Hàng triệu đô la bị mất trong cuộc tấn công lừa đảo qua email: cơn ác mộng của mọi nhà đầu tư

Cập nhật khẩn cấp: Vào ngày 27 tháng 9, một ví tiền điện tử đã bị rút sạch 12.083 token spWETH (tương đương $32 triệu) đô la thông qua một cuộc tấn công lừa đảo tinh vi. Theo Arkham Intelligence, nạn nhân có thể là Shixing Mao, người sáng lập F2Pool, một trong những pool đào Bitcoin lớn nhất thế giới.

Chuyện đã xảy ra như thế nào?

10.000 spWETH ($26 triệu) đô la ban đầu được chuyển đến một ví trung gian, rồi sau đó phân tán ra bốn địa chỉ khác nhau:

• 1.750 ETH → 0x105c
• 2.613 ETH → 0x278d
• 3.730 ETH → 0x408d
• 1.865 ETH → 0xfaf2

CertiK đã phân tích vụ việc và xác nhận đây là một cuộc tấn công lừa đảo tinh vi.

Xu hướng đáng sợ: Các vụ lừa đảo không ngừng gia tăng

Đây không phải là trường hợp cá biệt. Tháng 8 năm 2024 ghi nhận mức tăng 215% các vụ lừa đảo crypto so với tháng 7, với thiệt hại vượt quá $66 triệu$55 đô la. Điều đáng báo động nhất:

• AngelX: Phiên bản nâng cấp của Angel Drainer nổi tiếng, chỉ trong 4 ngày đã triển khai hơn 300 DApps giả mạo trên các mạng như TON và Tron. Bảng điều khiển của nó cho phép kẻ tấn công tạo ra các vụ lừa đảo cực kỳ tùy biến.
• Trang Etherscan giả mạo bị xâm phạm: Đang xuất hiện các trang giả mạo yêu cầu kết nối MetaMask. Kết nối này đồng nghĩa với việc mất quyền truy cập toàn bộ quỹ của bạn.
• Tấn công vào quyền sở hữu proxy: Một nạn nhân đã mất triệu trong một vụ hack nhắm mục tiêu duy nhất.

Bài học đắng lòng

Không còn đủ chỉ cần có mật khẩu mạnh nữa. Kẻ tấn công giờ đây sử dụng kỹ thuật xã hội tinh vi, tấn công DNS hijacking, và các DApps giả mạo trông như thật 100%. Ngay cả những người sáng lập các dự án lớn như F2Pool cũng có thể bị sập bẫy.

Danh sách kiểm tra để sống sót:

• Luôn kiểm tra URL trước khi kết nối ví
• Sử dụng ví phần cứng cho các khoản lớn
• Cẩn thận với các liên kết trên mạng xã hội, dù đến từ các tài khoản “đã xác minh”
• Không sao chép địa chỉ từ trình duyệt; hãy truy cập trực tiếp các trang chính thức