80 triệu USD tiền số vừa bị đánh cắp
Hacker khai thác một lỗ hổng trong việc chuyển đổi từ Ethereum sang nền tảng blockchain khác, trộm đi số tiền mã hóa trị giá 80 triệu USD của sàn giao dịch DeFi Qubit.
Qubit Finance, một nền tảng tài chính phi tập trung (DeFi), vừa trở thành nạn nhân mới nhất của vụ trộm giá trị cao. Tin tặc đã đánh cắp khoảng 80 triệu USD tiền mã hóa hôm 27/1. Theo The Verge, đây là vụ trộm coin lớn nhất kể từ đầu năm đến nay.
Trong thông báo trên Medium, Qubit cho biết vụ tấn công diễn ra vào 17h ngày 27/1. Khoảng 10 giờ sau phía công ty mới lên tiếng xác nhận.
Hacker đã khai thác lỗ hổng trong cầu nối giữa Ethereum và BSC do Qubit vận hành.
Qubit cung cấp một dịch vụ kết nối giữa các blockchain khác nhau, cho phép người dùng gửi loại tiền mã hóa này và rút ra bằng một đơn vị khác. Qubit Finance đang vận hành cầu nối giữa Ethereum và mạng Binance Smart Chain (BSC).
Phân tích được thực hiện bởi CertiK, một công ty kiểm toán và bảo mật blockchain, cho thấy tin tặc có thể khai thác lỗ hổng bảo mật trong mã hợp đồng thông minh của Qubit. Qua đó, chúng gửi một khoản tiền 0 ETH và đổi lại rút gần 80 triệu USD bằng Binance Coin.
Video đang HOT
“Khi chúng ta chuyển từ một thế giới do Ethereum thống trị sang một thế giới đa chuỗi thực sự, các cầu nối sẽ trở nên quan trọng hơn. Mọi người cần chuyển tiền từ blockchain này sang blockchain khác theo cách thức an toàn trước tin tặc”, các nhà phân tích của CertiK viết.
Thông qua Twitter, nhóm phát triển Qubit Finance kêu gọi hacker thương lượng nhằm tránh thiệt hại cho cộng đồng người dùng. Họ cũng sẵn sàng trả tiền thưởng ở mức tối đa (250.000 USD) cho những kẻ tấn công vì đã phát hiện ra lỗ hổng.
Kể từ khi BSC được công bố vào tháng 9/2020, một số dự án DeFi đã bị tấn công khi vận hành giao thức này. Các sự việc nghiêm trọng nhất phải kể đến gồm vụ hack 31 triệu USD của Meerkat Finance (tháng 3/2021). Một tháng sau, tin tặc lại trộm 50 triệu USD từ sàn Uranium Finance.
Chưa dừng lại ở đó, vào tháng 5/2021, nền tảng Venus Finance cũng bị khai thác qua lỗ hổng của BSC và thiệt hại 88 triệu USD, theo Crypto Briefing.
Qubit Finance chưa đưa ra bình luận về kế hoạch hoàn trả hoặc bồi thường khoản tiền của người dùng bị tin tặc đánh cắp.
Mất trắng tài sản vì tin trò lừa đảo tặng coin miễn phí
Airdrop (tặng coin, token miễn phí) là hình thức quen thuộc để quảng bá các dự án tiền số. Tuy vậy, kẻ gian đã dùng cách này để lừa đảo, chiếm đoạt tài sản.
Nửa cuối năm 2021, lĩnh vực tiền mã hóa xuất hiện hình thức lừa đảo qua airdrop (tặng coin miễn phí). Nhiều người dùng đột nhiên nhận được số token lạ trị giá hàng chục nghìn USD.
"Tôi tình cờ phát hiện trong ví tiền mã hóa của mình xuất hiện số lượng coin lạ, trị giá 15.000 USD. Sau đó, tôi tò mò và lên sàn để quy đổi sang USDT. Tuy nhiên, chỉ sau một khoảng thời gian ngắn, toàn bộ tài sản trong ví tiền số của tôi đã biến mất", ông Nguyễn Duy Sang, nhà đầu tư tiền số tại TP.HCM chia sẻ với PV .
Số token lạ được gửi về ví trị giá khá cao.
