Một lỗi sao chép-dán đơn giản với hậu quả khổng lồ

Theo công ty bảo mật onchain Web3 Antivirus, một người dùng tiền điện tử đã "quyên góp" 50 triệu USDT cho một nhóm tin tặc sau khi sao chép một địa chỉ bị nhiễm độc từ lịch sử giao dịch của mình.

Sự việc cho thấy trong lĩnh vực tiền điện tử, ngay cả người dùng có kinh nghiệm cũng có thể mất những khoản tiền khổng lồ do lỗi của con người, chứ không phải do lỗ hổng hệ thống.

Các nhà điều tra báo cáo rằng nạn nhân trước đó đã thực hiện một giao dịch hợp pháp với người nhận dự định.

Vài phút sau khi gửi một giao dịch thử nghiệm nhỏ đến ví chính xác, người dùng đã vô tình thực hiện toàn bộ khoản chuyển khoản đến địa chỉ giả mạo. Cuộc tấn công đầu độc địa chỉ kinh điển này minh họa cách sự tương đồng về hình ảnh trong địa chỉ ví có thể đánh lừa ngay cả những người vận hành cẩn thận.

“Cuộc tấn công này không phá vỡ bất kỳ hệ thống nào; nó khai thác hành vi dễ đoán của con người. Ngay cả những người dùng tiền điện tử dày dạn kinh nghiệm cũng có thể mắc phải những cái bẫy tinh vi này nếu họ dựa vào thói quen sao chép-dán tự động.”

Các vụ lừa đảo đầu độc địa chỉ dựa trên một chiến thuật đơn giản đến khó tin: kẻ tấn công tạo ra các địa chỉ ví độc hại trông rất giống với các địa chỉ hợp pháp và chèn chúng vào lịch sử ví của người dùng thông qua các khoản chuyển khoản nhỏ. Khi nạn nhân sao chép địa chỉ sau đó, họ có thể vô tình chọn ví của kẻ tấn công.

Nhà nghiên cứu bảo mật Cos, người sáng lập SlowMist, lưu ý rằng các địa chỉ giả mạo và địa chỉ thật có ba ký tự đầu tiên và bốn ký tự cuối cùng giống hệt nhau, khiến chúng cực kỳ khó phân biệt bằng mắt thường. Dữ liệu onchain cho thấy ví của nạn nhân đã hoạt động hơn hai năm, chủ yếu xử lý các giao dịch chuyển khoản USDT, và gần đây đã nhận được tiền từ Binance, cho thấy việc sử dụng bình thường, tích cực chứ không phải là tài khoản không hoạt động hoặc bị xâm phạm.

Sau khi nhận được USDT bị đánh cắp, kẻ tấn công đã đổi nó lấy Ether (ETH), chia tiền thành nhiều ví và rửa một phần thông qua Tornado Cash, một công cụ trộn tiền tập trung vào quyền riêng tư. Trường hợp này chứng minh rằng các cuộc tấn công kỹ thuật xã hội như đầu độc địa chỉ có thể gây thiệt hại nghiêm trọng như các vụ hack quy mô lớn, nhưng lại không cần khai thác kỹ thuật — chỉ cần một thao tác duy nhất, được dàn dựng cẩn thận.

Các chuyên gia nhấn mạnh rằng để giảm thiểu rủi ro, người dùng cần phải tự xác minh đầy đủ địa chỉ ví, dựa vào danh sách liên hệ đáng tin cậy thay vì sao chép địa chỉ từ lịch sử và sử dụng các địa chỉ dễ đọc như tên miền ENS nếu có thể. Việc không tuân thủ các biện pháp phòng ngừa này khiến ngay cả các nhà đầu tư giàu kinh nghiệm cũng dễ bị tổn thất giá trị cao.

Đầu độc địa chỉ đã nhanh chóng nổi lên như một trong những mối đe dọa nguy hiểm nhất của tiền điện tử, khai thác những thói quen đơn giản nhất của con người. Hệ sinh thái rộng lớn hơn đã phải đối mặt với một năm 2025 đầy biến động, với tổng số vụ hack và trộm cắp liên quan đến tiền điện tử đạt 3,4 tỷ đô la, tổng số hàng năm cao nhất kể từ năm 2022. Đáng chú ý, chỉ có ba sự cố lớn chiếm gần 70% tổng thiệt hại, trong đó một trong những vụ lớn nhất là vụ hack Bybit trị giá 1,4 tỷ đô la.

Ngay cả giữa những lỗ hổng công nghệ cao và Trong bối cảnh các cuộc tấn công mạng quy mô lớn, sự cố này chứng minh rằng những sai lầm tốn kém nhất vẫn là do con người gây ra. Đôi khi, chỉ cần một thao tác sao chép và dán cũng có thể dẫn đến tổn thất tài chính thảm khốc.

Những sự cố như thế này làm nổi bật một điểm mù quan trọng trong việc áp dụng tiền điện tử: mặc dù các hệ thống blockchain được thiết kế an toàn, nhưng lỗi của con người vẫn là một vectơ tấn công chính, một vectơ có thể được giảm thiểu bằng thiết kế giao diện ví tốt hơn, các công cụ xác minh và kỷ luật vận hành cẩn thận.