Trust Wallet phản hồi “mập mờ” về vụ hack gây thiệt hại 4 triệu USD
Tối ngày 08/02, ví crypto Trust Wallet thông báo đã có một vụ tấn công diễn ra trên nền tảng trong tuần qua, với thiệt hại ước tính vào khoảng 4 triệu USD.
Trust Wallet cho biết một tổ chức tội phạm có tổ chức từ Rome, Ý, đã sử dụng các phương pháp kỹ thuật xã hội để đánh cắp USDC trị giá 4 triệu đô la từ Ví Trust thuộc công ty khởi nghiệp Web 3 Webaverse.
Công ty Metaverse bị lừa chuyển 4 triệu đô la từ ví Multi-Sig Trust
Theo nhà cung cấp ví, tên tội phạm đã thuyết phục nạn nhân chuyển tiền từ ví Trust multi-sig sang ví Trust single. Ví đa chữ ký yêu cầu nhiều hơn một khóa riêng để ký giao dịch.
Trước khi nạn nhân chuyển tiền, tên tội phạm đã đưa cho họ một phiên bản điện tử của thỏa thuận không tiết lộ và thông tin KYC giả mạo. Trust Wallet nghi ngờ rằng NDA giả có chứa phần mềm độc hại để đánh cắp tiền.
Sau khi nạn nhân chuyển tiền, bọn tội phạm đã chụp ảnh chiếc ví để “xác nhận” việc chuyển tiền. Sau đó, anh ta biến mất cùng với tiền mã hoá của nạn nhân.
Điều khiến người đồng sáng lập Webaverse Ahad Shams bối rối là cách kẻ lừa đảo lấy cắp tiền mà không cần đến private key. của Trust Wallet. Một người dùng Twitter cho rằng kẻ lừa đảo có thể đã truy cập vào số tiền thông qua mã QR trên màn hình, mã này chưa được xác nhận.
Các cuộc điều tra sau đó cho thấy số tiền bị đánh cắp đã được gởi đến sáu địa chỉ. Kẻ lừa đảo đã chuyển đổi USDC thành ETH, Wrapped Bitcoin và USDT, đồng thời gửi chúng đến 14 địa chỉ, từ đó chúng được gửi đến 4 địa chỉ khác. Hiện tại, một địa chỉ nắm giữ 83% số tiền mã hoá bị đánh cắp.
Trust Wallet cho biết các nạn nhân của trò lừa đảo này nên báo cáo vụ việc cho cơ quan thực thi pháp luật. Điều này có thể ngăn kẻ lừa đảo rút tiền bằng cách sử dụng tiền pháp định on-ramp. Công ty cũng cảnh báo không nên sử dụng các điểm truy cập WiFi công cộng khi đi du lịch nước ngoài hoặc nhập thông tin đăng nhập qua kết nối HTTP không an toàn.
Để trấn an người dùng, nhà cung cấp ví khẳng định tiện ích mở rộng ứng dụng (app extension) dành cho thiết bị di động của mình đã được audit bảo mật kỹ lưỡng bởi các đơn vị nội bộ và bên ngoài.
Trust khuyến nghị cộng đồng nên báo cáo với các cơ quan thực thi pháp luật và tư vấn cho người dùng về cách đề phòng. Song nền tảng chỉ đề nghị người dùng liên hệ mình khi cần hỗ trợ chứ không đưa ra phương án ứng cứu rõ ràng cho vụ hack. Trước phản hồi có phần chậm trễ và nước đôi từ phía Trust, nhiều người dùng vẫn chưa thỏa lòng và liên tục đặt vấn đề lại.
Sau thông tin trên, TWT không biến động quá dữ dội. Giá token này chỉ giảm gần 5% trong 24 giờ qua cùng với đà giảm của thị trường chung và hiện giao dịch quanh mốc 1,54 USD.
Các vụ hack tương tự vào năm 2021
Trước sự cố Webaverse, khách hàng của các nhà cung cấp ví khác đã báo cáo ít nhất hai sự cố tương tự ở Milan và Barcelona, Tây Ban Nha.
Nghệ sĩ NFT sáng tạo và doanh nhân Jacob Riglin, người có tài khoản Twitter là @jacobriglin, đã bị một công ty bất động sản trông có vẻ hợp pháp đánh cắp số tiền mã hoá trị giá 90.000 đô la của mình khi đang ở nước ngoài tại Barcelona. Theo @jacobriglin, anh ấy đã hẹn gặp ba người tại một nhà hàng sau khi trao đổi email về việc bán một số NFT của anh ấy. Trong email, đại diện của công ty bất động sản bị cáo buộc cho biết @jacobriglin phải trả cho họ một khoản hoa hồng ngay khi anh ta nhận được khoản thanh toán cho NFT.
Trong khi trò chuyện về vấn đề hoa hồng tại nhà hàng, bộ ba đã yêu cầu @jacobriglin chứng minh rằng anh ấy có đủ tiền để trả cho họ. Tương tự như trường hợp của Shams, @jacobriglin đã mở ví và phát hiện ra bọn tội phạm đã lấy trộm tiền của mình.
Mặc dù anh ấy không biết liệu bộ ba có sử dụng WiFi để lấy cắp tiền hay không, nhưng anh ấy nghi ngờ rằng họ đã làm điều này trước đây do hành vi trộm cắp rất tinh vi.
Vào năm 2022, nạn nhân người Mỹ của các vụ romance scams đã mất 185 triệu đô la Mỹ. Romance scams là các cuộc tấn công kỹ thuật xã hội nhắm vào các nạn nhân đang tìm kiếm bạn đồng hành trên mạng xã hội và các ứng dụng hẹn hò.
Sau khi xây dựng mối quan hệ trực tuyến với nạn nhân, những kẻ lừa đảo thường yêu cầu họ gửi tiền mã hoá đến một địa chỉ cụ thể trước khi chặn nạn nhân và biến mất.
Coinvn tổng hợp