Trả lời PV , ông Nguyễn Thế Vinh, CEO và đồng sáng lập Coin98 Finance cho biết người dùng khi tìm cách quy đổi loại coin lạ sẽ vô tình cấp quyền truy cập cho người sở hữu của hợp đồng thông minh. Nhờ đó, kẻ gian có thể tương tác với các tài sản hiện có trong ví.
"Hình thức airdrop thường dùng để tiếp thị dự án có thể bị sử dụng với mục đích xấu là lừa đảo cấp quyền. Khi nhận được số coin lạ, người dùng nên bỏ qua hoặc ẩn chúng đi", ông Vinh nói.
Khi nhận được số token có giá trị cao, người dùng thường tò mò và lên sàn phi tập trung (DEX) để quy đổi sang USDT. Tuy được liệt kê với giá trị rất cao, các loại token này lại không được giao dịch và quy đổi trên các DEX lớn. Khi đó, kẻ lừa đảo có thể gợi ý người dùng vào các sàn nhỏ và thiếu tin cậy, hoặc đưa khóa bí mật cho chúng.
Chính tâm lý tò mò với khoản tiền lớn đã khiến nhiều nhà đầu tư cấp quyền truy cập cho kẻ gian. Sau khi giao dịch, kẻ lừa đảo sẽ có quyền truy cập vào ví cá nhân của người dùng và đánh cắp toàn bộ tài sản.
Theo BSC News, khi Binance Smart Chain (BSC) phát triển mạnh, càng nhiều kẻ gian muốn khai thác nền tảng này. Đồng thời, việc tạo các token lừa đảo khá đơn giản, vốn chỉ cần vài giờ để hoàn thành.
Sau khi tạo token, kẻ lừa đảo thường chuyển số tài sản này vào ví người dùng thông qua BscScan. Tuy nhiên, số token này không thể được quy đổi (swap) sang loại tài sản khác.
Bên cạnh đó, BSC News cho biết tâm lý tò mò vì không swap được token có thể khiến người dùng truy cập vào website giả mạo. Các trang này thường yêu cầu kết nối ví tiền mã hóa để quy đổi số coin lạ. Sau đó, họ nắm giữ mật mã của ví và có quyền truy cập vào tài sản cá nhân của người dùng.
Một số token lừa đảo thường thấy như MNEB, FLUX, VELO, VERA... Người dùng chỉ có thể mua các loại tiền số này nhưng không bán được vì thiếu tính thanh khoản.
Ngày 24/8, PeckShield, công ty bảo mật blockchain hàng đầu cũng đã cảnh báo người dùng về hình thức lừa đảo này.
"Chúng tôi đã xác định một loạt token lừa đảo dẫn người dùng đến các liên kết giả mạo. Vui lòng không truy cập các website sau: ShibaDrop.io ($SHIB), AAExchange.io ($AAE), BSCTOKEN.io ($BSCTOKEN), BestAir.io ($ AIR), AirStack.Net ($ AIR) và BNBw.me ($ BNBW)", quản trị viên của PeckShield viết trên Twitter.
Không chỉ airdrop, nhiều chiêu lừa đảo mọc lên trong thời điểm thị trường tiền mã hóa sôi động. Trong đó, hình thức mạo danh CEO các dự án coin lớn để tặng coin thường xuyên được chạy quảng cáo trên Facebook và YouTube.
Chiêu lừa đảo này thường yêu cầu người dùng gửi tiền vào một địa chỉ ví để nhận lượng tài sản kỹ thuật số có giá trị cao hơn. Cụ thể, kẻ gian sẽ yêu cầu người dùng gửi 0,05-10 ETH vào địa chỉ ví để nhận được số lượng Ethereum lên đến 100 đồng. Tuy nhiên, khi gửi thành công số tiền mà kẻ lừa đảo yêu cầu, người dùng sẽ không nhận lại được khoản thưởng và mất toàn bộ số tiền trên.
Coin và token khác nhau như thế nào? Coin và token là hai khái niệm trong thế giới blockchain. Nhiều người dùng bị nhầm lẫn về hai loại tiền số này. Người dùng thường sử dụng các khái niệm "coin" và "token" để chỉ chung các loại tiền mã hoá. Tuy nhiên, khái niệm và cơ chế hoạt động của coin và token khác nhau. Coin hoạt động trên nền tảng...