tiền điện tử cần nhớ là luôn test địa chỉ trước khi gửi tiền điện tử đến địa chỉ đó. Ngay cả khi hồ sơ giao dịch dường như ngụ ý rằng bạn đã gửi tiền điện tử đến địa chỉ trước đó, thì sự xuất hiện này có thể là lừa dối.

Theo CoinTelegraph

Chia sẻ bài viết này với bạn bè qua Facebook / Zalo / Telegram: