Rạng sáng ngày 07/09/2023, một ví cá voi 0x13e3 bị đánh cắp 24,23 triệu USD khi giao dịch stETH và rETH, khả năng cao là vì nhấn vào liên kết phishing.
Thông tin giao dịch
Theo Scam Sniffer, ví cá 0x13e3 này bị rút mất 4.850 rETH (khoảng 8,5 triệu USD) và 9.579 stETH (khoảng 15.6 triệu USD) chỉ với hai giao dịch. Số lượng stETH và rETH đó được chuyển trực tiếp đến ví 0x693b của kẻ tấn công. Sau đó ví 0x693b đã quy đổi stETH và rETH thành ETH và chuyển đến ba địa chỉ ví khác nhau. rETH và stETH lần lượt là các token khóa liquid staking của Rocket Pool và Lido.
Khi kiểm tra lượng stETH của ví này thông qua mục Portfolio trên DeBank, lượng stETH trên giao thức LIDO gần như bằng không.
Nguyên nhân vụ hack
Tìm hiểu nguyên nhân dẫn đến vụ việc trên, khi kiểm tra hai giao dịch của ví cá voi đều thấy sự tham gia của ví 0x4c10. Ví này cũng đã được Etherscan đánh dấu là Fake_Phishing trước đó.
Trước khi bị chuyển lần lượt 24 triệu USD rETH và stETH, ví cá voi 0x13e3 đã đồng ý và kí thực hiện giao dịch thông qua phương thức “increaseAllowance“, việc này đã cấp quyền cho kẻ lừa đảo có thể tăng lượng token được rút ra.
Theo Scam Sniffer, ví 0x4c10 không chỉ có liên quan đến vụ việc lần này mà trước đó đã có liên hệ đến nhiều trang web lừa đảo tiền mã hoá khác. Dựa theo công cụ đánh giá, ví 0x4c10 được khoanh vùng nhiều ở các sự kiện hack ví và có điểm “Severe” là 100. Ngoài ra, Scam Sniffer cũng chỉ ra những phishing URL liên quan.
Nếu nhìn lại sự việc, có thể ví cá voi này đã truy cập vào một trang web tiền mã hoá có chứa liên kết phishing và trong lúc kí giao dịch đã bất cẩn bị kẻ lừa đảo rút mất một lượng lớn stETH và rETH. Mặc dù vậy, số dư trong ví của nạn nhân lúc này vẫn còn lại 16,3 triệu USD.
Bên cạnh phishing, hiện nay còn có nhiều thủ đoạn lừa đảo và chơi xấu nhà đầu tư như chuyển token vào hàng loạt ví tham gia airdrop để bị đánh dấu sybil, hay thủ đoạn mạo danh ví gần như giống địa chỉ rút tiền quen thuộc của người dùng.