MetaMask cảnh báo về một loại hình lừa đảo mới, đánh vào sự chủ quan của người dùng qua thao tác đơn giản là sao chép địa chỉ ví.
Vào ngày 12/01, MetaMask đã phát một cảnh báo về một hình thức đánh cắp tài sản mới có tên “đầu độc địa chỉ”, trong đó trình bày về cách kẻ lừa đảo đã lợi dụng sự vội vàng và bất cẩn người dùng khi chuyển tiền mà sao chép nhầm địa chỉ ví.
A new scam called ‘Address Poisoning’ is on the rise. Here’s how it works: after you send a normal transaction, the scammer sends a $0 token txn, ‘poisoning’ the txn history. (1/3)
— MetaMask Support (@MetaMaskSupport) January 11, 2023
Địa chỉ ví là các số thập lục phân dài và rất khó nhớ. Nó thường được rút ngắn và chỉ hiển thị một vài ký tự đầu tiên và cuối cùng. Các nhà cung cấp ví hiện nay, bao gồm MetaMask có tính năng “sao chép địa chỉ” thông qua một cú đúp chuột. Và đây cũng chính là “điểm yếu chí mạng” được kẻ tấn công nhắm đến.
Một vụ đánh cắp tài sản bằng phương thức “đầu độc địa chỉ” sẽ diễn ra như sau:
- Người dùng A thực hiện các giao dịch thông thường cho Người dùng B, kẻ tấn công C biết được thông qua dữ liệu giao dịch on-chain.
- Sau đó, kẻ tấn công C sử dụng trình tạo địa chỉ để tạo ra địa chỉ gần giống (khớp ký tự đầu và cuối) với địa chỉ người dùng B.
- Tiếp đến kẻ tấn công C sẽ thực hiện giao dịch $0 giữa địa chỉ người dùng A và địa chỉ của mình. Điều này dẫn tên gọi vụ việc là “đầu độc địa chỉ”, vì lúc này địa chỉ C sẽ được lưu vào bộ đệm người dùng A, tạo ra niềm tin đó chính là địa chỉ B vì các ký tự đầu cuối tương tự.
- Người dùng A trong vô thức, không để ý có thể sao chép nhầm địa chỉ và dẫn đến chuyển tiền cho kẻ tấn công C.
Hình thức lừa đảo được đánh giá là “khá vô hại” so với các loại lừa đảo truyền thống khác, khi tin tặc tìm cách tấn công vào một hệ thống bảo mật, hay lừa đảo để lấy được private key của người dùng.
MetaMask, nền tảng ví được báo cáo các sự cố đầu độc địa chỉ, đã phát cảnh báo sau hơn 2 tháng một người dùng Twitter bắt đầu cung cấp thông tin về loại hình lừa đảo mới này. Do đó, nhiều người chỉ trích MetaMask đã quá chậm trễ trong việc thông báo sự việc.
MetaMask finally documents the address poisoning attack after 2+ months.
Also read https://t.co/l24rQKy9OL
To users: An address that looks like yours could be generated in a second.
To infrastructure builders: It’s your responsibility to warn users in UI against this attack. https://t.co/lz3bXmjnDI
— Han Tuzun (tuzun.eth & tuzun.lens) #DevconIstanbul (@0xTuzun) January 12, 2023
Trong cảnh báo, MetaMask nhắc nhở người dùng:
“Hãy phát triển thói quen kiểm tra kỹ lưỡng từng ký tự của địa chỉ trước khi bạn xác nhận giao dịch. Đây là cách duy nhất để hoàn toàn chắc chắn rằng bạn đang gửi đến đúng địa chỉ.”
Ngoài ra, một số phương pháp phòng vệ khác như không sử dụng lịch sử giao dịch để sao chép địa chỉ, đưa vào whitelist các địa chỉ thường giao dịch, đồng thời sử dụng các giao dịch thử nghiệm, đặc biệt là khi cần chuyển số tiền lớn.
Ứng dụng ví MetaMask vấp phải phản ứng dữ dội của cộng đồng sau khi cập nhật chính sách lưu giữ dữ liệu vào cuối năm ngoái. Theo đó, ConsenSys, đơn vị đứng sau MetaMask, sẽ thu thập dữ liệu IP và địa chỉ ví MetaMask của người dùng. Song, công ty nhanh chóng điều chỉnh và cho biết sẽ chỉ lưu dữ liệu trong 7 ngày.
tổng hợp
Có thể bạn quan tâm:
