Một người dùng tiền mã hóa không nghi ngờ gì đã mất 50 triệu USDT trong một vụ lừa đảo đầu độc địa chỉ. Sự việc này đại diện cho một trong những tổn thất on-chain lớn nhất năm 2025, thu hút các phản ứng từ các chuyên gia bảo mật tiền mã hóa khi những diễn biến mới về vấn đề này liên tục xuất hiện.
Sai Lầm Sao Chép-Dán Khiến Người Dùng Mất 50 Triệu USDT
Đầu độc địa chỉ là một hình thức lừa đảo trong đó kẻ tấn công gửi các giao dịch nhỏ từ một địa chỉ ví rất giống với địa chỉ hợp pháp của nạn nhân, hy vọng rằng nạn nhân sau đó sẽ sao chép nhầm địa chỉ từ lịch sử giao dịch của họ và vô tình gửi tiền cho kẻ tấn công.
Trang bảo mật blockchain, Web3 Antivirus báo cáo rằng một người dùng tiền mã hóa gần đây đã trở thành nạn nhân của vụ lừa đảo này, gửi 49.999.950 USDT đến một địa chỉ bị đầu độc được sao chép từ lịch sử giao dịch. Xét đến số tiền giao dịch lớn, người dùng đã cố gắng thận trọng bằng cách gửi một giao dịch thử nghiệm nhỏ đến địa chỉ chính xác. Tuy nhiên, bản chất của việc đầu độc địa chỉ đòi hỏi sự giám sát chặt chẽ, nơi những kẻ tấn công có thể ngay lập tức gửi các giao dịch bụi (dust transactions) từ các ví giống với địa chỉ dự định.
Cos, người sáng lập nền tảng bảo mật khác là Slowmist, đã cung cấp những thông tin chi tiết có giá trị về hoạt động này, lưu ý về sự giống nhau giữa cả hai địa chỉ, chúng có cùng 3 ký tự đầu tiên và 4 ký tự cuối cùng. Nạn nhân đã vô tình chọn địa chỉ bị đầu độc từ lịch sử giao dịch để hoàn tất số tiền 50 triệu đô la, do đó đánh dấu một trong những tổn thất cá nhân on-chain lớn nhất năm 2025.
Dữ liệu khác từ Web3 Antivirus tiết lộ rằng ví của nạn nhân đã hoạt động on-chain trong khoảng hai năm và chủ yếu được sử dụng để chuyển USDT. 50 triệu đô la bị đánh cắp ban đầu cũng được rút từ Binance trước khi vụ lừa đảo xảy ra. Đáng chú ý, số USDT bị đánh cắp sau đó đã được những kẻ tấn công chuyển đổi thành ETH và chia sẻ giữa nhiều ví, chúng cũng đã chuyển một phần chiến lợi phẩm thông qua Tornado Cash.
Nạn Nhân Bị Đầu Độc Địa Chỉ Đề Nghị Thưởng Kèm Tối Hậu Thư 48 Giờ
Trong tin tức khác, nhà điều tra blockchain Specter Analyst báo cáo rằng nạn nhân đã cố gắng thiết lập liên lạc với những kẻ tấn công thông qua một tin nhắn on-chain.
Theo một bài đăng trên X vào ngày 20 tháng 12, nạn nhân tuyên bố đã nộp đơn khiếu nại hình sự đồng thời kêu gọi các cơ quan thực thi pháp luật, an ninh mạng và các giao thức blockchain có liên quan cung cấp thông tin tình báo cần thiết về các hoạt động của kẻ lừa đảo. Hơn nữa, tất cả sáu địa chỉ liên quan đến vụ trộm hiện đang bị giám sát liên tục. Tuy nhiên, bên bị thiệt hại đang đề nghị những kẻ thực hiện vụ đầu độc địa chỉ một giải pháp hòa bình, liên quan đến việc tự nguyện trả lại 98% số tiền bị đánh cắp cho một địa chỉ được chỉ định trong vòng 48 giờ.
Đáng chú ý, nạn nhân sẽ cho phép những kẻ xấu giữ lại 1 triệu đô la như một khoản tiền thưởng lỗi (bug bounty) vì đã phát hiện ra lỗ hổng như vậy trong hoạt động của họ. Tuy nhiên, họ cảnh báo rằng việc không chấp nhận đề nghị thân thiện trong thời gian quy định sẽ dẫn đến việc vấn đề được leo thang lên các cơ quan thực thi pháp luật quốc tế. Họ cảnh báo thêm rằng danh tính của những kẻ tấn công sẽ bị tiết lộ và chia sẻ với các cơ quan liên quan để hỗ trợ việc bắt giữ và truy tố họ. Vào thời điểm báo chí đưa tin, tổng tổn thất tiền mã hóa trong năm 2025 đã vượt quá 3,4 tỷ đô la, làm nổi bật sự cần thiết phải liên tục tăng cường các biện pháp bảo mật trong hệ sinh thái đang phát triển mạnh mẽ này.
