Các nhà đầu tư NFT mất 1,7 triệu USD do tấn công lừa đảo

An toàn thông tin - Ngày đăng : 08:41, 24/02/2022

Kẻ tấn công đã lợi dụng việc chuyển hợp đồng thông minh (smart-contract) của NFT Marketplace OpenSea để lừa đảo người dùng.

Cuối tuần qua, tin tặc đã đánh cắp hàng triệu USD "tài sản không thể thay thế" (NFT) của 17 thành viên thuộc NFT Marketplace OpenSea.

Nhà đầu tư NFT mất 1,7 triệu USD do tấn công lừa đảo - Ảnh 1.

Cuộc tấn công lừa đảo hôm 19/2 nhằm vào người dùng OpenSea đã khiến ít nhất 1,7 triệu USD bị đánh cắp.

Hôm 19/2, một lượng nhỏ người dùng OpenSea nhận thấy NFT của họ đã bị thiếu (NFT - loại tài sản số hiện diện trên một chuỗi số (blockchain), tức là bản ghi nhận các giao dịch trên máy tính kết nối mạng, đại diện cho quyền sở hữu đối với các tài sản ảo, chẳng hạn như bản vẽ kỹ thuật số hoặc âm nhạc).

Molly White, người điều hành blog Web3 is Going Great viết: "Hoảng loạn bùng phát", bởi vì "nhiều người khác đang lo sợ điều tương tự có thể xảy ra với họ".

Có nhiều suy đoán rằng một trục trặc có thể đã phát sinh từ hợp đồng thông minh (smart-contract) của OpenSea - tức là phần mềm mà nền tảng này chạy - hoặc có thể từ một đợt airdrop (một chiến thuật tiếp thị sử dụng việc phân phối miễn phí các token tiền điện tử mới cho người dùng mới) được thực hiện bởi một thị trường NFT nhái có tên là X2Y2.

Nguyên nhân thực sự thú vị hơn nhiều

Khoảng 1,5 giờ sau khi các NFT mất tích, OpenSea đã viết trên Twitter rằng, trên thực tế, hiện tượng này có vẻ như "là một cuộc tấn công lừa đảo bắt nguồn từ bên ngoài trang web của OpenSea". Hóa ra, tin tặc đã sử dụng một số kỹ thuật để lừa đảo các nhà đầu tư.

Nhà đầu tư NFT mất 1,7 triệu USD do tấn công lừa đảo - Ảnh 2.

OpenSea đã viết trên Twitter.

Hợp đồng "mồi và chuyển đổi"

Ngày 11/2, OpenSea đã phát hành một hợp đồng thông minh mới được nâng cấp, và thúc giục người dùng chuyển đổi mà không phải trả phí trước thời hạn đóng cửa vào ngày 25/2. Nhưng ngay sau đó, một tin tặc đã nhanh chóng sao chép các nội dung này và gửi lại email giống của OpenSea để thông báo cho người dùng.

Những người mở email sao chép như đã nói ở trên sẽ được dẫn đến một trang web giả dạng. Ở đó, họ được nhắc ký một giao dịch có vẻ hợp pháp, theo chủ đích rằng sẽ chuyển NFT của họ từ hợp đồng cũ sang hợp đồng mới.

Sau đó, việc nhấp vào phần "ký" sẽ kích hoạt một chức năng có tên là "atomMatch_". Như Check Point Software đã mô tả vào hôm 20/2 rằng: "loại yêu cầu này có khả năng đánh cắp tất cả NFT của nạn nhân".

OpenSea đã cảnh báo người dùng không được nhấp vào bất kỳ liên kết nào bên ngoài trang web chính thức của công ty.

Với blockchain một cú nhấp chuột sai hậu quả lớn hơn tấn công CNTT truyền thống

Không may, các cuộc tấn công lừa đảo và tấn công phi kỹ thuật (social engineering) vẫn là vấn đề bảo mật khó giải quyết nhất. Với tư cách là một kỹ sư, Matt Bailey, Phó chủ nhiệm Kỹ thuật tại Club NFT, lưu ý: Điều đó không mới đối với Web3 - một thuật ngữ mơ hồ dành cho các hệ thống và công nghệ phi tập trung dựa trên blockchain nhằm thay thế Internet hiện tại - nhưng "nó đi kèm với một số vấn đề cần suy nghĩ mới," Bailey nói.

"Khả năng sử dụng chung tiếp tục là một thách thức và có thể góp phần gây ra sự nhầm lẫn. Không phải lúc nào bạn cũng rõ ràng là đang ký điện tử với tư cách là người dùng," ông giải thích.

