Người dùng tìm kiếm Aave trên Google và click vào kết quả đầu tiên đã bị đánh cắp tài sản trị giá 1,23 triệu USD thông qua trang web lừa đảo nguy hiểm.
Vụ việc sử dụng cơ chế multicall của Uniswap để chiếm quyền ủy quyền LP NFT và chuyển tài sản. Điều này nhấn mạnh rủi ro bảo mật khi thị trường tiền điện tử trở nên sôi động hơn.
- Trang web phishing giả mạo liên quan tới Aave đã lấy mất 1,23 triệu USD tài sản người dùng.
- Cơ chế multicall của Uniswap bị lợi dụng để xác nhận ủy quyền LP NFT với ký hợp đồng lừa đảo.
Vụ lừa đảo đánh cắp tài sản 1,23 triệu USD xảy ra như thế nào?
Cos, nhà sáng lập SlowMist, xác nhận trên Twitter ngày 21/7 rằng người dùng tìm kiếm Aave và click vào kết quả đầu tiên trên Google đã bị đánh cắp tài sản. Phương thức được sử dụng là giả mạo trang web Aave, lợi dụng cơ chế multicall của Uniswap để người dùng tự động ký ủy quyền LP NFT, dẫn đến tài sản bị chuyển sang hợp đồng lừa đảo. Đây là minh chứng rõ ràng cho cách tội phạm tiền điện tử khai thác công nghệ để thực hiện phishing hiệu quả.
Multicall của Uniswap là gì và vì sao nó bị lợi dụng?
Multicall là cơ chế cho phép thực hiện nhiều lệnh cùng lúc trong một giao dịch nhằm tiết kiệm phí gas và tăng hiệu quả. Tuy nhiên, cơ chế này cũng tiềm ẩn rủi ro, khi kẻ xấu có thể lồng ghép các lệnh ủy quyền giả mạo khiến người dùng vô tình ký xác nhận cho hợp đồng không đáng tin cậy. Đây cũng là điểm khiến các ví LP NFT trở thành mục tiêu dễ dàng khi giao dịch với giao diện hoặc hợp đồng giả mạo.
“Chúng tôi khuyến cáo người dùng cần luôn kiểm tra kỹ địa chỉ trang web và cảnh giác với các liên kết không chính thống trong bối cảnh thị trường tiền điện tử liên tục tăng nhiệt, bởi nguy cơ phishing và tấn công mạng có thể dẫn tới mất trắng tài sản.”
Yu Xian (Cos), CEO SlowMist, 21/7/2023
Tuyệt chiêu bảo vệ tài sản trước các cuộc tấn công phishing hiệu quả?
Người dùng nên xác thực nguồn truy cập chính thức, không click link từ bên thứ 3 không rõ ràng, đặc biệt khi giao dịch trên các nền tảng DeFi như Aave và Uniswap. Ngoài ra, việc sử dụng ví lạnh, bật cảnh báo bảo mật, và kiểm tra quyền ủy quyền trong các Smart Contract giúp hạn chế rủi ro lộ Private Key hoặc Token bị “đánh cắp. Các chuyên gia bảo mật luôn nhấn mạnh tầm quan trọng của việc nâng cao nhận thức an ninh mạng trong cộng đồng tiền điện tử.
Cảnh báo bảo mật nào được các chuyên gia nhấn mạnh trong thị trường tiền điện tử sôi động?
Theo báo cáo của SlowMist quý II/2023, các cuộc tấn công phishing đang gia tăng đáng kể khi khối lượng giao dịch tiền điện tử tăng mạnh cùng các đợt bull market. Việc giả mạo website, Smart Contract xấu và đánh cắp quyền ủy quyền đang là xu hướng nhằm khai thác người dùng không cảnh giác. Những người tham gia thị trường tiền điện tử phải hành động thận trọng hơn bao giờ hết để bảo vệ tài sản cá nhân.
“Mức độ tấn công phishing và các sự cố an ninh mạng đã tăng hơn 40% trong nửa đầu năm 2023, đòi hỏi mọi nhà đầu tư phải nâng cao cảnh giác và áp dụng các biện pháp bảo vệ hiện đại.”
Phòng nghiên cứu bảo mật Blockchain, báo cáo Q2/2023
Các biện pháp thực tế giúp giảm thiểu rủi ro từ phishing trên Blockchain
| Biện pháp | Mô tả | Lợi ích |
|---|---|---|
| Sử dụng ví lạnh (Cold wallet) | Lưu trữ Private Key ngoại tuyến tránh nguy cơ tấn công mạng. | Giảm nguy cơ lộ Token và ký hợp đồng trái phép. |
| Kiểm tra kỹ URL và chứng chỉ | Đảm bảo truy cập đúng trang chính hãng, mã hóa SSL hợp lệ. | Ngăn chặn truy cập website giả mạo. |
| Giới hạn quyền ủy quyền Smart Contract | Chỉ cấp quyền cần thiết và kiểm tra xác nhận giao dịch. | Hạn chế bị lợi dụng ký các hợp đồng độc hại. |
| Khóa cảnh báo và xác thực đa yếu tố (2FA) | Tăng cường bảo mật đăng nhập và giao dịch. | Giảm nguy cơ bị xâm nhập ví và tài khoản sàn giao dịch. |
Những câu hỏi thường gặp
Phishing trên tiền điện tử thường diễn ra như thế nào?
Phishing thường qua trang web giả mạo, email lừa đảo hoặc link độc, khai thác ủy quyền Smart Contract để đánh cắp Token và NFT. Cần cẩn trọng khi truy cập và ký giao dịch.
Làm sao để nhận diện trang web Aave chính thức?
Người dùng nên xác minh URL bắt đầu bằng https, kiểm tra chứng chỉ bảo mật và tham khảo từ trang chính thức hoặc nguồn khác uy tín.
Multicall của Uniswap là gì và nguy hại ra sao?
Đây là tính năng cho phép nhiều lệnh được thực hiện trong 1 giao dịch, dễ bị lợi dụng để ký ủy quyền giả mạo nếu người dùng không chú ý các hành động ký.
Tôi nên làm gì khi bị lừa qua phishing?
Nên nhanh chóng liên hệ ví và sàn giao dịch để khóa tài khoản, báo cáo sự cố cho các đội ngũ bảo mật và cảnh báo cộng đồng.
Bảo mật ví tiền điện tử hiệu quả nhất hiện nay là gì?
Sử dụng ví lạnh kết hợp xác thực đa yếu tố, chỉ cấp quyền tối thiểu cho Smart Contract và thường xuyên kiểm tra lịch sử giao dịch.
