3,047 triệu đô la Mỹ bị rút trong cuộc tấn công hợp đồng tài chính yêu cầu giả mạo vào Safe

Một vụ tấn công phishing gần đây đã dẫn đến thiệt hại 3,047 triệu USDC. Cuộc tấn công nhắm vào một ví Safe multisignature, thông qua một hợp đồng Request Finance giả mạo. Các nhà điều tra cho biết nhóm tấn công đã lên kế hoạch kỹ lưỡng và thực hiện theo cách khiến giao dịch trông gần như hợp pháp. Nạn nhân sử dụng ví Safe 2/4 multisignature. Theo Scam Sniffer, giao dịch xuất hiện như được xử lý qua giao diện ứng dụng Request Finance. Nhưng ẩn trong lệnh batch lại là một phê duyệt dành cho hợp đồng độc hại.

Địa chỉ hợp đồng giả gần như trùng khớp với địa chỉ hợp pháp, chỉ khác vài ký tự ở giữa. Cả hai đều bắt đầu và kết thúc bằng cùng một ký tự, khiến khó nhận ra bằng mắt thường. Để tăng tính tin cậy, kẻ tấn công thậm chí còn xác minh hợp đồng giả trên Etherscan. Bước này khiến nó trông hợp pháp đối với người xem. Ngay sau khi được phê duyệt, chúng đã rút 3,047 triệu USDC. Số tiền bị đánh cắp sau đó được hoán đổi sang ETH rồi nhanh chóng chuyển vào Tornado Cash, khiến việc truy vết trở nên khó khăn.

Một kế hoạch được chuẩn bị kỹ lưỡng

Dòng thời gian của vụ tấn công cho thấy sự chuẩn bị rõ ràng. Mười ba ngày trước khi đánh cắp, nhóm tấn công đã triển khai hợp đồng Request Finance giả. Chúng thực hiện nhiều giao dịch “batchPayments” để hợp đồng trông như hoạt động bình thường và đáng tin cậy. Khi nạn nhân tương tác, hợp đồng đã có lịch sử sử dụng hợp lệ. Khi nạn nhân dùng ứng dụng Request Finance, kẻ tấn công lồng ghép phê duyệt độc hại vào giao dịch batch. Sau khi giao dịch được ký, vụ khai thác đã hoàn tất.

Phản hồi từ Request Finance

Request Finance đã thừa nhận sự cố và đưa ra cảnh báo cho người dùng. Công ty xác nhận rằng một đối tượng xấu đã triển khai phiên bản giả mạo hợp đồng Batch Payment của họ. Theo thông báo, chỉ có một khách hàng bị ảnh hưởng. Lỗ hổng đã được xử lý, nhưng phương thức chính xác để chèn phê duyệt độc hại vẫn chưa rõ ràng. Các nhà phân tích cho rằng có thể đến từ lỗ hổng trong ứng dụng, phần mềm độc hại hoặc tiện ích trình duyệt can thiệp vào giao dịch, hoặc thậm chí là frontend bị xâm nhập hoặc tấn công DNS. Các dạng chèn mã khác cũng không thể loại trừ.

Mối lo ngại về bảo mật

Vụ việc cho thấy xu hướng gia tăng các trò lừa đảo trong ngành crypto. Kẻ tấn công không còn dựa vào các liên kết phishing cơ bản hay thủ thuật dễ nhận thấy. Thay vào đó, chúng triển khai hợp đồng đã xác minh, giả mạo dịch vụ thật và ẩn mã độc trong giao dịch phức tạp. Batch transaction, vốn được thiết kế để đơn giản hóa thanh toán, cũng có thể tạo cơ hội cho kẻ gian. Vì nhóm nhiều thao tác, người dùng khó rà soát từng phê duyệt hoặc chuyển khoản. Sự thiếu minh bạch này cho phép kẻ tấn công cài cắm hành động gian lận mà nạn nhân chỉ nhận ra khi đã quá muộn.

Bài học cho cộng đồng

Các chuyên gia nhấn mạnh cần hết sức cẩn trọng khi dùng multi-send hoặc tính năng batch payment. Mỗi lần phê duyệt hợp đồng nên được kiểm tra từng ký tự để tránh nhầm lẫn với địa chỉ tương tự. Chỉ một chi tiết bị bỏ qua cũng có thể dẫn đến thiệt hại lớn, như trong trường hợp này. Các công ty an ninh cũng khuyến nghị hạn chế dùng tiện ích trình duyệt và kiểm tra kỹ ứng dụng chưa được xác minh kết nối với ví.

Việc cập nhật phần mềm thường xuyên, sử dụng ví cứng khi phê duyệt và đối chiếu địa chỉ hợp đồng qua nguồn đáng tin cậy có thể giảm thiểu rủi ro. Sự cố này là lời nhắc nhở về nhu cầu tăng cường bảo vệ người dùng. Các cảnh báo rõ ràng hơn, tự động gắn cờ hợp đồng giả mạo và cải thiện khả năng hiển thị giao dịch có thể giúp ngăn chặn các vụ tương tự.

Cái giá đắt đỏ

Khoản thiệt hại 3,047 triệu USD là lời nhắc nhở về mức độ rủi ro trong tài chính phi tập trung. Dù Safe và Request Finance vẫn là công cụ phổ biến, kẻ tấn công ngày càng lợi dụng sự phức tạp của chúng. Với người dùng, sự thận trọng gần như là phòng thủ duy nhất. Trong vụ việc này, sự tinh vi, chuẩn bị kỹ lưỡng và một hợp đồng giả thuyết phục đã đủ để đánh lừa cả cơ chế multisignature. Sự cố cho thấy rằng trong crypto, mỗi cú nhấp chuột và mỗi lần phê duyệt đều có thể quyết định tất cả.