Một nền tảng blockchain vừa bị hacker “thó” mất 120 tỷ đồng, nhưng danh tính thủ phạm mới là điều gây sửng sốt
Vụ tấn công diễn ra với thủ đoạn vô cùng tinh vi và nạn nhân lần này tiếp tục là một ứng dụng thuộc blockchain Solana.
Có vẻ như cơn ác mộng của Solana ( SOL) vẫn chưa dứt khi mà vào đêm ngày 23/3 vừa qua, ứng dụng Cashio được xây dựng trên mạng SOL đã bất ngờ bị hack. Hiện tại, đội ngũ phát triển của Cashio đã chính thức thông báo về vụ tấn công lên Twitter.
Qua điều tra ban đầu, tin tặc đã lợi dụng lỗ hổng “khởi tạo token vô hạn”, vốn là một lỗi lập trình khá cơ bản mà không hiểu vì lý do gì các nhà phát triển đã mắc phải trong quá trình tạo ra Cashio. Nhờ lợi dụng sai sót này, kẻ tấn công đã dễ tạo “đúc” (mint) ra khoảng 2 tỷ token CASH, loại tiền số của ứng dụng Cashio, mà không cần dùng bất kỳ tài sản nào để thế chấp. Kết quả là, đã có gần 58,2 triệu USD (tương đương khoảng 120 tỷ đồng) giá trị các tài sản số đã bốc hơi khỏi ứng dụng xấu số trên và kéo giá đồng CASH về tiệm cận con số 0.
Qua truy vết trên blockchain, nhiều chuyên gia bảo mật nhận ra địa chỉ ví của kẻ tấn công có mối liên hệ mật thiết với một tài khoản Twitter với tên hiển thị là “@Ariusuhaaa”, đối tượng này cũng sở hữu một tài khoản Discord với cái tên tương tự.
Trong quá khứ, cái tên này đã dính líu tới không ít phi vụ động trời khác liên quan đến các dự án NFT lừa đảo, có thể kế đến Balloonsville, DoodleDragonz vào Fine Folk. Để có thể thực hiện trót lọt nhiều vụ lừa đảo đến như vậy, nhân vật bí ẩn này đã “dày công” xây dựng hình tượng cá nhân là một “ông trùm” trong lĩnh vực NFT, đặc biệt là những NFT được xây dựng trên mạng Solana nhằm thu hút sự chú ý cũng như thiện cảm từ các nhà đầu tư.
Nghi phạm là một nhân vật “có tiếng” trong giới NFT Solana
Trong 1 buổi thảo luận liên quan đến các dự án NFT, Ariusuha đã từng vô tình tiết lộ đôi chút về bản thân: :Tôi tên là Ariusuha, hiện 16 tuổi”, người này nói bằng giọng nam. Khi tìm kiếm từ khoá “Ariusuha” trên sàn giao dịch NFT OpenSea chúng ta cũng hoàn toàn có thể tìm ra một tài khoản có tên khớp với từ khoá kể trên, tuy nhiên thì từ khoá này mới chỉ được lập vào tháng 2/2022. Điều này có nghĩa là Ariusuha đã bắt đầu tìm hiểu và “quan tâm” đến các dự án NFT trên mạng Ethereum? Thật khó để khẳng định!
Video đang HOT
Tài khoản với tên tương tự như nghi phạm trên chợ NFT OpenSea
Tuy nhiên, tất cả mới dừng lại ở mức suy đoán dựa vào những dữ liệu được tìm thấy trên blockchain. Nhưng điều thú vị hơn cả, là thủ phạm của vụ tấn công Cashio đã tuyên bố sẽ “refund” cho tất cả những địa chỉ ví nạn nhân có số dư dưới 100.000 USD và toàn bộ số tiền còn lại sẽ được mang đi từ thiện.
