Một nhà đầu tư đã mất 50 triệu đô la trong tiền điện tử chỉ vì một lỗi đánh máy: Đây là điều mà mọi người cần chú ý

Một sự cố nổi bật đã xảy ra trên thị trường tiền điện tử, cho thấy mức độ tàn phá nghiêm trọng của các cuộc tấn công “address poisoning”. Một người dùng đã mất khoảng 50 triệu đô la Mỹ giá trị USDT chỉ vì một sai sót nhỏ trong quá trình sao chép-dán địa chỉ.

Trong sự cố này, địa chỉ của nạn nhân (0xcB80) đã thực hiện một giao dịch thử nghiệm với 50 USDT, đây là một biện pháp bảo mật phổ biến trước khi chuyển số lượng lớn 50 triệu USDT thực sự. Giao dịch thử nghiệm này được gửi đến chính ví của nạn nhân. Tuy nhiên, ngay sau giao dịch này, kẻ tấn công đã can thiệp. Kẻ lừa đảo đã tạo ra một địa chỉ ví giả có bốn ký tự đầu và cuối giống với địa chỉ của nạn nhân và làm cho nó hiển thị trên blockchain.

Việc nhiều ứng dụng ví che phần giữa của địa chỉ bằng dấu “…” trong giao diện người dùng đã đóng vai trò then chốt trong thành công của cuộc tấn công này. Vì hầu hết người dùng chỉ kiểm tra các ký tự đầu và cuối khi xác nhận địa chỉ, nạn nhân đã vô tình sao chép địa chỉ giả từ lịch sử giao dịch khi thực hiện chuyển khoản 49.999.950 USDT còn lại. Kết quả là, toàn bộ số tiền lớn đã được gửi trực tiếp vào ví của kẻ lừa đảo.

Dữ liệu on-chain cho thấy số tiền bị đánh cắp đã nhanh chóng được rửa thông qua Tornado Cash, khiến khả năng thu hồi gần như bằng không.

Các chuyên gia chỉ ra rằng sự cố này là một bài học cực kỳ đau đớn nhưng mang tính cảnh báo cho người dùng tiền điện tử. Việc dựa vào lịch sử giao dịch khi sao chép địa chỉ tiềm ẩn rủi ro nghiêm trọng, đặc biệt với các giao dịch giá trị lớn. Khuyến nghị nên kiểm tra thủ công toàn bộ địa chỉ trước mỗi lần chuyển khoản, sử dụng sổ địa chỉ (whitelist) nếu có thể và tránh chuyển số tiền lớn trong một lần.