5 mánh khóe lén lút những kẻ lừa đảo tiền điện tử chuyên sử dụng trong năm vừa qua

Theo báo cáo của Công ty bảo mật chuỗi khối Slowmist, trong 303 sự cố bảo mật blockchain trong năm có tới 31,6% sự cố do lừa đảo. Những cách thức chủ yếu được các “chuyên gia lừa đảo tiền điện tử” sử dụng hầu hết đều liên quan đến trình duyệt, các phầm mềm độc hại hay giả mạo đơn hàng.

Biểu đồ hình tròn về các phương pháp tấn công vào năm 2022 theo tỷ lệ phần trăm. 

Dấu trang trình duyệt độc hại

Với các trình duyệt được thiết lập trên hầu hết các thiết bị kết nối Internet hiện nay, lợi dụng trình quản lý dấu trang để truy cập vào tài khoản Discord của chủ sở hữu dự án là một trong những cách được những kẻ lừa đảo sử dụng nhiều nhất.

Sau khi hướng dẫn nạn nhân thêm dấu trang độc hại thông qua trang lừa đảo, kẻ tấn công sẽ đợi cho đến khi nạn nhân nhấp vào dấu trang khi đăng nhập vào Discord, thao tác này sẽ kích hoạt mã JavaScript được cấy ghép và gửi thông tin cá nhân của nạn nhân đến kênh Discord của chúng.

Trong quá trình này, kẻ lừa đảo có thể đánh cắp mã thông báo Discord của nạn nhân (bao gồm tên người dùng và mật khẩu Discord được mã hóa) để đánh cắp quyền truy cập vào tài khoản của người sử dụng, cho phép chúng đăng tin nhắn giả mạo và liên kết đến nhiều vụ lừa đảo hơn trong khi giả làm nạn nhân.

Lừa đảo NFT “mua bằng không đô la”

Một trong những phương pháp phổ biến khác được sử dụng bởi những kẻ lừa đảo là lừa nạn nhân ký vào NFT thông qua một đơn đặt hàng giả mạo.

Sau khi nạn nhân ký đơn đặt hàng, kẻ lừa đảo có thể mua NFT của người dùng trên thị trường với mức giá do họ xác định.

Bằng cách này, SlowMist đã liệt kê ra được 22 vụ lừa đảo trong số 56 vụ việc vi phạm bảo mật NFT lớn.

Cũng theo SlowMist, sẽ khó có thể hủy cấp phép chữ ký bị đánh cắp thông qua các trang web thu hồi. Tuy nhiên, người sử dụng hoàn toàn có thể hủy cấp phép mọi lệnh đang chờ xử lý đã được thiết lập trước đó, để giúp giảm thiểu nguy cơ bị tấn công lừa đảo và ngăn kẻ tấn công sử dụng chữ ký đó.

Trộm tiền bằng ngựa thành Troy

Theo SlowMist, kiểu tấn công này thường xảy ra thông qua các tin nhắn riêng tư trên Discord, nơi kẻ tấn công mời nạn nhân tham gia thử nghiệm một dự án mới, sau đó gửi một chương trình dưới dạng tệp nén chứa tệp thực thi có dung lượng khoảng 800Mb.

Sau khi tải xuống chương trình, nó sẽ quét các tệp chứa các cụm từ khóa như “ví” và tải chúng lên máy chủ của kẻ tấn công.

SlowMist cho biết: “Phiên bản mới nhất của RedLine Stealer cũng có khả năng đánh cắp tiền điện tử, quét thông tin ví tiền kỹ thuật số đã cài đặt trên máy tính cục bộ và tải những dữ liệu này lên một máy điều khiển từ xa.

“Ngoài việc đánh cắp tiền điện tử, RedLine Stealer còn có thể tải lên và tải xuống các tệp, thực thi các lệnh và gửi lại thông tin định kỳ về máy tính bị nhiễm.”

Một ví dụ về RedLine Stealer đang hoạt động.

Lừa đảo “blank check” eth_sign

Cách thức lừa đảo này cho phép những kẻ lừa đảo chuyên sử dụng chữ ký cá nhân của người sở hữu để ký bất kỳ giao dịch nào mà chúng chọn. Sau khi kết nối ví của người dùng với một trang web lừa đảo, hộp chữ ký có thể xuất hiện hiển thị với cảnh báo màu đỏ từ MetaMask.

Và sau khi chữ ký đã được xác định, những kẻ tấn công lúc này đã có quyền truy cập vào lệnh bảo mật, cho phép chúng có thể xây dựng bất kỳ dữ liệu hay yêu cầu nào chỉ cần thông qua eth_sign.

Lừa đảo chuyển số đuôi giống nhau

Với chiêu trò lừa đảo này, những kẻ tấn công sẽ gửi một lượng nhỏ mã thông báo (chẳng hạn như 0,01 USDT hoặc 0,0001 USDT) cho các nạn nhân có địa chỉ tương tự, ngoại trừ một vài chữ số cuối cùng. Mục đích là để lừa người dùng vô tình sao chép sai địa chỉ trong lịch sử chuyển tiền của chính họ.

Một ví dụ về mánh khóe lừa đảo có cùng số cuối. 

Ngoài những “chiêu trò lừa đảo” nổi bật trên, báo cáo của SlowMist cũng đề cập đến các sự cố bảo mật chuỗi khác trong năm vừa qua liên quan đến các vấn đề về lỗ hổng hợp đồng hay rò rỉ khóa cá nhân.

Theo số liệu được thống kê, có khoảng 92 cuộc tấn công sử dụng các lỗ hổng hợp đồng trong năm với tổng thiệt hại lên đến gần 1,1 tỷ USD do lỗi trong thiết kế hợp đồng thông minh và các chương trình bị tấn công.

Trong khi đó, hành vi trộm cắp khóa cá nhân chiếm khoảng 6,6% các cuộc tấn công, gây thiệt hại ít nhất 726 triệu USD, với ví dụ nổi bật nhất là các vụ hack cầu Ronin và cầu Harmony’s Horizon.

VIC Crypto tổng hợp

Tin tức liên quan:

350 dự án scam được tạo ra mỗi ngày trong 2022

Một giao thức DeFi trên Aptos có nguy cơ sụp đổ vì bị nghi là "scam"

Tổng hợp 10 dự án NFT scam? Hướng dẫn phòng tránh và đầu tư an toàn