Đôi khi, việc tỏ ra đa nghi với các nhà báo là cần thiết.
Hãy xem trường hợp của Orbiter Finance. Tháng trước, một tác giả cho rằng là từ một trang tin về tiền điện tử đã liên lạc với một trong các quản trị viên Discord của Orbiter và yêu cầu họ điền vào một biểu mẫu. Quản trị viên không nhận ra việc đơn giản này sẽ giao cho họ quyền kiểm soát máy chủ Discord.
Một khi đã vào trong hệ thống, kẻ tấn công đã đóng băng quyền kiểm soát của các quản trị viên khác và giới hạn khả năng cho các thành viên cộng đồng gửi tin nhắn. Họ đăng thông báo cho một loại tiền ảo giả và gửi mọi người đến một trang web lừa đảo được thiết kế để đánh cắp NFT của họ. Thành công. Tổng cộng, họ đã ăn cắp hàng triệu USD NFT và mã thông báo chỉ trong một khoảnh khắc, trong khi nhóm chỉ có thể quan sát.
“Gửi bất kỳ sự tổn hại nào đối với các thành viên cộng đồng của chúng tôi, chúng tôi sẽ mất niềm tin từ họ”, Gwen, một nhà phát triển kinh doanh tại Orbiter Finance, đã đưa ra nhận định về những gì đã xảy ra trong cuộc phỏng vấn.
Vụ tấn công Orbiter chỉ là một ví dụ gần đây trong chuỗi các cuộc tấn công nhắm vào NFT và các máy chủ Discord hoặc tài khoản Twitter bị chiếm đoạt. Dữ liệu được thu thập bởi OKHotshot, một chuyên gia phân tích NFT và an ninh, cho thấy ít nhất 900 máy chủ Discord đã bị tấn công kể từ tháng 12 năm 2021 để tiến hành các cuộc tấn công lừa đảo – với một xu hướng tăng đáng kể trong ba tháng qua.
Những cuộc tấn công này đã ảnh hưởng đến ít nhất 32.000 ví nạn nhân trong 9 tháng qua, theo dữ liệu được thu thập bởi PeckShield và nhiều bảng điều khiển trên Dune Analytics. Tổng cộng, các kẻ tấn công đã lấy cắp NFT và mã thông báo trị giá tổng cộng 73 triệu USD.
Những gương mặt đứng sau các vụ tấn công
Những kế hoạch gian lận này thường liên quan đến việc giao dịch trên thị trường đen mới nổi của mã drainer.
Các kẻ chủ mưu của các cuộc tấn công phishing trước tiên đến Telegram và Discord, nơi họ có thể tìm thấy các kênh do các nhà phát triển của nhiều loại drainer khác nhau quản lý. Họ liên lạc với nhà phát triển và mua drainer, hình thức đó là một bộ code có thể tích hợp vào các trang web, trong khi thường đồng ý trả 20-30% số tiền thu được cho nhà phát triển.
Sau đó, họ sẽ sử dụng các phương pháp của riêng mình – một trong đó là ví dụ về trang web tin tức giả – để xâm nhập vào một máy chủ Discord hoặc tài khoản Twitter và quảng cáo một trang web giả chứa mã drainer NFT để đánh cắp NFT và bất cứ thứ gì họ có thể lấy được.
Tức là, khi chúng không bận rộn với bài tập về nhà.
“95% trong số đó là các em nhỏ dưới 18 tuổi và vẫn đang học ở trường”, một nhà nghiên cứu an ninh giả danh được biết đến với tên Plum, người làm việc trong đội ngũ tin tưởng và an toàn của OpenSea cho thị trường NFT, nói và thêm rằng đây là lý do tại sao số lượng cuộc tấn công thường tăng trong kì nghỉ mùa hè.
“Tôi cá nhân đã nói chuyện với khá nhiều người trong số họ và biết rằng họ vẫn đang học. Tôi đã xem qua các bức ảnh và video của họ từ các trường học của họ. Họ nói về giáo viên của mình, làm sao để đạt điểm hoặc làm sao để làm bài tập về nhà”, Plum cho hay.
Các em này dường như không cố gắng che giấu sự giàu có mà họ mới đạt được.
“Họ sẽ mua một chiếc laptop, một số điện thoại, giày và chi tiêu số tiền khổng lồ trên Roblox. Họ đa phần chơi Roblox. Vì vậy, họ sẽ mua các trang phục đẹp nhất cho avatar Roblox của họ, trò chơi điện tử, skins và những thứ như vậy”, Plum cho biết.
