F2Pool liên doanh thử nghiệm bảo mật Khóa riêng! 500 đồng Bitcoin bị hack lấy đi 490 đồng.

Vào ngày 21 tháng 12, Wang Chun, đồng sáng lập của F2Pool (Hồ cá), một trong những hồ khai thác Bitcoin lớn nhất thế giới, đã tiết lộ trên X về trải nghiệm đáng kinh ngạc khi bị đánh cắp 500 BTC. Nguyên nhân là do sự kiện “cuộc tấn công lừa đảo 50 triệu USDT” đang được cộng đồng bàn tán sôi nổi, Wang Chun đã trích dẫn thông điệp trên chuỗi mà nạn nhân gửi cho hacker và tự trào, hacker thể hiện rất “hào phóng”, chỉ lấy đi 490 đồng, còn để lại cho anh 10 Bitcoin làm tiền sinh hoạt.

5000 triệu USDT tấn công lừa đảo

（Nguồn: Vương Thuần）

Sự kiện này dẫn đến việc Vương Thuần tự phơi bày, bản thân nó là một thảm họa an ninh trị giá 50 triệu USD. Gần đây, một cá voi/ tổ chức đã rút 50 triệu USDT từ Binance, trước tiên “kiểm tra” bằng cách chuyển 50 USDT đến địa chỉ dự kiến nhận tiền. Kết quả, kẻ tấn công nhanh chóng tạo ra một địa chỉ tương tự với 3 chữ số đầu và cuối giống nhau, và chuyển vào cho nạn nhân 0.005 USDT token bụi.

Nạn nhân trong quá trình chuyển khoản chính thức, nghi ngờ đã sao chép địa chỉ trực tiếp từ lịch sử giao dịch gần đây, dẫn đến việc 50 triệu USDT bị chuyển hoàn toàn vào địa chỉ tương tự của kẻ tấn công. Phương pháp tấn công này được gọi là “Đầu độc địa chỉ” (Address Poisoning), lợi dụng thói quen sao chép địa chỉ từ lịch sử giao dịch của người dùng, cài đặt địa chỉ tương tự để dụ chuyển nhầm.

Sau khi sự kiện tấn công xảy ra, nạn nhân đã gửi thông điệp trên chuỗi đến hacker: “Chúng tôi đã chính thức khởi kiện. Với sự hỗ trợ của các cơ quan thực thi pháp luật, các tổ chức an ninh mạng và nhiều giao thức blockchain, chúng tôi đã thu thập được nhiều thông tin cụ thể và có giá trị về hoạt động của bạn. Địa chỉ ví mà bạn kiểm soát hiện đang bị giám sát 24/7. Đây là cơ hội cuối cùng để bạn giải quyết vấn đề này một cách hòa bình. Bạn được yêu cầu trong vòng 48 giờ, hoàn trả 98% tài sản bị đánh cắp, bạn có thể giữ lại 1,000,000 USD như là “tiền thưởng báo lỗ hổng”.”

Chiến lược đàm phán “trước lễ sau binh” này rất phổ biến trong giới tiền điện tử. Nạn nhân thường cố gắng thương lượng với kẻ tấn công trước, cung cấp phần thưởng cho hacker trắng để đổi lấy việc trả lại tài sản, vì việc lấy lại tiền điện tử bị đánh cắp là rất khó khăn. Nếu kẻ tấn công từ chối, thì sẽ theo dõi qua cơ quan thực thi pháp luật và các công ty phân tích blockchain, nhưng tỷ lệ thành công vẫn rất thấp.

Chiến thuật ba giai đoạn của tấn công tiêm nhiễm địa chỉ

Giai đoạn đầu tiên, tạo địa chỉ tương tự: Kẻ tấn công sử dụng công cụ để tạo ra địa chỉ có một số ký tự đầu và cuối giống với địa chỉ mục tiêu, có hình thức cực kỳ tương tự.

