MetaMask cảnh báo lừa đảo ví ‘đầu độc địa chỉ’

MetaMask đã thông báo cho cộng đồng tiền điện tử về một loại lừa đảo mới có tên là “đầu độc địa chỉ” trong một bài đăng gần đây.

Vụ lừa đảo được đánh giá là “khá vô hại so với các loại lừa đảo khác”. Tuy nhiên, công ty cảnh báo rằng việc đầu độc địa chỉ vẫn có khả năng lừa những người dùng cả tin để mất tiền.

“ngộ độc địa chỉ là một vectơ tấn công, trái ngược với các trò gian lận khác — thường sử dụng các phương pháp đã phục vụ rất tốt cho nhiều kẻ lừa đảo, chẳng hạn như không giới hạn token phê duyệt, lừa đảo đối với Cụm từ khôi phục bí mật của bạn, v.v. — trên hết dựa vào sự bất cẩn và vội vàng của người dùng.”

Cách hoạt động của “đầu độc địa chỉ”

Trung tâm đầu độc địa chỉ trên các địa chỉ ví là các số thập lục phân dài, khó nhớ và dễ nhầm với các địa chỉ tương tự khác.

Địa chỉ tiền điện tử thường được rút ngắn để hiển thị một vài ký tự đầu tiên, một khoảng trống và sau đó là một số ký tự cuối cùng. Những kẻ lừa đảo khai thác xu hướng tin tưởng vào sự quen thuộc của một vài ký tự đầu tiên và cuối cùng.

Khi giao dịch, quy trình thông thường bao gồm sao chép và dán địa chỉ. Nhiều nhà cung cấp ví, bao gồm cả MetaMask, có chức năng một cú nhấp chuột để sao chép địa chỉ.

Đầu độc địa chỉ khai thác sự thiếu chú ý của người dùng tại thời điểm này trong quá trình giao dịch. Cụ thể, những kẻ lừa đảo quan sát và theo dõi các giao dịch của các mã thông báo cụ thể, với các loại tiền ổn định thường được nhắm mục tiêu. Sau đó, bằng cách sử dụng một công cụ tạo địa chỉ “phù phiếm”, kẻ lừa đảo sẽ tạo một địa chỉ gần giống với địa chỉ mục tiêu, đặc biệt là một vài ký tự đầu tiên và cuối cùng.

Kẻ lừa đảo gửi một giao dịch có giá trị danh nghĩa từ địa chỉ mới được tạo đến địa chỉ mục tiêu tại thời điểm này, cái sau bị đầu độc.

Sau này, khi muốn gửi giao dịch, người dùng có thể copy nhầm địa chỉ do quen thuộc vài ký tự đầu và cuối. Sau khi thực hiện, tiền sẽ kết thúc với kẻ lừa đảo.

“Và vì các giao dịch trực tuyến như thế này là bất biến (không thể thay đổi sau khi được xác nhận), số tiền bị mất sẽ không thể lấy lại được.”

MetaMask giải thích cách giữ an toàn

Thật không could, bản chất của chuỗi khối công khai có nghĩa là bất kỳ ai, kể cả những kẻ lừa đảo, đều có thể gửi giao dịch đến bất kỳ địa chỉ nào nếu họ chọn.

MetaMask đã nhắc lại tầm quan trọng của việc kiểm tra mọi ký tự địa chỉ khi gửi tiền, không chỉ những ký tự đầu tiên và cuối cùng.

“Phát triển thói quen kiểm tra kỹ lưỡng từng ký tự của một địa chỉ trước khi bạn gửi một giao dịch. Đây là cách duy nhất để hoàn toàn chắc chắn rằng bạn đang gửi đến đúng nơi.”

Các chiến lược khác để tránh trở thành nạn nhân của việc đầu độc địa chỉ bao gồm không sử dụng lịch sử giao dịch để sao chép địa chỉ, đưa vào danh sách trắng các địa chỉ được sử dụng thường xuyên để tránh sao chép và dán cùng lúc, đồng thời sử dụng các giao dịch thử nghiệm, đặc biệt là khi chuyển số tiền lớn.