Plum thêm rằng họ thường mua thẻ quà tặng với tiền điện tử trên thị trường thẻ quà Bitrefill, chi hàng ngàn USD trên Uber Eats, mua quần áo thiết kế, trả tiền cho những người khác làm bài tập cho họ và thậm chí mua những chiếc xe mà họ chưa thể lái được. Và họ cũng đánh bạc.
“Họ sẽ đặt cược 40,000 USD cho một trò chơi poker trực tuyến và phát sóng nó cho tất cả những người khác trong cuộc gọi Discord. Mọi người sẽ xem người này chơi trò chơi poker này,” họ nói.
Các kẻ khai thác cố gắng che giấu dấu vết của mình bằng cách trả tiền cho những người ở các nước có mức thu nhập thấp để sử dụng chi tiết cá nhân của họ để đăng ký trên các sàn giao dịch, làm mờ dấu vết khi họ rút tiền, Plum cho biết. Nhưng họ nói ít nhất một số trong số họ đã nên bị bắt ngay bây giờ vì họ để lại đầy đủ bằng chứng về hành động của họ – nếu không phải vì sự thiếu quan tâm của các cơ quan chức năng trong việc bắt giữ họ.
Còn về lý do tại sao các thủ phạm tin rằng họ có thể thoát khỏi các cuộc tấn công như vậy, Plum suy đoán rằng, “họ cảm thấy bất khả chiến bại, họ có chế độ Thượng đế – rằng không ai có thể chạm vào họ”.
Trong khi các nước như Bắc Triều Tiên cũng tham gia vào các cuộc tấn công phishing nhắm vào NFT, họ thường sử dụng các trình drainer riêng của họ và ít liên quan đến các drainer có bán, Plum cho hay. Còn những người tạo ra các drainer NFT – trong một số trường hợp thực hiện cuộc tấn công bằng công nghệ của riêng mình – họ tương đối khó xác định hơn, nhưng hồ sơ giả danh của họ vẫn để lại dấu vết rõ ràng.
Sự gia tăng của drainer NFT
Một trong những drainer NFT đầu tiên, Monkey, đã thiết lập kênh Telegram của họ vào tháng 8. Tuy nhiên, cho đến tháng 10, kênh này mới thực sự trở nên hoạt động tích cực. Trong những tháng tiếp theo, công nghệ của họ được sử dụng để đánh cắp 2.200 NFT với giá trị 9,3 triệu USD và thêm 7 triệu USD khác bằng các token.
Vào ngày 28 tháng 2, Monkey quyết định ngừng hoạt động. Trong một tin nhắn chia tay, nhà phát triển của họ nói rằng “tất cả các tội phạm trẻ tuổi không nên mất đi phần mình trong việc theo đuổi tiền dễ dàng.” Họ khuyên khách hàng của mình hãy sử dụng một kẻ cạnh tranh được biết đến là Venom.
Venom là một đối thủ đáng gờm. Đây là một trong những drainer NFT đầu tiên, và theo thời gian, nó đã được sử dụng để đánh cắp hơn 2.000 NFT từ hơn 15.000 nạn nhân. Khách hàng của Venom đã sử dụng 530 trang web lừa đảo để tiến hành các cuộc tấn công nhắm vào các dự án tiền điện tử như Arbitrum, Circle và Blur, thu được tổng cộng 29 triệu USD qua NFT, ether và các loại token khác.
Mặc dù Venom là một trong những kẻ drainer NFT đầu tiên chạy trên nhiều chuỗi blockchain, nhưng các chuyên gia bảo mật cho rằng họ chưa thực hiện tốt. Tuy nhiên, Venom là drainer NFT đầu tiên được sử dụng để đánh cắp NFT trên thị trường NFT Blur.
Những đối thủ khác bao gồm Inferno, được sử dụng để đánh cắp 9,5 triệu USD từ 11.000 nạn nhân và Pussy, được sử dụng để đánh cắp 14 triệu USD từ 3.000 nạn nhân. Khách hàng của Angel, xuất phát từ một diễn đàn hacker Nga, đã sử dụng nó để đánh cắp 1 triệu USD từ hơn 500 nạn nhân dưới dạng NFT và các token khác – gần đây nhất là xâm nhập vào tài khoản Twitter của ví tiền điện tử Zerion.
