Scam Sniffer phát hiện lừa đảo tinh vi khi kẻ tấn công đợi đến 408 ngày sau khi nạn nhân ký phê duyệt để đánh cắp hơn 1.999 token AAVE trị giá gần 330.000 USD.
Một trường hợp lừa đảo tiền mã hóa nghiêm trọng vừa được nền tảng phòng chống lừa đảo Web3 Scam Sniffer báo cáo, khi một người dùng bị đánh cắp số tài sản trị giá 330.000 USD sau khi đã ký phê duyệt (approval) cho một địa chỉ lừa đảo hơn một năm trước đó.
Theo dữ liệu từ Etherscan, nạn nhân đã mất chính xác 329.743 USD dưới dạng token AAVE trong một giao dịch duy nhất vào lúc 12:35 sáng ngày 24/03/2025 (UTC). Điều đáng chú ý là giao dịch phê duyệt ban đầu đã được thực hiện từ 408 ngày trước – vào ngày 10/02/2024 lúc 12:51 sáng (UTC), cho thấy mức độ kiên nhẫn và tính toán của kẻ tấn công.
Phishing qua giao dịch phê duyệt – mối đe dọa ngày càng nghiêm trọng
Trước khi bị tấn công, ví của nạn nhân đang nắm giữ khoảng 527.498 USD giá trị AAVE. Sau cuộc tấn công, số dư chỉ còn lại 197.755 USD. Mặc dù ví còn chứa các tài sản khác như LPT, kẻ tấn công chỉ nhắm đến và chuyển đi 1.999,23 token AAVE.
Theo báo cáo từ Chainalysis, tổng thiệt hại do hình thức approval phishing gây ra đã lên đến 1 tỷ USD kể từ tháng 5/2021, với riêng năm 2023 chiếm đến 374 triệu USD. Hình thức lừa đảo này ngày càng trở nên tinh vi hơn so với các phương thức truyền thống.
Cơ chế của approval phishing khá đơn giản: kẻ gian dụ người dùng ký một giao dịch blockchain có chứa quyền approval cho phép địa chỉ của chúng được quyền sử dụng một loại token cụ thể từ ví nạn nhân. Sau khi có quyền này, kẻ gian có thể tùy ý chuyển toàn bộ số token đã được phê duyệt khỏi ví người dùng bất kỳ lúc nào – kể cả nhiều tháng sau.
Taylor Monahan, nhà nghiên cứu bảo mật chính tại MetaMask, đang theo dõi các vụ lừa đảo này thông qua một bảng phân tích trên Dune Analytics. Theo ước tính, con số thiệt hại thực tế có thể còn cao hơn nhiều so với dữ liệu công khai vì phần lớn nạn nhân không báo cáo.
Vụ việc này nhấn mạnh tầm quan trọng của việc thường xuyên kiểm tra và thu hồi các quyền phê duyệt token trong ví. Kẻ gian không cần chiếm quyền truy cập ví – chỉ cần người dùng từng ký phê duyệt cho một hợp đồng giả mạo, dù nhiều tháng hay hơn một năm sau, chúng vẫn có thể rút toàn bộ tài sản mà nạn nhân đã “vô tình đồng ý” cấp quyền.
