Đồng sáng lập F2Pool báo mất 490 Bitcoin vì hacker rộng lượng

Đồng sáng lập F2Pool Wang Chun cho biết ông từng cố tình nạp 500 BTC vào một ví nghi bị lộ private key để “thử phản ứng”, và hacker đã rút 490 BTC nhưng để lại 10 BTC, khiến ông mỉa mai gọi kẻ tấn công là “hào phóng”.

Câu chuyện của Wang được nhắc lại giữa lúc cộng đồng chú ý đến một vụ “address poisoning” khiến nạn nhân chuyển nhầm 49.999.950 USDT đến địa chỉ giả, sau đó phải phối hợp cơ quan chức năng và gửi thông điệp on-chain đề nghị hoàn trả phần lớn tài sản.

Wang Chun xác nhận ví bị theo dõi sau khi gửi 500 BTC làm “mồi”

Wang Chun cho biết ông nghi private key của một ví đã bị lộ, nên cố tình nạp 500 BTC để kiểm tra xem hacker có đang giám sát hay không, và hacker lập tức rút tiền.

Theo chia sẻ của Wang Chun trên bài đăng, sự việc xảy ra vào năm ngoái và khác với các vụ lừa đảo thông thường vì ông đã nghi ngờ từ trước rằng ví có vấn đề. Mục tiêu của ông là loại bỏ sự nghi ngờ bằng cách tạo một tình huống đủ “rõ ràng” để thấy phản ứng của kẻ theo dõi ví.

Wang nói ông đã chủ động nạp vào ví 500 BTC. Ngay khi số tiền vào ví, hacker bắt đầu thao tác rút tiền, theo mô tả của ông. Điều này khiến Wang kết luận ví thực sự đang bị giám sát và quyền kiểm soát đã bị xâm phạm.

Hacker rút 490 BTC và để lại 10 BTC khiến Wang gọi là “hào phóng”

Wang Chun cho biết hacker chỉ rút 490 BTC và để lại 10 BTC, nên ông mỉa mai gọi kẻ tấn công là “hào phóng” vì không rút sạch toàn bộ.

Trong câu chuyện, Wang nói kẻ tấn công đáng ra có thể rút hết nhưng lại để lại phần còn lại, và ông đùa rằng số BTC đó đủ cho “bread and butter”. Dù mang tính châm biếm, chi tiết này nhấn mạnh việc tài sản đã bị rút gần như toàn bộ ngay khi “mồi” được nạp vào.

Wang cũng nhấn mạnh đây không phải sự cố thất lạc ngẫu nhiên hay một exploit truyền thống, mà là hành động “thử” có chủ đích để xác nhận rủi ro. Cái giá của phép thử này là 490 BTC.

Địa chỉ on-chain được Wang công bố nhưng không đề cập kế hoạch truy vết

Wang Chun chia sẻ địa chỉ được cho là của hacker là “14H12PpQNzrS1y1ipjF4mPuVgQEpgfGA79”, nhưng không nói về việc truy tìm hay thu hồi tài sản.

Thông tin địa chỉ được đưa ra “để tham khảo”, trong khi bài đăng không cho thấy ông đang phối hợp điều tra hay theo đuổi quy trình hoàn trả. Phần bình luận bên dưới thể hiện sự hoài nghi của người dùng về lý do phải dùng số tiền lớn như vậy để kiểm tra.

Một số ý kiến cho rằng giao dịch 500 BTC là khó hiểu, số khác đùa cợt về phát ngôn “10 BTC cho chi tiêu hằng ngày”. Dù vậy, trọng tâm câu chuyện vẫn là hậu quả của việc ví bị lộ private key và hành vi rút tiền gần như tức thì.

Vụ mất 49.999.950 USDT xảy ra theo mô hình “address poisoning”

Nạn nhân mất 49.999.950 USDT sau khi sao chép nhầm địa chỉ độc hại từ lịch sử giao dịch, do kẻ lừa đảo tạo địa chỉ có ký tự đầu và cuối giống địa chỉ thật.

Sự việc được nhắc đến như một vụ phishing diễn ra ngày 20/12, trong đó nạn nhân chuyển nhầm gần 50 triệu USDT vào địa chỉ scam, được gắn nhãn là tấn công “address poisoning”. Theo mô tả, nạn nhân ban đầu khá cẩn trọng khi gửi thử 50 USD đến đúng địa chỉ.

