Hacker UXLink mất 542 triệu đô la token sau khi bị lừa đảo

Diễn biến quanh vụ hack UXLink gần đây đã có một bước ngoặt bất ngờ. Hacker, người đã đánh cắp hàng triệu token UXLink trong một vụ tấn công bảo mật lớn, được cho là đã trở thành nạn nhân của một cuộc tấn công phishing. Dữ liệu on-chain cho thấy khoảng 542 triệu token UXLink, trị giá hàng chục triệu USD, đã bị rút khỏi ví của kẻ tấn công sau khi hắn cấp quyền truy cập cho một hợp đồng độc hại. Câu chuyện bắt đầu khi UXLink thông báo ví multi-signature của mình bị xâm nhập, với lượng lớn tiền điện tử bị chuyển trái phép sang các sàn giao dịch tập trung (CEX) và phi tập trung (DEX).

Công ty đã nhanh chóng liên hệ với các sàn, cơ quan chức năng và chuyên gia an ninh blockchain để phong tỏa các khoản nạp đáng ngờ và lần theo dòng tiền. Nhưng diễn biến sau đó đã khiến cộng đồng tiền số vừa kinh ngạc vừa bật cười. Các nhà phân tích bảo mật blockchain phát hiện hacker từng rút ví UXLink đã vô tình chấp thuận một hợp đồng phishing. Sự chấp thuận này cho phép kẻ tấn công khác rút số tiền đánh cắp bằng thủ thuật “increase Allowance”. Theo công ty bảo mật Web3 Scam Sniffer, hacker đã ký phê duyệt ngay trước khi token bị rút sạch. Sau đó, số tiền được chuyển đến các địa chỉ phishing liên quan đến nhóm Inferno Drainer.

Cách thức phishing hoạt động

Phương thức phishing này không mới. Kẻ tấn công tạo ra các hợp đồng giả mạo trông hợp pháp. Khi nạn nhân tương tác, họ vô tình cấp quyền cho hacker di chuyển token từ ví. Trong trường hợp này, hacker UXLink có lẽ nghĩ rằng mình đang chuyển tài sản đến nơi an toàn hoặc thực hiện swap. Nhưng thay vào đó, hắn đã trao quyền kiểm soát token cho một địa chỉ phishing. Chỉ trong vài phút, hàng trăm triệu token UXLink bị rút sạch, để lại hacker trắng tay.

Dữ liệu on-chain ghi nhận hai giao dịch lớn từ ví hacker:

• 108.395.883 token UXLink, trị giá khoảng 9,7 triệu USD.
• 433.583.532 token UXLink, trị giá hơn 39 triệu USD.

Tổng cộng vượt 542 triệu token.

Phản ứng cộng đồng

Cộng đồng tiền số phản ứng vừa hoài nghi vừa hài hước. Nhà nghiên cứu bảo mật Cos, nổi tiếng với việc phát hiện các vụ phishing, gọi đây là tình huống “nực cười”, nhấn mạnh ngay cả hacker cũng không thoát khỏi những chiêu trò mà họ thường dùng. Nhiều người đùa rằng đây là “nghiệp báo”. Dù mất mát là nghiêm trọng, sự trớ trêu đã biến vụ việc thành một trong những câu chuyện bảo mật được bàn tán nhiều nhất gần đây. Sự việc cũng cho thấy mức độ nguy hiểm của phishing trong Web3, khi ngay cả kẻ thực hiện vụ khai thác ví multi-signature tinh vi cũng trở thành nạn nhân của một thủ thuật phổ biến.

Phản hồi từ UXLink

UXLink vẫn đang nỗ lực kiểm soát sự cố ban đầu. Trong thông báo khẩn, đội ngũ cho biết đang phối hợp với chuyên gia bảo mật và các sàn để theo dõi dòng tiền và phong tỏa giao dịch đáng ngờ. Công ty cũng đã báo cáo sự việc tới cảnh sát và cơ quan quản lý. Việc hacker bị phishing chỉ là một tình tiết bất ngờ, nhưng không giải quyết được khủng hoảng gốc của UXLink và cộng đồng. Vụ xâm nhập vẫn gây thiệt hại nặng nề và làm suy giảm niềm tin của người dùng. UXLink khẳng định sẽ tiếp tục minh bạch và cập nhật diễn biến điều tra.

Bài học rút ra

Sự cố này nhấn mạnh một số bài học quan trọng cho thế giới crypto:

• Không ai miễn nhiễm với phishing. Ngay cả hacker cũng có thể bị lừa bởi các phê duyệt độc hại.
• Phishing vẫn là một trong những phương thức tấn công hiệu quả nhất trong Web3. Dù nhiều vụ hack đình đám liên quan đến kỹ thuật phức tạp, những chiêu đơn giản như hợp đồng giả vẫn gây thiệt hại nặng nề.
• Người dùng phải luôn cảnh giác. Luôn kiểm tra kỹ hợp đồng, quyền truy cập và các tương tác ví, ngay cả khi vội chuyển tiền.

Một bước ngoặt bất ngờ

Vụ hack UXLink vốn đã là một trong những sự cố nghiêm trọng nhất những tháng gần đây, với quy mô lớn và phản ứng khẩn cấp từ dự án lẫn các sàn. Nhưng việc hacker bị nhóm phishing hạ gục đã khiến câu chuyện rẽ theo hướng ít ai ngờ. Trong khi cộng đồng UXLink vẫn đối diện nhiều bất ổn, ngành crypto rộng hơn nhận được một lời nhắc nhở kỳ lạ: trong thế giới tài chính phi tập trung, ngay cả kẻ trộm cũng có thể bị cướp.