Các vụ lừa đảo tiền điện tử qua mạng thu về 7,77 triệu đô la trong tháng 11

Tóm tắt điều hành

Theo dữ liệu từ Scam Sniffer, các cuộc tấn công lừa đảo nhắm vào lĩnh vực tiền điện tử đã gây ra thiệt hại khoảng 7,77 triệu đô la cho 6.344 nạn nhân trong tháng 11. Các sự cố này làm nổi bật một bối cảnh đe dọa đáng kể và đang phát triển, nơi những kẻ tấn công triển khai các phương pháp tinh vi để lừa đảo các nhà đầu tư. Một trường hợp đáng chú ý liên quan đến một nạn nhân duy nhất mất 1,22 triệu đô la thông qua chữ ký 'permit' bị xâm phạm, nhấn mạnh những rủi ro tài chính nghiêm trọng liên quan đến các tương tác hợp đồng thông minh hiện đại.

Chi tiết sự kiện

Công ty giám sát bảo mật blockchain Scam Sniffer đã báo cáo rằng tháng 11 là một tháng tốn kém khác đối với các nhà đầu tư tiền điện tử do các hoạt động lừa đảo. Tổng thiệt hại lên tới 7,77 triệu đô la, với hàng nghìn cá nhân bị ảnh hưởng.

Khoản thiệt hại lớn nhất bắt nguồn từ một cuộc khai thác liên quan đến chữ ký 'permit'. Kỹ thuật này, dựa trên EIP-2612, cho phép người dùng phê duyệt chi tiêu mã thông báo thông qua chữ ký ngoài chuỗi mà không phải trả phí gas. Mặc dù được thiết kế để tiện lợi, nó đã trở thành mục tiêu chính của những kẻ lừa đảo. Những kẻ tấn công lừa người dùng ký một tin nhắn có vẻ vô hại, mà thực chất cấp cho kẻ lừa đảo quyền rút mã thông báo từ ví của người dùng. Vụ trộm 1,22 triệu đô la chứng minh sức mạnh của vectơ tấn công này, vì một chữ ký duy nhất có thể ủy quyền chuyển tài sản rộng rãi mà không yêu cầu giao dịch trực tiếp trên chuỗi từ nạn nhân.

Ý nghĩa thị trường

Sự dai dẳng và tinh vi ngày càng tăng của các cuộc tấn công lừa đảo góp phần vào tâm lý thị trường giảm giá bằng cách làm xói mòn niềm tin vào bảo mật của các nền tảng DeFi và Web3. Mỗi vụ trộm cắp nổi tiếng đều củng cố nhận thức về không gian tiền điện tử là một môi trường rủi ro cao, điều này có thể ngăn cản việc áp dụng chính thống và thu hút sự giám sát chặt chẽ hơn của cơ quan quản lý. Việc khai thác các tính năng blockchain cơ bản như chữ ký 'permit' có thể khiến các cơ quan quản lý áp đặt các tiêu chuẩn bảo mật nghiêm ngặt hơn đối với các nhà phát triển DApp và nhà cung cấp ví để bảo vệ người tiêu dùng.

Bình luận chuyên gia

Sự phát triển kỹ thuật của các chiến dịch lừa đảo là một mối quan tâm chính đối với các chuyên gia bảo mật. Những kẻ tấn công không còn dựa vào các vụ lừa đảo đơn giản, dễ phát hiện. Theo một báo cáo từ MediaPost, những kẻ lừa đảo hiện đang nhúng các ký tự Unicode vô hình và dấu gạch nối mềm vào dòng tiêu đề email. Những ký tự này không thể nhìn thấy bằng mắt thường nhưng lại làm xáo trộn hiệu quả nội dung cho các bộ lọc bảo mật dựa trên từ khóa, cho phép email độc hại vượt qua việc phát hiện.

"Đối với bạn, nó trông bình thường. Đối với bộ lọc bảo mật, nó trông bị xáo trộn, không có từ khóa rõ ràng để khớp," phóng viên công nghệ Kurt the CyberGuy giải thích. Điều này cho phép những kẻ tấn công gửi các email lừa đảo tạo cảm giác khẩn cấp, hướng người dùng đến các trang đăng nhập giả mạo.

Hơn nữa, mối đe dọa không chỉ giới hạn ở email. Công ty bảo mật Koi Security đã xác định một tác nhân đe dọa, 'ShadyPanda', đã phân phối hơn 100 tiện ích mở rộng trình duyệt độc hại cho Chrome và Edge. Những tiện ích mở rộng này, được hơn 4 triệu người dùng tải xuống, hoạt động như cửa hậu cho gian lận liên kết, trộm cắp dữ liệu và thực thi mã từ xa. Chúng đại diện cho một vectơ đe dọa dai dẳng có thể ghi lại các lần gõ phím của người dùng, đánh cắp dữ liệu cookie và trích xuất dấu vân tay trình duyệt.

Bối cảnh rộng hơn

Những sự cố lừa đảo này là một phần của xu hướng rộng hơn về tội phạm mạng leo thang nhắm vào các nền tảng kỹ thuật số. Ví dụ, vụ vi phạm dữ liệu gần đây tại gã khổng lồ thương mại điện tử Coupang đã dẫn đến việc đánh cắp thông tin cá nhân của 33,7 triệu khách hàng. Mặc dù không phải là một sự kiện lừa đảo tiền điện tử trực tiếp, nhưng các vụ vi phạm quy mô lớn như vậy cung cấp cho những kẻ tấn công dữ liệu thô – tên, địa chỉ email và số điện thoại – cần thiết để tạo ra các chiến dịch lừa đảo có mục tiêu cao và thuyết phục.

Sự hội tụ của kỹ thuật xã hội tinh vi, khai thác kỹ thuật và dữ liệu cá nhân có sẵn tạo ra rủi ro hệ thống cho toàn bộ hệ sinh thái tài sản kỹ thuật số. Nó đặt gánh nặng lớn hơn lên các nền tảng để phát triển các kiến trúc bảo mật kiên cường hơn và lên người dùng để duy trì mức độ cảnh giác cao khi tương tác với các ứng dụng và ký giao dịch.