Vụ hack kinh hoàng của ông chủ Arrow Air và bài học để đời trong crypto
Crypto dường như đã trở thành "mảnh đất màu mỡ", "miếng mồi ngon" cho những kẻ săn mồi luôn luôn rình rập và nhắm tới. Số lượng các vụ hack trong không gian này cũng ngày một nhiều hơn và đó có lẽ cũng là những bài học cảnh tỉnh cho những ai đã, đang, sẽ tham gia vào lĩnh vực này.
Mới đây, một vụ hack chấn động với hình thức hết sức tinh vi đã xảy ra với người sáng lập của Arrow Air - Thomasg. Arrow Air được biết đến là một công ty chuyên phát triển máy bay mã nguồn mở VTOL và taxi bay không người lái. Vụ hack nhanh chóng thu hút được sự chú ý của cộng đồng crypto qua lời kể lại của chính nhân vật này.
Thomasg và câu chuyện về cuộc tấn công mạo danh kỳ lạ
Đó là một ngày đẹp trời cách đây khoảng 2 tuần trước, Heckshine - một kẻ mạo danh với tư cách là nhân viên của “ông lớn” làng game Ubisoft đã liên hệ với Thomasg và mong muốn được ứng tuyển vào công ty ông. Anh ta đã nhanh chóng chiếm lấy được sự chú ý của Thomasg khi kể về Linh - một người bạn của mình với niềm đam mê về VTOL và là nhà phát triển dự án Metaverse có tên Space Falcon.
Đồng thời cô cũng là người có mối quan hệ mật thiết với Phó chủ tịch của Boeing, một công ty có tiếng về lĩnh vực sản xuất máy bay. Sau đó Heckshine và Linh đã dễ dàng trở thành cánh tay đắc lực của Thomasg trong Arrow với các vị trí như cố vấn công ty, nhà lãnh đạo dự án mới dù chỉ thông qua những cuộc trò chuyện ngắn ngủi trên Discord.
Mọi chuyện không dừng lại ở đó khi Linh nỗ lực lôi kéo ông chủ Arrow tham gia vào dự án Space Falcon của mình. Hai kẻ lừa đảo liên tục lợi dụng niềm tin của Thomasg bằng cách vẽ ra những dự án vô cùng tiềm năng và yêu cầu gửi NFT thử nghiệm vào ví của ông cùng dòng hướng dẫn sử dụng staking app.
Song điều kỳ lạ đã xảy ra khi số NFT không được gửi vào ví phụ mà Thomasg đã cung cấp cho cô, mà thay vào đó là địa chỉ ví chính. Tuy có chút nghi vấn nhưng ông vẫn thực hiện staking khi nhận được 3 thông báo bao gồm phê duyệt NFT, phê duyệt ETH được bọc bởi Armstrong và chức năng staking.
Sự việc tiếp diễn theo chiều hướng đáng ngờ hơn khi Linh tiếp tục đề nghị gửi cho Thomasg một trong những NFT khác ngay sau đó. Tuy nhiên, với mối lo ngại của mình, Thomasg đã nhanh chóng sử dụng etherscan để tìm địa chỉ ví nơi anh đã staking NFT đầu tiên và mọi chuyện kinh hoàng được phát hiện ra từ đây.
Số aWETH mà ông chấp thuận không phải là ETH được bọc bởi Armstrong dưới hình thức NFT mà là aWETH từ Aave trong tài khoản của mình. Các điều khoản phê duyệt trong hợp đồng được gửi đến chỉ yêu cầu sử dụng aWETH dù token này không liên quan đến NFT mà ông nhận về. Đây cũng là tài sản có giá trị lớn nhất trong ví chính của Thomasg, có giá trị lên đến 123 triệu đô.
Những kẻ mạo danh đã lấy tên Heckshine để xây dựng các hợp đồng tùy chỉnh. Còn đối với dự án Space Falcon, hacker đã đổi tên miền từ “spacefalcon. io” sang thành đuôi “.com.” để thực hiện cuộc lừa đảo này. Thomasg đã vô cùng hoảng loạn chính ông trở thành nạn nhân của vụ hack có tổ chức này. Song may mắn thay, nhờ tính đề cao cảnh giác của mình mà ông đã bảo vệ được số tài sản khổng lồ trong ví của mình.
