Một người dùng mất 6,9 triệu USD do mua ví lạnh giảm giá trên Douyin, phiên bản TikTok Trung Quốc, vốn đã bị cài sẵn mã độc từ trước.
Một vụ việc gây chấn động vừa diễn ra trong cộng đồng tiền mã hóa, làm nổi bật những rủi ro nghiêm trọng liên quan đến việc tự lưu ký tài sản số, đặc biệt là các lỗ hổng bảo mật từ chuỗi cung ứng phần cứng. Một người dùng đã mất trắng gần 7 triệu USD sau khi mua phải chiếc ví lạnh giảm giá trên Douyin Shop, nền tảng thương mại điện tử tích hợp trên ứng dụng TikTok phiên bản Trung Quốc.
Theo điều tra từ công ty an ninh blockchain SlowMist, chiếc ví này đã bị cài sẵn mã độc trước khi đến tay khách hàng, dẫn đến việc khóa riêng (private key) bị lộ ngay từ khi khởi tạo. Chỉ trong vài giờ sau khi nạn nhân chuyển tài sản vào ví, toàn bộ số tiền đã bị kẻ gian đánh cắp. Vụ việc một lần nữa cho thấy hậu quả nghiêm trọng khi người dùng đặt niềm tin vào những sản phẩm không rõ nguồn gốc, nhằm tiết kiệm một khoản chi phí nhỏ nhưng lại đối mặt với rủi ro tài chính lớn.
Mặc dù thủ đoạn lừa đảo dạng này không mới, nhưng lần này chúng được thực hiện hết sức tinh vi. Những kẻ lừa đảo lợi dụng uy tín và sức lan tỏa mạnh mẽ từ các nền tảng thương mại điện tử lớn như Douyin để bán các thiết bị đã bị can thiệp phần cứng. Các sản phẩm này thường được quảng cáo bằng những lời mời chào hấp dẫn như giảm giá đặc biệt hoặc hàng niêm phong từ nhà máy, nhằm đánh vào tâm lý chủ quan và ham rẻ của người tiêu dùng.
Một người bạn của nạn nhân mô tả chiếc ví là một chiếc bẫy chết người được thiết kế vô cùng tinh vi. Số tiền đánh cắp sau đó nhanh chóng được rửa thông qua mạng lưới của tập đoàn Huiwang (Huione Group), một tổ chức tội phạm có quy mô tại Campuchia, khiến khả năng thu hồi gần như bằng không.
Giám đốc an ninh thông tin của SlowMist đưa ra lời cảnh báo nghiêm khắc: “Đừng bao giờ đánh cược toàn bộ gia tài chỉ vì tiết kiệm vài trăm đô la khi mua ví lạnh“. Ông cũng lưu ý thêm rằng các vụ việc tương tự rất khó ngăn chặn hoàn toàn vì chúng khai thác các mắt xích yếu nhất trong chuỗi cung ứng, từ người giao hàng đến nhân viên đóng gói, vốn không hề hay biết mình đang tiếp tay cho tội phạm.
Sự cố này không phải là cá biệt mà nằm trong xu hướng gia tăng của những cuộc tấn công vào giao điểm giữa phần cứng và phần mềm. Trước đó, các công ty an ninh mạng đã phát hiện nhiều vụ phần mềm độc hại đánh cắp crypto được phát tán thông qua driver máy in hay hàng ngàn điện thoại Android giả mạo chứa mã độc.
Thông điệp gửi đến người dùng crypto là rõ ràng: luôn mua thiết bị bảo mật, đặc biệt là ví lạnh, qua các kênh phân phối chính thức, uy tín và được xác thực. Bất kỳ thỏa hiệp nào về nguồn gốc sản phẩm đều có thể dẫn đến những tổn thất tài chính nghiêm trọng và không thể khắc phục.