Giai đoạn thứ hai, gửi token bụi: Gửi một số lượng rất nhỏ (ví dụ 0.005 USDT) đến địa chỉ nạn nhân, để các địa chỉ tương tự xuất hiện trong hồ sơ giao dịch.

Giai đoạn thứ ba, dẫn dụ chuyển nhầm: Nạn nhân khi sao chép địa chỉ từ lịch sử giao dịch có thể sao chép nhầm địa chỉ tương tự, dẫn đến việc số tiền lớn chuyển vào ví của kẻ tấn công.

Phương pháp phòng thủ chống lại loại tấn công này rất đơn giản: kiểm tra kỹ địa chỉ đầy đủ mỗi lần chuyển khoản, thay vì chỉ nhìn vào vài ký tự đầu và cuối. Tuy nhiên, sự lười biếng và thói quen của con người khiến cho loại sai sót đơn giản này xảy ra lặp đi lặp lại. Khi số tiền chuyển khoản lên tới 50 triệu USD, cái giá của sự cẩu thả này thật thảm khốc.

Vương Thuần 500 đồng BTC thử nghiệm logic vô lý

Ngay khi cộng đồng tiếc nuối cho 50 triệu USDT nạn nhân, sự tự thú của Wang Chun, đồng sáng lập F2Pool, đã khiến mọi người hoàn toàn sốc. “Năm ngoái, tôi nghi ngờ rằng khóa riêng của mình đã bị rò rỉ. Để xác nhận xem địa chỉ đó có thực sự bị tổn hại về an toàn hay không, tôi đã chuyển vào 500 đồng Bitcoin.” Sự phi lý của hành động này nằm ở chỗ: Rõ ràng nghi ngờ khóa riêng bị rò rỉ, người bình thường nên ngay lập tức ngừng sử dụng địa chỉ đó và chuyển tất cả tài sản, nhưng Wang Chun lại thực hiện một hành động ngược lại, chủ động chuyển vào số tiền lớn để “kiểm tra”.

Logic này tương tự như: nghi ngờ khóa cửa nhà hỏng, thay vì nhanh chóng sửa khóa, lại để một đống tiền mặt ở nhà để xem có bị trộm không. Nếu thực sự bị trộm, không chỉ xác nhận rằng khóa đã hỏng, mà còn mất mát tài sản. Phương pháp kiểm tra của Vương Thuần trong mắt các chuyên gia an ninh hoàn toàn không thể hiểu nổi, vì nó biến nghi ngờ thành xác định, biến tổn thất tiềm năng thành tổn thất thực tế.

Điều khiến tôi ngạc nhiên là tên hacker đã thể hiện sự “hào phóng” đáng kể, chỉ lấy đi 490 đồng, còn để lại cho tôi 10 đồng Bitcoin làm phí sinh hoạt. Giọng điệu châm biếm của Vương Thuần thực sự khiến người ta phải ngạc nhiên. 490 đồng Bitcoin vào thời điểm đó (tháng 2 năm 2024) có giá trị khoảng 24,5 triệu USD, còn 10 đồng khoảng 500.000 USD. Đối với người bình thường, 500.000 USD đủ để thay đổi vận mệnh, nhưng trong miệng Vương Thuần chỉ là “phí sinh hoạt”.

Đối với địa chỉ hacker do Vương Thuần cung cấp 14H12PpQNzrS1y1ipjF4mPuVgQEpgfGA79, sau khi theo dõi lịch sử ghi chép, phát hiện vào ngày 12 tháng 2 năm 2024,确实 có liên quan đến ghi chép chuyển khoản xảy ra. Điều này xác nhận rằng những gì Vương Thuần nói không phải là ảo, đây không phải là một câu chuyện bịa đặt, mà là một tổn thất lớn thực sự xảy ra. Tuy nhiên, bản thân Vương Thuần không có thêm giải thích nào về vấn đề này, không tiết lộ cách nghi ngờ khóa cá nhân bị rò rỉ, cũng không cho biết có báo cáo theo dõi hay không, càng không giải thích lý do tại sao lại chọn phương pháp thử nghiệm vô lý như vậy.

