Cuộc tấn công mạng đánh cắp hàng triệu chỉ với một cú nhấp chuột

window.litespeed_ui_events=window.litespeed_ui_events||["mouseover","click","keydown","wheel","touchmove","touchstart"];var urlCreator=window.URL||window.webkitURL;function litespeed_load_delayed_js_force(){console.log("[LiteSpeed] Start Load JS Delayed"),litespeed_ui_events.forEach(e=>{window.removeEventListener(e,litespeed_load_delayed_js_force,{passive:!0})}),document.querySelectorAll("iframe[data-litespeed-src]").forEach(e=>{e.setAttribute("src",e.getAttribute("data-litespeed-src"))}),"loading"==document.readyState?window.addEventListener("DOMContentLoaded",litespeed_load_delayed_js):litespeed_load_delayed_js()}litespeed_ui_events.forEach(e=>{window.addEventListener(e,litespeed_load_delayed_js_force,{passive:!0})});async function litespeed_load_delayed_js(){let t=[];for(var d in document.querySelectorAll('script[type="litespeed/javascript"]').forEach(e=>{t.push(e)}),t)await new Promise(e=>litespeed_load_one(t[d],e));document.dispatchEvent(new Event("DOMContentLiteSpeedLoaded")),window.dispatchEvent(new Event("DOMContentLiteSpeedLoaded"))}function litespeed_load_one(t,e){console.log("[LiteSpeed] Load ",t);var d=document.createElement("script");d.addEventListener("load",e),d.addEventListener("error",e),t.getAttributeNames().forEach(e=>{"type"!=e&&d.setAttribute("data-src"==e?"src":e,t.getAttribute(e))});let a=!(d.type="text/javascript");!d.src&&t.textContent&&(d.src=litespeed_inline2src(t.textContent),a=!0),t.after(d),t.remove(),a&&e()}function litespeed_inline2src(t){try{var d=urlCreator.createObjectURL(new Blob([t.replace(/^(?: )?$/gm,"$1")],{type:"text/javascript"}))}catch(e){d="data:text/javascript;base64,"+btoa(t.replace(/^(?: )?$/gm,"$1"))}return d} var litespeed_vary=document.cookie.replace(/(?:(?:^|.*;\s*)_lscache_vary\s*\=\s*([^;]*).*$)|^.*$/,"");litespeed_vary||fetch("/wp-content/plugins/litespeed-cache/guest.vary.php",{method:"POST",cache:"no-cache",redirect:"follow"}).then(e=>e.json()).then(e=>{console.log(e),e.hasOwnProperty("reload")&&"yes"==e.reload&&(sessionStorage.setItem("litespeed_docref",document.referrer),window.location.reload(!0))});

Cách thức xảy ra cuộc tấn công Address Poisoning

Trọng tâm của sự cố là một ví đã hoạt động gần hai năm và chủ yếu được sử dụng để chuyển USDT. Sau khi rút tiền từ Binance, người dùng đã nhận được khoảng 50 triệu đô la Mỹ USDT. Nghĩ rằng đây là một phương thức an toàn, người dùng đầu tiên thực hiện một giao dịch thử nghiệm nhỏ. Vài phút sau, giao dịch chính được thực hiện, nhưng không biết rằng người dùng đã sử dụng sai địa chỉ.

Trước khi đến thời điểm này, kẻ lừa đảo đã thiết lập sẵn cuộc tấn công “address poisoning”. Một ví có địa chỉ gần giống với địa chỉ mà nạn nhân thường xuyên sử dụng đã được tạo ra, và một lượng USDT rất nhỏ đã được gửi vào đó, bổ sung vào lịch sử giao dịch. Do các địa chỉ trong giao diện ví xuất hiện dưới dạng chuỗi dài và phức tạp, người dùng đã vô tình sao chép địa chỉ giả này từ lịch sử giao dịch khi có ý định chuyển tiền, dẫn đến gần 50 triệu đô la Mỹ được chuyển vào ví của kẻ tấn công chỉ với một cú nhấp chuột.

Tranh cãi về mô hình UTXO và quan điểm của Charles Hoskinson

Charles Hoskinson, nhà sáng lập Cardano, đã lên tiếng về sự cố này, cho rằng việc mất mát như vậy khó xảy ra hơn nhiều trong một số kiến trúc blockchain nhất định. Ông chỉ ra rằng các mô hình dựa trên tài khoản được sử dụng bởi Ethereum và các mạng dựa trên EVM về mặt cấu trúc cho phép các vụ lừa đảo như address poisoning xảy ra. Trong mô hình này, các địa chỉ được giữ như các tài khoản vĩnh viễn, và ví thường nhắc người dùng sao chép địa chỉ từ các giao dịch trước đó, một thói quen bị kẻ lừa đảo nhắm tới.

Theo Hoskinson, các mạng sử dụng mô hình UTXO như Bitcoin và Cardano có khả năng chống chịu tốt hơn trong khía cạnh này. Trong mô hình UTXO, mỗi giao dịch tạo ra các đầu ra mới đồng thời tiêu thụ các đầu ra cũ, loại bỏ khái niệm “số dư tài khoản” vĩnh viễn. Do đó, không có lịch sử địa chỉ liên tục nào có thể bị đầu độc về mặt hình ảnh. Ông nhấn mạnh rằng sự cố này không phải là lỗi của giao thức hay hợp đồng thông minh mà là một sự tương tác nguy hiểm giữa thiết kế và hành vi con người.

Những rủi ro tương tự cũng đã được các báo cáo khác cảnh báo gần đây. Trong vài tuần qua, một nhà cung cấp ví lớn đã phát hành bản cập nhật bảo mật để cảnh báo người dùng về thói quen sao chép địa chỉ và cải tiến màn hình xác minh địa chỉ của họ. Những diễn biến này nhấn mạnh tầm quan trọng của thiết kế ví bên cạnh các biện pháp phòng ngừa cá nhân.