Bởi vì các giao dịch blockchain là không thể đảo ngược, mối đe dọa của một cú nhấp chuột sai được cho là thậm chí còn lớn hơn so với các cuộc tấn công CNTT truyền thống.

Nhà đầu tư NFT mất 1,7 triệu USD do tấn công lừa đảo - Ảnh 3.

Danh sách các NFT bị đánh cắp bởi tác nhân độc hại đã được công bố bởi công ty bảo mật blockchain PeckShield hôm 20/2. Chúng trị giá khoảng 3 triệu USD.

Ban đầu, CEO Devin Finzer thông báo rằng 32 người dùng OpenSea đã trở thành nạn nhân của mánh khóe này. Trong khi công ty bảo mật blockchain PeckShield cho rằng đã có 3 triệu USD bị bốc hơi. Con số đó hóa ra là quá mức. Phát hiện mới hôm 21/2 đã làm rõ rằng "số lượng ban đầu được công bố bao gồm tất cả những người đã tương tác với kẻ tấn công, chứ không phải những người là nạn nhân thực sự của cuộc tấn công lừa đảo này".

Nhà đầu tư NFT mất 1,7 triệu USD do tấn công lừa đảo - Ảnh 4.

Cuối cùng, 250 NFT đã bị đánh cắp chỉ từ 17 người dùng.

Cuối cùng chỉ có 250 NFT đã bị đánh cắp từ 17 người dùng, OpenSea cho biết trên Twitter hôm 21/2/2022. Tuy nhiên, ngay cả với rất ít nạn nhân, tác động tài chính của chiến dịch này là rất phi thường.

OpenSea là một trong những cái tên dễ nhận biết nhất trong cộng đồng NFT (tiền điện tử/blockchain/metaverse...). Tính đến tháng 1/2022, công ty này đã được định giá tới 13,3 tỷ USD. Theo DappRadar, hoạt động giao dịch hàng ngày trên OpenSea có xu hướng dao động trong khoảng từ 100 triệu đến 200 triệu USD/ngày, và các giao dịch NFT diễn ra chỉ trong 30 ngày qua đã có tổng trị giá tới 3,68 tỷ USD. Trong khi đó, theo công ty nghiên cứu blockchain Chainalysis, tổng giá trị thị trường NFT đã đạt 41 tỷ USD vào năm 2021.

Giá trị ngày càng tăng của các NFT giúp giải thích lý do tại sao kẻ tấn công có thể lấy được tài sản của 17 nạn nhân với giá trị khoảng 1,7 triệu USD.

Jake Fraser, Trưởng phòng Phát triển Kinh doanh của Mogul Productions cho biết: "Một sự cố nổi tiếng như vậy" mang đến cơ hội cải thiện cả bảo mật cá nhân và thị trường".

Ông nói, các công ty blockchain sẽ được khuyến khích đầu tư vào các chương trình tiền thưởng lỗi và kiểm toán hợp đồng thông minh của bên thứ ba, đồng thời sẽ chú trọng hơn vào việc giáo dục các nhà đầu tư về tính rủi ro. "Khi các cá nhân được giáo dục nhiều hơn, điều đó sẽ ngăn chặn được khả năng xảy ra các cuộc tấn công lừa đảo. Hầu hết mọi người trong không gian vẫn đang sử dụng "ví nóng" (trực tuyến) để lưu trữ NFT của họ, vì vậy đây là lý do tại sao điều quan trọng là họ phải biết cách xác định các dấu hiệu đỏ khi một cuộc tấn công lừa đảo đang diễn ra".

Ví kỹ thuật số được sử dụng để chứa NFT có thể che giấu được danh tính của chủ sở hữu, các giao dịch tài sản số trên blockchain nói chung là công khai. Vì vậy, bất kỳ ai có kiến thức kỹ thuật đều có thể theo dõi được việc NFT từ ví này được chuyển sang ví khác.

Dữ liệu từ Etherscan chỉ ra rằng chiến dịch này có thể đã kết thúc.

Tài liệu tham khảo:

[1]. https://threatpost.com/nft-investors-lose-1-7m-in-opensea-phishing-attack/178558

[2]. https://u.today/nft-marketplace-opensea-suffers-massive-phishing-attack

[3]. https://www.cnet.com/personal-finance/crypto/opensea-says-at-least-1-7m-in-nfts-stolen-in-phishing-attack


Hiền Thục