Trong một xu hướng đáng lo ngại, tin tặc, đặc biệt là những kẻ tấn công ví tiền, đã bắt đầu tận dụng mã CREATE2 opcode trên mạng Ethereum để vượt qua các biện pháp bảo mật trong một số ví được chọn.
Sự phát triển này đã được tiết lộ vào Chủ Nhật thông qua một bài đăng X của công ty bảo mật blockchain Scam Sniffer.
Hơn 60 triệu USD bị mất vào tay tin tặc thông qua việc khai thác CREATE2
CREATE2 opcode được thiết kế để cho phép dự đoán địa chỉ hợp đồng trước khi triển khai. Đáng chú ý nhất, nó được sàn giao dịch phi tập trung nổi tiếng Uniswap sử dụng để tạo điều kiện thuận lợi cho việc tạo các hợp đồng cặp.
Tuy nhiên, bằng cách sử dụng tính năng này, tội phạm mạng đã tìm ra cách vượt qua các cuộc kiểm tra bảo mật liên quan đến ví của nhà đầu tư.
Scam Sniffer giải thích rằng tin tặc sử dụng CREATE2 để dễ dàng tạo ra các địa chỉ mới tạm thời, mỗi địa chỉ có một chữ ký độc hại.
Khi các nhà đầu tư không nghi ngờ ký vào chữ ký thủ công này, tin tặc sẽ triển khai hợp đồng tại địa chỉ được dự đoán và xử lý việc chuyển giao tài sản trái phép.
Sử dụng kỹ thuật này, những kẻ xấu này có thể hoạt động mà không bị phát hiện, bòn rút một lượng lớn tiền từ những nạn nhân vô tội.
1/ Here is a real case happened 9 hours ago
A victim lost $927k worth of $GMX after signing a `signalTransfer(address receiver)` transaction to the GMX Reward Router on Arbitrum.https://t.co/kB2Je5a0pK https://t.co/78k82fbRfk pic.twitter.com/izfKPeBW9p
— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) November 12, 2023
Nói về một sự cố mẫu, Scam Sniffer giải thích cách một nạn nhân mất GMX trị giá 927,000 USD vào Chủ nhật sau khi vô tình ủy quyền cho một giao dịch “signalTransfer” cho phép tin tặc rút những tài sản này đến địa chỉ hợp đồng được tính toán trước.
Tổng cộng, Scam Sniffer tiết lộ rằng nhóm kẻ rút ví chính khai thác tính năng CREATE2 cho đến nay đã đánh cắp 60 triệu USD từ khoảng 99,000 nạn nhân trong sáu tháng qua.
Trong khi đó, trong cuộc thảo luận với SlowMist, một công ty bảo mật blockchain nổi tiếng khác, Scam Sniffer đã biết được một nhóm tin tặc riêng biệt đã sử dụng kỹ thuật tương tự để đầu độc địa chỉ.
Kể từ tháng 8, phát hiện cho thấy nhóm thứ hai này đã đánh cắp tài sản trị giá gần 3 triệu USD từ 11 nạn nhân, trong đó 1.6 triệu USD thuộc về một nạn nhân.
Khi kết thúc báo cáo của mình, Scam Sniffer nhắc nhở người dùng tiền điện tử luôn cảnh giác và xác minh mọi giao dịch, vì chu kỳ phát hiện và chống phát hiện liên tục trong không gian tiền điện tử có thể sẽ không kết thúc.
Ngoài hack, lừa đảo tiền điện tử vẫn là một mối nguy hiểm
Cũng giống như hack, lừa đảo tiền điện tử vẫn được coi là mối lo ngại chính đối với nhiều nhà đầu tư.
Theo báo cáo bảo mật nửa đầu năm 2023 của FootPrint x Boesin, các vụ lừa đảo dẫn đến tổng thiệt hại tài sản là 184.17 triệu USD, chiếm 28% tổng số lỗ mà các nhà đầu tư ghi nhận trong nửa đầu năm.
Đáng chú ý, Scam Sniffer đã báo cáo hai vụ lừa đảo lớn trong 48 giờ qua, trong đó cả hai nạn nhân đều mất tổng tài sản trị giá 468,000 USD.
Những cuộc tấn công này chỉ nhấn mạnh nhu cầu liên tục về các biện pháp bảo mật nâng cao trong hệ sinh thái tiền điện tử.
Tin Tức Bitcoin tổng hợp.
