นักเทรดคริปโตสูญเงิน 50 ล้าน USD ใน USDT ของ Tether หลังตกเป็นเหยื่อการโจมตีแบบ “address poisoning” ที่ซับซ้อน
เมื่อวันที่ 20 ธันวาคม บริษัทด้านความปลอดภัยบนบล็อกเชน Scam Sniffer รายงานว่า การโจมตีครั้งนี้เริ่มขึ้นหลังเหยื่อโอนเงินทดสอบเล็กน้อย 50 USD ไปยัง address ของตัวเอง
Sponsoredแผนฉ้อโกง Address Poisoning ดำเนินไปอย่างไร
น่าสังเกตว่า นักเทรดมักใช้วิธีนี้เพื่อป้องกันความผิดพลาดและตรวจสอบให้แน่ใจว่าตนส่งเงินไปยัง address ที่ถูกต้อง
อย่างไรก็ตาม กิจกรรมดังกล่าวกลับไปกระตุ้นสคริปต์อัตโนมัติที่ควบคุมโดยผู้โจมตี ซึ่งได้สร้าง address wallet ปลอมขึ้นมาในทันที
address ปลอมนี้ถูกออกแบบให้ตรงกับ address ของผู้รับที่ตั้งใจไว้ทั้งส่วนต้นและท้ายของชุดตัวอักษร ส่วนที่แตกต่างจะแทรกไว้ในตัวอักษรตรงกลาง ทำให้ตรวจจับการหลอกลวงได้ยากเมื่อมองผ่านๆ
จากนั้นผู้โจมตีได้ส่งเหรียญคริปโตจำนวนเล็กน้อยจาก address ปลอมดังกล่าวเข้าสู่ wallet ของเหยื่อ
Sponsored Sponsoredธุรกรรมนี้ทำให้ address ปลอมปรากฏอยู่ในประวัติการทำธุรกรรมล่าสุดของเหยื่อ ซึ่งอินเทอร์เฟซของ wallet ส่วนใหญ่มักแสดง address เพียงบางส่วน
ทั้งนี้ ด้วยความเคยชินต่อรูปแบบการแสดงผลดังกล่าว เหยื่อจึงคัดลอก address จากประวัติธุรกรรมโดยไม่ตรวจสอบชุดตัวอักษรทั้งหมด ส่งผลให้โอน USDT จำนวน 49,999,950 USD ไปยังผู้โจมตีโดยตรง แทนที่จะเป็น wallet ส่วนตัวของตนอย่างปลอดภัย
เมื่อได้รับเงินแล้ว ผู้โจมตีที่ประสงค์ร้าย ได้ดำเนินการอย่างรวดเร็วเพื่อลดความเสี่ยงถูกยึดสินทรัพย์ โดยจากข้อมูลบันทึกธุรกรรมบนเครือข่าย พบว่าผู้โจมตีได้แลกเปลี่ยน USDT ซึ่งผู้ออกสามารถสั่งระงับ เป็น stablecoin DAI ทันทีผ่าน MetaMask Swap
จากนั้นผู้โจมตีได้แปลงเงินดังกล่าวเป็น ETH ประมาณ 16,680 เหรียญ
Sponsored Sponsoredเพื่อซ่อนเส้นทางธุรกรรมให้ยากยิ่งขึ้น ผู้โจมตีจึงได้ฝาก ETH เข้า Tornado Cash ซึ่งเป็นบริการ mixing แบบกระจายศูนย์ที่ออกแบบมาเพื่อตัดความเชื่อมโยงระหว่าง address ที่โอนและที่รับ
เหยื่อเสนอรางวัล USD 1 ล้าน
ในการพยายามกู้คืนสินทรัพย์ ผู้เสียหายได้ส่งข้อความบนเชนโดยเสนอเงินรางวัล white-hat มูลค่า 1 ล้าน USD เพื่อแลกกับเงินที่ถูกขโมยคืน 98%.
Sponsoredพวกเราได้ดำเนินการยื่นฟ้องคดีอาญาอย่างเป็นทางการแล้ว โดยได้รับความช่วยเหลือจากเจ้าหน้าที่บังคับใช้กฎหมาย หน่วยงานด้านความปลอดภัยไซเบอร์ และหลายโปรโตคอลบล็อกเชน พวกเราได้รวบรวมข้อมูลข่าวกรองที่สำคัญและสามารถดำเนินการเกี่ยวกับกิจกรรมของคุณแล้ว, ข้อความระบุไว้.
ข้อความยังเตือนด้วยว่าผู้เสียหายจะดำเนินการทางกฎหมายอย่างไม่ลดละ หากผู้โจมตีไม่ปฏิบัติตามภายใน 48 ชั่วโมง.
หากคุณไม่ปฏิบัติตาม: พวกเราจะยกระดับเรื่องนี้ผ่านช่องทางกฎหมายและหน่วยงานบังคับใช้กฎหมายระหว่างประเทศ ตัวตนของคุณจะถูกเปิดเผยและส่งมอบให้หน่วยงานที่เกี่ยวข้อง พวกเราจะดำเนินคดีอาญาและแพ่งโดยไม่ลดละจนกว่าจะได้รับความยุติธรรมอย่างเต็มที่ นี่ไม่ใช่คำร้องขอ คุณได้รับโอกาสสุดท้ายแล้วในการหลีกเลี่ยงผลลัพธ์ที่ไม่อาจย้อนกลับได้, ผู้เสียหายระบุ.
เหตุการณ์นี้แสดงให้เห็นถึงช่องโหว่ที่ยังคงอยู่เกี่ยวกับวิธีที่กระเป๋าเงินดิจิทัลแสดงข้อมูลธุรกรรม และวิธีที่ผู้โจมตีใช้ประโยชน์จากพฤติกรรมผู้ใช้แทนที่จะเป็นข้อบกพร่องในโค้ดบล็อกเชนด้วยเช่นกัน.
ในขณะเดียวกัน นักวิเคราะห์ด้านความปลอดภัยได้เตือนซ้ำแล้วซ้ำเล่าว่าการที่ผู้ให้บริการกระเป๋าเงินย่อสตริงที่อยู่ให้สั้นลงเพื่อความสะดวกและการออกแบบ ส่งผลให้เกิดความเสี่ยงอย่างต่อเนื่อง.
หากปัญหานี้ไม่ได้รับการแก้ไข พวกผู้โจมตีอาจยังคงใช้ประโยชน์จากแนวโน้มของผู้ใช้ที่ตรวจสอบแค่ตัวอักษรต้นและท้ายของที่อยู่เท่านั้น.
