MarginATM logo
MarginATM
SETTINGS
Content language
flag Vietnamese
Vietnamese
flag Vietnamese
Vietnamese
Tiếng việt
flag English
English
English
Channel logo
MarginATM
Save
Copy link

Đại biểu MakerDAO mất 11 triệu USD do bị tấn công phishing

Khi hacker online đang ngày càng tinh vi, người dùng cần làm gì để tránh bị mất tiền?
Hunt
Published Jun 24 2024
Updated Jun 24 2024
4 min read
đại biểu maker dao bị tấn công phishing

Vào ngày 23/06, một đại biểu quản trị của dự án MakerDAO đã mất 11 triệu USD dưới dạng token AAVE Ethereum Maker (aEthMKR) và Pendle USDe trong một vụ lừa đảo phishing.

Địa chỉ gửi “0xfb94d3404c1d3d9d6f08f79e58041d5ea95accfa” đã chuyển 3,657 token aEthMKR tới địa chỉ nhận “0x739772254924a57428272f429bd55f30eb36bb96” và giao dịch này được xác nhận trong vòng 11 giây.

Chỉ trong vòng 11 giây, địa chỉ ví này đã hoàn toàn mất trắng 11 triệu USD.

địa chỉ ví nạn nhân
Địa chỉ ví của nạn nhân. Nguồn: Scam Sniffer

Hiện tại chưa có thông tin chính xác về việc tại sao người này lại mất tiền, khả năng cao là do chủ địa chỉ ví đã vào nhầm link voting DAO giả mạo, qua đó cho phép hacker chiếm đoạt số tiền.

Thông thường, các chủ sở hữu token MakerDAO (MKR) và các đại biểu sẽ bỏ phiếu để quyết định các đề xuất. Quá trình này bắt đầu từ các cuộc thăm dò ý kiến ban đầu và tiến tới các cuộc bỏ phiếu điều hành cuối cùng. 

Nếu một đề xuất được chấp thuận, nó sẽ được triển khai vào giao thức Maker sau một thời gian chờ đợi, được gọi là Governance Security Module (GSM). Trong đó, GSM là một biện pháp an ninh nhằm ngăn chặn sự thay đổi đột ngột đối với giao thức.

Tấn công phishing là một trò lừa đảo tiền điện tử, nơi các nạn nhân bị lừa ký các giao dịch cho phép kẻ lừa đảo truy cập vào ví của họ và rút tiền.

Đa số người dùng bị dính phishing đều tới từ các trang web giả mạo dự án, link claim airdrop cũng như là dự án bị hack front-end. Qua đó khiến cho kẻ hack có thể thay đổi link approve contract và điều hướng người dùng đến địa chỉ có chứa bot rút tiền.

link claim airdrop giả mạo
Ví dụ về link claim airdrop giả mạo
advertising

Ví dụ về một cách lừa đảo phishing tinh vi nhằm giả mạo trang web chính chủ của dự án như trên, hầu như rất khó phát hiện nếu như người dùng không để ý. Chỉ bằng một thay đổi nhỏ trong username, các tên lừa đảo đã có thể tạo một profile hầu như tương đồng với dự án chính chủ.

số tiền bị phishing 2024
Số tiền bị phishing trong năm 2024 lên tới 295 triệu USD

Theo báo cáo của Scam Sniffer được công bố đầu năm 2024, các vụ lừa đảo phishing đã rút 295 triệu USD từ 324,000 người dùng chỉ trong năm 2023.

mã độc rút tiền
Các mã độc rút tiền nổi tiếng nhất. Nguồn: Scam Sniffer

Một số ít các mã độc rút tiền đã thống trị thị trường bất hợp pháp này trong năm 2023, với Inferno Drainer là phần mềm được sử dụng nhiều nhất. Inferno Drainer đã đánh cắp 81 triệu USD từ 134,000 nạn nhân kể từ tháng 03/2024.

Ngoài việc tạo ra link giả mạo để lừa đảo, có rất nhiều cách để hacker rút tiền của bạn như sim swap (trích xuất thông tin từ sim điện thoại), quảng cáo trên Google và X, Discord…

cách phishing thông dụng nhất
Các cách phishing thông dụng nhất được hacker sử dụng. Nguồn: Scam Sniffer

Thị trường crypto hiện phải đối mặt với rất nhiều hacker và kẻ cắp trực tuyến từ mọi nền tảng, bao gồm cả mạng xã hội X, trang web dự án và các dApp. Người dùng nên thận trọng trước khi ký bất kỳ giao dịch nào trên các dApp khả nghi, kiểm tra kỹ số dư và đường link dự án để xác nhận tính hợp lệ.

Ngoài ra, người dùng có thể bảo vệ tài sản của mình bằng cách sử dụng các ví có chức năng chống phishing như Rabby, giúp tăng cường an ninh khi tương tác với các dApp.

Đọc thêm: Thợ đào bán tháo hơn 2 tỷ USD Bitcoin, giá BTC về mốc 63,000 USD

RELEVANT SERIES