Một cuộc tấn công phishing đã rút 1.807 Ether được staking từ ví của nạn nhân.
Một nạn nhân không may mất 1.807 Ether được staking, trị giá 6,91 triệu USD, vào ngày 26 tháng 5, dường như đã nhận lại phần lớn số tiền bị đánh cắp từ những kẻ lừa đảo.
“Nhóm phishing Inferno Drainer đã sử dụng chữ ký ủy quyền offline để lấy cắp gần 7 triệu USD tài sản Ether được re-staking từ một người dùng,” Yu Xian, đồng sáng lập công ty phân tích blockchain SlowMist, viết. “Hôm nay, họ thực sự đã nhận được tiền hoàn lại, điều này rất hiếm.”
Cùng ngày, Scam Sniffer đăng trên X rằng nạn nhân đã thu hồi được 1.445 Ether, tức 80% số tiền bị đánh cắp, sau khi những kẻ lừa đảo giữ lại một khoản thưởng 20%. Các nhà phân tích cho rằng ví liên quan đến vụ vi phạm đã bị tấn công phishing bằng phép ủy quyền, nơi kẻ tấn công tạo ra một chữ ký ủy quyền ngoài chuỗi cho người nhận được chỉ định để chuyển token ERC-20 từ ví không thuộc về họ.
Theo SlowMist, cuộc tấn công có thể thực hiện được do một tính năng bị bỏ qua trong các phép ủy quyền của Ethereum, được giới thiệu qua EIP-2612. EIP này cho phép người dùng tương tác với các hợp đồng thông minh mà không cần ủy quyền trước bằng cách đính kèm một chữ ký ủy quyền. Tuy nhiên, chức năng phép ủy quyền có thể được thực hiện bởi bất kỳ tài khoản nào, bất kể quyền sở hữu. Do đó, nếu người dùng đã bị lộ chữ ký ví trên các trang web phishing trước đó, ngay cả khi họ không chấp nhận bất kỳ giao dịch nào, thì kẻ lừa đảo vẫn có thể lợi dụng phép ủy quyền để rút token từ ví của họ.
Để bảo vệ chống lại các cuộc tấn công như vậy, SlowMist khuyến nghị:
“Nên sử dụng định kỳ các công cụ ủy quyền như RevokeCash (https://revoke.cash) để xác định bất kỳ ủy quyền bất thường nào. Đối với Uniswap Permit2, công cụ quản lý ủy quyền tại https://app.scamsniffer.io/permit2 có thể được sử dụng để xác minh. Nếu phát hiện bất kỳ ủy quyền bất thường nào, cần phải hủy ngay lập tức.”
Không phải ai cũng đồng cảm với nạn nhân trong sự cố này.
“Làm sao có thể bị phishing năm ngoái mất 638 nghìn USD và năm nay lại mất thêm 6,9 triệu USD. Một số người quá bất cẩn với tài sản của họ,” nhà điều tra DeFi nổi tiếng ZachXBT bình luận.
Vào tháng 3, Cointelegraph báo cáo rằng các vụ lừa đảo liên quan đến tiền điện tử đã tăng 53% trong năm qua. Theo FBI, các vụ lừa đảo đầu tư liên quan đến tiền điện tử chiếm 86% tổng số thiệt hại đầu tư tại Hoa Kỳ vào năm 2023.