Tuy nhiên, hacker này tuyên bố những ví có số dư dưới 100.000 USD sẽ được “refund”
Đáng báo động hơn, mạng Solana mới đây còn “đứng hình” suốt 18 giờ và đến hiện tại vẫn chưa thể giải quyết vấn đề này một cách triệt để. Khó hiểu hơn, CEO của Solana Labs còn tuyên bố rằng, sẽ không ngạc nhiên nếu một tình huống tương tự xảy ra?
Qua vụ tấn công kể trên, nhiều nhà đầu tư đang đặt cho mình một dấu hỏi rất lớn về tính an toàn và bảo mật của blockchain Solana, thứ vốn được cộng đồng kỳ vọng là sẽ thay thế cho mạng Ethereum già cỗi. Nhưng có vẻ như những gì các nhà đầu tư nhận lại được ở thời điểm hiện tại vẫn là một nỗi thất vọng tràn trề.
Chủ bộ sưu tập NFT bỏ trốn với 1,3 triệu USD
Dù được xác nhận danh tính, người đứng sau bộ sưu tập NFT Big Daddy Ape Club đã bỏ trốn với số tiền 1,3 triệu USD từ nhà đầu tư.
Ngày 11/1, bộ sưu tập NFT có tên Big Daddy Ape Club, dựa trên mạng lưới blockchain Solana (SOL) bất ngờ biến mất sau một thời gian mở bán. Kẻ lừa đảo đứng sau dự án bỏ trốn với 9.136 SOL, tương đương 1,3 triệu USD từ những người đầu tư vào NFT này.
Trước khi được xác nhận lừa đảo, Big Daddy Ape Club đã nhận thẻ "xác minh" của Civic. Đây là công ty tiền mã hóa có trụ sở tại San Francisco (Mỹ), cung cấp dịch vụ xác minh danh tính các dự án NFT trên mạng blockchain Solana.
Tháng 12/2021, Civic thông báo đã "xác minh" Big Daddy Ape Cub thông qua chương trình Verified by Civic Pass. Đây là dịch vụ giúp xác nhận danh tính người tạo ra NFT trong thế giới thực, tạo lòng tin cho cộng đồng đầu tư. Tuy nhiên, sự tin tưởng ấy đã mang đến cơ hội lừa đảo cho kẻ đứng sau Big Daddy Ape Cub.
Bộ sưu tập NFT Big Daddy Ape Club trên Solanart.
Big Daddy Ape Cub gồm những gì?
Big Daddy Ape Club (BDAC) là bộ sưu tập 2.222 hình vẽ con vượn, liên kết với blockchain Solana và niêm yết trên sàn NFT Solanart. Sau một thời gian chào bán, toàn bộ thông tin liên quan đến BDAC, kể cả các trang mạng xã hội đã bị xóa.
Đây là chiêu thức lừa đảo phổ biến khi người phát triển rút vốn rồi đóng cửa dự án, biến mất cùng số tiền của nhà đầu tư. Faith Orr, nghệ sĩ kỹ thuật số và blogger NFT cho biết nhóm phát triển BDAC đã đóng máy chủ Discord vài giờ trước thời điểm "đúc" (mint) NFT. Các nhà đầu tư cũng không nhận được NFT sau khi trả khoản SOL tương ứng.
Orr nhận định đây là động thái lừa đảo "thô bạo". "Hầu hết kẻ lừa đảo khi rút vốn đều để lại NFT cho nạn nhân dù chúng không bao giờ được niêm yết trên thị trường thứ cấp", Orr cho biết.
Tài khoản Twitter, máy chủ Discord và website của BDAC không còn tồn tại. Solanart xác nhận đã xóa bộ sưu tập khỏi trang web, nói thêm dự án được xác minh bởi Civic nhưng người đứng sau chúng vẫn quyết định lừa đảo.
Trang Twitter và website của BDAC biến mất.
