Nhà đầu tư mất 2,6 triệu USD stablecoin do lừa đảo phishing kép, làm nổi bật nguy cơ từ kỹ thuật “zero-value transfer” và “address poisoning”.
Một nhà đầu tư tiền mã hóa vừa bị lừa mất tổng cộng 2,6 triệu USD stablecoin (USDT) chỉ trong vòng ba giờ, sau khi trở thành nạn nhân của một vụ tấn công phishing kép tinh vi. Theo dữ liệu từ công ty an ninh blockchain Cyvers, nạn nhân đã vô tình thực hiện hai giao dịch, lần lượt chuyển 843.000 USDT và sau đó là 1,75 triệu USDT vào ví của kẻ lừa đảo.
Hình thức tấn công được sử dụng trong vụ việc là kỹ thuật “zero-value transfer” – một biến thể nâng cấp của “address poisoning”. Cụ thể, kẻ gian khai thác chức năng hiển thị giao dịch trên chuỗi (on-chain) bằng cách tạo các giao dịch giả chuyển 0 token từ ví của nạn nhân đến địa chỉ của chúng.
Dù không làm thất thoát tài sản, những giao dịch này vẫn được ghi nhận trên blockchain mà không cần chữ ký số của nạn nhân, khiến chúng xuất hiện trong lịch sử giao dịch dưới dạng hợp lệ.
Lợi dụng yếu tố tâm lý và thói quen sao chép địa chỉ từ lịch sử giao dịch, kẻ lừa đảo khiến nạn nhân nhầm lẫn rằng địa chỉ của chúng là ví đã từng giao dịch trước đó. Việc sao chép nhầm và gửi tài sản thực sau đó đã dẫn tới thiệt hại tài chính nghiêm trọng.
Kỹ thuật này được đánh giá là bước tiến mới trong chuỗi các phương pháp đầu độc địa chỉ, vốn sử dụng các địa chỉ ví giả mạo có ký tự đầu và cuối tương tự địa chỉ thật để đánh lừa người dùng. Vụ việc cũng gợi nhắc một sự cố tương tự vào năm 2023, khi một kẻ tấn công dùng kỹ thuật “zero-transfer” để chiếm đoạt 20 triệu USDT – sau đó bị Tether đưa vào danh sách đen.
Theo một nghiên cứu công bố tháng 1/2025, hơn 270 triệu nỗ lực đầu độc địa chỉ đã được ghi nhận trên các blockchain như Ethereum và BNB Chain trong giai đoạn từ tháng 7/2022 đến tháng 6/2024. Trong đó, khoảng 6.000 vụ tấn công đã thành công, gây thiệt hại ước tính vượt 83 triệu USD.
Trước diễn biến ngày càng phức tạp, các công ty bảo mật như Trugard và nền tảng bảo vệ ví Webacy đã phối hợp phát triển một công cụ phát hiện địa chỉ đầu độc sử dụng trí tuệ nhân tạo (AI). Theo thử nghiệm, hệ thống này đạt độ chính xác lên tới 97%, mở ra triển vọng mới trong nỗ lực ngăn chặn các hình thức lừa đảo ngày càng tinh vi trong không gian tài sản số.