Bài học đắt giá cho những ai tham gia vào crypto
Vụ hack chấn động được thực hiện bởi hai kẻ mạo danh trên cũng chính là lời cảnh tỉnh và đem đến bài học đáng giá cho những ai tham gia vào không gian crypto.
Bảo mật thông tin cá nhân trên mạng xã hội
Một trong những bài học đắt giá nhất từ vụ việc này đó chính là không nên để lộ thông tin cá nhân quan trọng của mỗi người trên các nền tảng truyền thông xã hội. Đặc biệt là các chi tiết liên quan đến những tài sản có giá trị nên được lưu trữ cẩn thận, không được giao cho người khác để tránh gặp phải chuyện đáng tiếc.
Vụ hack xảy ra với Thomasg bởi ông đã dùng tên địa chỉ ví “thomasg.eth” để đặt làm tên tài khoản Twitter của mình. Nếu sử dụng chính cái tên này, kẻ lừa đảo có thể dễ dàng tìm ra địa chỉ ví và biết được Thomasg đang nắm giữ một lượng aWETH lên đến 123 triệu đô.
Hơn nữa, việc Thomasg là một trong những KOLs có tiếng trong lĩnh vực sản xuất máy bay càng khiến những kẻ xấu có ý định tấn công số tài sản tiền điện tử khổng lồ mà ông sở hữu. Hình thức xảy ra của các vụ scam ngày càng tinh vi hơn, đó không còn đơn thuần chỉ là những dòng tin nhắn lừa đảo được gửi qua email.
Cuộc tấn công nhắm vào Thomasg do một tổ chức lừa đảo thực hiện, chúng đã mạo danh những nhân vật có tiếng và xây dựng trang web giả một cách công phu, kỹ lưỡng để nỗ lực đánh cắp tài sản của ông. Như vậy, cuộc tấn công này là một vụ hack đích danh.
Đọc kỹ điều khoản hợp đồng giao dịch trước khi chấp thuận
Việc đọc cẩn thận các điều khoản trước khi chấp nhận giao dịch cũng là một trong những điều cần lưu ý đối với những ai đang tham gia vào lĩnh vực này. Các điều khoản có thể yêu cầu giới hạn token hoặc không, dẫn đến việc người dùng rất dễ nhầm lẫn trong thao tác này nếu không cân nhắc kỹ.
Đặc biệt, trong trường hợp của Thomasg, hacker thậm chí đã yêu cầu sử dụng token có giá trị lớn nhất trong tài khoản của ông với âm mưu chiếm đoạt toàn bộ chúng. Đây cũng là một bài học đáng nhớ cho tất cả các nhà giao dịch.
Sử dụng ví lưu trữ coin và giao dịch thế nào để an toàn?
Một trong những điều có thể rút ra được từ sự việc trên đó là không nên lưu trữ coin/token trong cùng ví để thực hiện các giao dịch. Nếu như Thomasg không cẩn thận kiểm tra giao dịch trên etherscan, có thể ông sẽ mất trắng số tài sản trong ví chính của mình. Việc phân chia ví lưu trữ coin và ví giao dịch riêng sẽ giúp người dùng quản lý tài sản tiền điện tử một cách an toàn khi kết nối với các dapp trong quá trình giao dịch.
Nếu không may ví phụ dùng để giao dịch bị hack thì cũng sẽ không ảnh hưởng lớn đến toàn bộ số tiền mà bạn sở hữu. Đây có lẽ là một trong những cách thức bảo vệ tài sản trong lĩnh vực crypto luôn đầy rẫy nguy cơ bị hacker tấn công.
Câu chuyện của nhà sáng lập Arrow Air như là hồi chuông báo động cho những ai còn chủ quan với việc bảo mật thông tin cá nhân và lơ là trong quá trình giao dịch. Hy vọng bài viết có thể mang đến cho bạn đọc những bài học ý nghĩa khi tham gia vào crypto nhé!
Đọc thêm: Bitcoin “đánh bại” các cổ phiếu công nghệ trong tháng qua, động lực nhờ đâu?