"Danh tính người tự nhận tạo ra dự án BDAC đã được xác minh thông qua chương trình của Civic. Chúng tôi đang hợp tác với cơ quan chức năng để hỗ trợ điều tra, nhưng chưa biết cuộc điều tra sẽ kéo dài bao lâu", Chris Hart, CEO Civic chia sẻ với Decrypt.
Mert, kỹ sư phần mềm tại Coinbase cho biết đây là đợt rút vốn NFT lớn nhất từng chứng kiến. Khi theo dõi ví điện tử của kẻ lừa đảo, Mert ghi nhận một khoản tiền đã được chuyển vào trên sàn Binance. Sau khi nhận báo cáo, Binance đã khóa tài khoản kẻ lừa đảo, đồng thời làm việc với cơ quan pháp luật để điều tra.
Lỗ hổng trong hệ thống xác minh của Civic
Hert cho biết Civic nhắm đến mức độ chính xác cao nhất khi xác minh danh tính tác giả NFT, nhưng thừa nhận quy trình cũng không đảm bảo luôn chính xác 100%.
Theo đó, chương trình Verified by Civic Pass hoạt động bằng cách xác minh quyền kiểm soát tài khoản Twitter, tên miền website và danh tính người tạo ra dự án thông qua thu thập giấy tờ định danh (ID). Quá trình xác minh cũng bao gồm quét khuôn mặt 3D. Dù vậy, kẻ lừa đảo đứng sau BDAC vẫn vượt qua vòng xác minh để lừa đảo nhà đầu tư.
Nhiều người dùng đã đặt ra tính nghi vấn liên quan đến hệ thống xác minh của Civic. "Liệu các tiêu chí đánh giá có hợp lệ không? Việc thu thập thông tin, hoạt động chuyên nghiệp trên mạng xã hội và website đẹp có thực sự bảo vệ nhà đầu tư không", Kylienft, nhà sưu tầm NFT chia sẻ trên Twitter.
Theo Civic, quá trình xác minh được thiết kế để chia sẻ thông tin với cơ quan thẩm quyền trong trường hợp dự án bị rút vốn.
Ôm tiền nhà đầu tư rồi bỏ trốn không phải kiểu lừa đảo mới trong giới tiền mã hóa.
"Trong vài tháng qua, chúng tôi đã mở rộng vai trò giúp tăng cường sự tin cậy và an toàn trên hệ sinh thái NFT", Hart chia sẻ. Hiện nay, Civic đã hợp tác với Magic Eden, cửa hàng NFT Solana lớn nhất về khối lượng giao dịch, đồng thời làm việc với website xếp hạng dự án NFT RadRugs để tích hợp vào danh sách bảo mật của Civic.
Do phí giao dịch trên Solana gần như bằng 0, nhà đầu tư có thể sử dụng bot để spam giao dịch trong các đợt IDO (phát hành coin lần đầu trên sàn giao dịch phi tập trung) hoặc NFT có giá trị trong thời gian "đúc" để bán lại trên thị trường thứ cấp với giá cao hơn.
Theo Hart, Civic đã hợp tác với Metaplex, công ty đứng sau giao thức "đúc" NFT trên Solana để hạn chế việc sử dụng bot. Tháng 11/2021, Civic ra mắt Ignite Pass, phiên bản miễn phí của Civic Pass giúp người mua NFT chứng minh sự trong sạch. Tuy nhiên, hệ thống này không hoạt động hiệu quả trong một đợt bán NFT của Mortuary Inc.
Sự kiện ra mắt của một dự án NFT thành công đến nỗi làm sập cả mạng lưới blockchain của Solana Mạng lưới blockchain của Solana mới đây lại tiếp tục gặp sự cố tắc nghẽn và không thể giao dịch. Mạng lưới blockchain của Solana mới đây lại tiếp tục gặp sự cố tắc nghẽn và không thể giao dịch. Tuy nhiên nguyên nhân lại không phải do bị hacker tấn công, mà là do sự kiện ra mắt của một dự án...