Và sau đó, đến Pink.
Trường hợp kỳ lạ của Pink
Vào ngày 25 tháng 10, Fantasy – một chuyên gia an ninh và đồng sáng lập của công ty bảo mật tiền điện tử BlockMage đã tình cờ phát hiện thông tin về tài khoản BlockDev trong Discord Server của sản phẩm Wallet Guard, được thiết kế để bảo vệ chống lại các cuộc tấn công lừa đảo. Tài khoản này tự xưng là một nhà nghiên cứu an ninh và quản trị một tài khoản Twitter có tên Chainthreats, nơi họ đăng thông tin về các lỗ hổng bảo mật.
Mặc dù ban đầu có một số khác biệt giữa Fantasy và BlockDev, nhưng sau đó họ đã trò chuyện thường xuyên với nhau. Sau đó, BlockDev đưa ra ý tưởng khai thác ví nóng tiền điện tử của nhà phát triển của Venom drainer bằng cách sử dụng API riêng của nó. BlockDev giải thích cách họ lên kế hoạch và thực hiện cuộc tấn công, lấy đi 14.000 USD tiền điện tử từ tài khoản của nhà phát triển Venom. Fantasy đã theo dõi toàn bộ quá trình xảy ra và ghi lại địa chỉ ví mà BlockDev đã sử dụng để thực hiện cuộc tấn công.
Đầu năm, một trình khai thác NFT mới xuất hiện gọi là Pink. Đây có vẻ nâng cao hơn các phiên bản trước đó. Nhanh chóng trở nên phổ biến và được sử dụng để đánh cắp NFT trong một loạt các cuộc tấn công. Sau khi Fantasy điều tra, họ theo dõi nguồn tiền được sử dụng để thiết lập trình khai thác và phát hiện lại ví của BlockDev – cho thấy rằng họ có thể là cùng một người.
“Tôi nhìn lại nguồn tài chính ban đầu cũng như hoạt động tổng thể giữa hai ví – chúng có hoạt động tương đồng. Tôi đối mặt với anh ta và anh ta không quá vui vẻ về điều đó,” Fantasy chia sẻ. “Anh ta thất vọng về tôi như một người, ông ta nghĩ rằng ông ta có thể tin tưởng tôi, điều này tôi thấy rất thú vị”.
Khi đó, người tự xưng là một nhà nghiên cứu đã xóa tài khoản Discord và Twitter của mình và cắt đứt mọi liên lạc với các chuyên gia an ninh như Fantasy và Plum.
Phiên bản Pink đã được sử dụng để thực hiện các cuộc tấn công lớn hơn trong tháng 5 và tháng 6, bao gồm trên các kênh Discord của Orbiter Finance, LiFi, Flare và Evmos, cũng như tài khoản Twitter của Steve Aoki và nhiều người khác.
Các tác giả tấn công tiếp tục giả danh làm các nhà báo để liên hệ phỏng vấn và thường yêu cầu ban quản trị Discord, hoặc đối tượng của họ, lưu trang web cụ thể. Theo ScamSniffer, bước quan trọng này là cách họ xâm nhập vào các máy chủ.
Plum và Fantasy lưu ý rằng trình khai thác Pink có thể tránh được các biện pháp bảo vệ như các tiện ích ví được thiết kế để ngăn chặn các vụ mất cắp tiền điện tử này. Họ nói rằng Pink đã tìm ra cách để đánh cắp mã thông báo (token) và NFT cùng một lúc trên Blur, điều này được coi là một sự tiến bộ đáng kể.
Đối với việc bảo vệ khỏi các cuộc tấn công này, Plum cho biết các tiện ích ví tập trung vào an ninh vẫn là cách tốt nhất để bảo vệ ví điện tử nói chung. Họ lưu ý rằng nên sử dụng nhiều ví và lưu giữ số tiền lớn trong ví lạnh, và cũng nên thu hồi các quyền được phê duyệt – khi một ví cho phép blockchain tương tác với một mã thông báo cụ thể – nếu mã thông báo trong câu hỏi không được sử dụng tích cực.
“Đừng đặt mình vào tình huống khi một sai lầm – nếu bạn bị phân tâm bởi con cái của bạn đang la hét – sẽ khiến bạn mất tất cả những gì mình có,” Plum nói.
Tin Tức Bitcoin tổng hợp
