Nhà giao dịch bị tấn công "địa chỉ tiêm nhiễm"! Gần 5 k USDT bị tặng cho hacker.

Dù có vẻ đơn giản, nhưng cuộc tấn công “Địa chỉ đầu độc (Address Poisoning Attack)” lại thường xuyên xảy ra gần đây. Gần đây, một nhà giao dịch tiền điện tử đã bị mất gần 5 k triệu USD USDT chỉ trong nửa giờ vì lạc vào bẫy này. Mặc dù sau đó đã đưa ra 1 triệu USD tiền thưởng “mũ trắng” để yêu cầu kẻ tấn công trả lại tài sản, nhưng trong trường hợp tài sản bị mất đã chảy vào nền tảng trộn coin, hy vọng lấy lại là rất mong manh.

Theo phân tích dữ liệu trên chuỗi của nền tảng Lookonchain, sự kiện này xảy ra vào ngày 20 tháng 12, nạn nhân lúc đó đang rút tài sản từ Binance và dự định chuyển đến ví cá nhân.

Một nạn nhân (0xcB80) đã mất $50M do lỗi sai địa chỉ sao chép-dán.

Trước khi chuyển 50 triệu $USDT, nạn nhân đã gửi 50 $USDT như một bài kiểm tra đến địa chỉ của chính mình 0xbaf4b1aF…B6495F8b5.

Kẻ lừa đảo ngay lập tức giả mạo một ví với 4 ký tự đầu và cuối giống nhau và thực hiện một… pic.twitter.com/eGEx2oHiwA

— Lookonchain (@lookonchain) 20 tháng 12, 2025

Theo các quy tắc an toàn cho các giao dịch lớn, nạn nhân trước tiên gửi 50 đồng USDT như một giao dịch thử nghiệm để xác nhận địa chỉ chính xác. Tuy nhiên, ngay sau khi giao dịch nhỏ này hoàn tất, một kịch bản tự động do kẻ tấn công điều khiển ngay lập tức tạo ra một “Địa chỉ giả mạo (Spoofed Address)”, và 5 ký tự đầu tiên và 4 ký tự cuối cùng của địa chỉ này hoàn toàn giống với địa chỉ nhận ban đầu của nạn nhân, chỉ khác nhau ở các ký tự ở giữa.

Tiếp theo, kẻ tấn công cố tình sử dụng “địa chỉ giả mạo” để gửi nhiều giao dịch nhỏ đến ví của nạn nhân, nhằm làm cho “địa chỉ độc hại” xuất hiện trong danh sách lịch sử giao dịch của nạn nhân. Đến khi nạn nhân muốn chuyển số tiền còn lại là 49,990,000 USD, để tiện lợi, họ đã trực tiếp nhấp vào địa chỉ lừa đảo giống hệt trong hồ sơ giao dịch.

Do hầu hết các giao diện ví để thuận tiện cho việc đọc, sẽ hiển thị các ký tự giữa bằng cách rút gọn thành “……”, điều này khiến hai nhóm địa chỉ gần như khó phân biệt về mặt thị giác.

Trình duyệt blockchain Etherscan cho thấy, chuyển khoản thử nghiệm xảy ra vào lúc 3:06 UTC, trong khi chuyển khoản thực sự gây ra thiệt hại lớn thì xảy ra vào khoảng 26 phút sau, lúc 3:32.

Nhà cung cấp an ninh mạng SlowMist chỉ ra rằng, kẻ tấn công này là một “cao thủ rửa tiền” thực thụ. Sau khi nhận gần 50 triệu USD USDT, chỉ trong vòng chưa đầy 30 phút đã hoàn thành các bước sau:

• Chuyển đổi nhanh giữa các đồng tiền: Trước tiên sử dụng MetaMask Swap để chuyển USDT thành DAI. Các chuyên gia phân tích, điều này nhằm tránh cơ chế đóng băng danh sách đen của Tether, vì stablecoin phi tập trung DAI không có các biện pháp kiểm soát tập trung như vậy.
• Xáo trộn coin ẩn danh: Kẻ tấn công ngay lập tức đổi DAI lấy khoảng 16,690 coin Ethereum, và trong số đó 16,680 coin được chuyển vào máy trộn Tornado Cash, hoàn toàn cắt đứt đường đi theo dõi coin.

Để khôi phục tổn thất, nạn nhân đã đưa ra điều kiện với kẻ lừa đảo thông qua tin nhắn trên chuỗi: sẵn sàng trả 1 triệu USD tiền thưởng trắng, đổi lấy việc trả lại 98% tài sản.

Nạn nhân đã cảnh báo một cách rõ ràng hơn: “Chúng tôi đã chính thức báo cáo, và với sự hỗ trợ của các cơ quan thực thi pháp luật, các tổ chức an ninh mạng và nhiều giao thức blockchain, chúng tôi đã nắm giữ được nhiều thông tin liên quan đến các hành động cụ thể của bạn.”

Vụ án này chỉ là phần nổi của tảng băng về cơn bão an ninh tài sản tiền điện tử trong năm nay. Theo báo cáo mới nhất của Chainalysis, tổng số tiền điện tử bị đánh cắp vào năm 2025 đã vượt qua 3.41 tỷ USD, thiết lập kỷ lục lịch sử.

Cần lưu ý rằng Jameson Lopp, đồng sáng lập của Casa, đã cảnh báo rằng “tiêm độc địa chỉ” đã lan rộng trên các blockchain lớn, chỉ riêng trong mạng Bitcoin đã phát hiện hơn 48.000 cuộc tấn công tương tự. Ông kêu gọi mạnh mẽ các nhà cung cấp ví nên phát triển tính năng “cảnh báo địa chỉ tương tự”, để hiển thị cảnh báo khi người dùng sao chép và dán, nhằm ngăn chặn những thảm kịch tái diễn do sự sơ suất của con người.

_
Thông báo miễn trừ trách nhiệm: Bài viết này chỉ nhằm cung cấp thông tin thị trường, tất cả nội dung và quan điểm chỉ để tham khảo, không cấu thành lời khuyên đầu tư, không đại diện cho quan điểm và lập trường của Blockchain. Nhà đầu tư nên tự quyết định và giao dịch, tác giả và Blockchain sẽ không chịu trách nhiệm về bất kỳ tổn thất trực tiếp hoặc gián tiếp nào do giao dịch của nhà đầu tư gây ra.
_

Tags: địa chỉ tài sản tiền điện tử đầu độc tấn công tài sản số mũ trắng ví hacker