Theo điều tra on-chain của Web3 Antivirus, sau giao dịch thử, kẻ gian nhanh chóng “spoof” một ví có cùng các ký tự đầu và bốn ký tự cuối giống địa chỉ hợp lệ, rồi “đầu độc” lịch sử giao dịch. Vì nhiều ví chỉ hiển thị dạng rút gọn với “…”, người dùng dễ chỉ kiểm tra phần đầu/cuối trước khi dán địa chỉ.

Khi chuyển phần còn lại là 49.999.950 USDT, nạn nhân đã sao chép địa chỉ giả từ lịch sử, kiểm tra ký tự đầu và cuối, rồi gửi nhầm toàn bộ số tiền tới địa chỉ bị đầu độc. Sau đó, kẻ tấn công hoán đổi USDT sang Ether, chia nhỏ sang nhiều ví và đưa một phần vào Tornado Cash.

Nạn nhân gửi thông điệp on-chain, yêu cầu hoàn trả 98% trong 48 giờ

Nạn nhân cho biết đã lập hồ sơ hình sự và đề nghị hacker hoàn trả 98% số tiền trong 48 giờ, cho phép giữ lại 1.000.000 USD như “phần thưởng” nếu hợp tác ngay.

Theo thông tin được chia sẻ, nạn nhân đã gửi một thông điệp on-chain đến hacker, nói rằng đã nộp đơn hình sự và cùng cơ quan thực thi pháp luật cũng như các đơn vị khác thu thập dữ liệu về hoạt động của kẻ tấn công.

Thông điệp nêu điều kiện “lối thoát cuối cùng”: chuyển trả 98% tài sản bị lấy trong vòng 48 giờ và được khuyến nghị giữ lại 1.000.000 USD để “xác định lỗ hổng”. Nếu không tuân thủ, nạn nhân tuyên bố sẽ mở rộng điều tra, công khai danh tính và theo đuổi cả trách nhiệm dân sự lẫn hình sự.

Ethereum Community Foundation kêu gọi bỏ rút gọn địa chỉ bằng “…” để giảm rủi ro

Ethereum Community Foundation cho rằng việc hiển thị rút gọn địa chỉ bằng “…” làm suy giảm an toàn người dùng và kêu gọi chấm dứt thực hành này.

Trong bối cảnh các vụ “address poisoning” lặp lại, ECF đã kêu gọi “kết thúc việc rút gọn địa chỉ bằng dấu chấm”. Lập luận cốt lõi là màn hình hiện nay có thể hiển thị đầy đủ địa chỉ, nên việc che phần giữa chỉ tạo thêm rủi ro có thể tránh được.

“Ví và trình khám phá blockchain vẫn đang đưa ra các lựa chọn UI chủ động làm suy yếu an toàn của người dùng. Điều này có thể giải quyết được.”
– Ethereum Community Foundation, bài đăng X

Những câu hỏi thường gặp

“Address poisoning” là gì và vì sao dễ khiến người dùng chuyển nhầm?

“Address poisoning” là thủ thuật kẻ tấn công tạo địa chỉ có ký tự đầu và cuối giống địa chỉ thật, rồi khiến địa chỉ giả xuất hiện trong lịch sử giao dịch. Vì nhiều ví rút gọn địa chỉ bằng “…”, người dùng thường chỉ đối chiếu phần đầu/cuối nên dễ sao chép nhầm.

Nạn nhân trong vụ 49.999.950 USDT đã đề nghị giải pháp nào với hacker?

Nạn nhân nhắn on-chain rằng đã lập hồ sơ hình sự và yêu cầu hoàn trả 98% trong 48 giờ, đồng thời cho phép giữ lại 1.000.000 USD nếu hợp tác ngay. Nếu không, họ tuyên bố sẽ tăng cường điều tra và theo đuổi trách nhiệm pháp lý.

Ethereum Community Foundation muốn thay đổi gì để giảm rủi ro?

ECF kêu gọi chấm dứt việc rút gọn địa chỉ bằng dấu “…” trên ví và block explorer, vì điều này làm người dùng khó kiểm tra toàn bộ địa chỉ. Theo ECF, hiện nhiều màn hình đã đủ lớn để hiển thị địa chỉ đầy đủ.