Thế giới của người giàu và những bài học đau thương về an toàn khóa riêng

Wang Chunyun nhẹ nhàng tự bộc bạch, khiến tất cả mọi người trong cộng đồng cảm thán “Thế giới của người giàu thực sự không phải là điều mà người bình thường có thể đồng cảm được”. F2Pool, một trong những Pool khai thác Bitcoin lớn nhất thế giới, đúng là sự giàu có mà những người bình thường không thể tưởng tượng nổi. Nhưng thái độ “mất 25 triệu USD vẫn có thể cười nói vui vẻ” này, đối với nhà đầu tư bình thường vừa là điều ghen tị vừa là lời cảnh tỉnh.

Điều khiến người ta ghen tị là cảnh giới tự do tài chính. Khi bạn có tài sản vượt xa nhu cầu sống, thì việc mất 25 triệu USD dù đau lòng nhưng không chết người. Vương Thuần có thể bình tĩnh như vậy cho thấy tổng tài sản của anh có thể lên tới hàng trăm triệu USD, việc mất 490 BTC chỉ là một phần nhỏ trong tài sản của anh. Sự tự do tài chính này cho phép anh chịu đựng những rủi ro và tổn thất mà người thường không thể tưởng tượng.

Cảnh báo về sự tàn khốc của an toàn khóa riêng. “Not your keys, not your coins” (khóa riêng không ở trong tay thì coin không thuộc về bạn) là quy tắc sắt của giới tiền điện tử. Một khi khóa riêng bị lộ, bất kể bạn là tỷ phú hay nhà đầu tư bình thường, tài sản của bạn sẽ ngay lập tức về số 0. Điều đáng sợ hơn là việc chuyển tiền điện tử là không thể đảo ngược, không có ngân hàng nào có thể đóng băng, không có tòa án nào có thể lấy lại, và việc truy hồi gần như là không thể sau khi hacker đã lấy đi.

Trường hợp của Vương Thuần đã tiết lộ một số bài học quan trọng. Đầu tiên, khi nghi ngờ rằng khóa riêng đã bị rò rỉ, cách làm đúng là ngay lập tức ngừng sử dụng địa chỉ đó và chuyển tài sản sang địa chỉ mới, thay vì chuyển vào thử nghiệm số tiền lớn. Thứ hai, việc quản lý khóa riêng phải áp dụng các biện pháp an ninh như ký đa chữ ký, ví cứng, tách lạnh-nóng, rủi ro của khóa riêng đơn lẻ là quá cao. Thứ ba, ngay cả những chuyên gia hàng đầu trong ngành như F2Pool cũng có thể mắc phải những sai lầm chết người trong vấn đề an ninh, không ai có thể chủ quan.

Đối với các nhà đầu tư thông thường, câu chuyện này cung cấp bài học cực kỳ quý giá nhưng có giá cao. Nếu nghi ngờ rằng khóa riêng đã bị rò rỉ, bạn nên ngay lập tức: ngừng sử dụng địa chỉ đó, chuyển tài sản sang địa chỉ mới (sau khi thử nghiệm số tiền nhỏ trước khi chuyển số tiền lớn), kiểm tra tất cả các khả năng rò rỉ (virus máy tính, trang web lừa đảo, kỹ thuật xã hội), xem xét báo cáo và tìm kiếm sự trợ giúp từ các công ty an ninh chuyên nghiệp. Tuyệt đối đừng giống như Vương Thuần, chủ động chuyển vào số tiền lớn để “thử nghiệm”, vì bạn có thể không có khả năng tài chính như anh ấy để chịu đựng tổn thất.

Hành động “hào phóng” để lại 10 BTC của hacker cũng đáng được phân tích. Đây có thể là chiến thuật tâm lý của hacker: việc hoàn toàn làm sạch có thể khiến nạn nhân tức giận và truy đuổi không tiếc bất cứ giá nào, nhưng việc để lại một chút “tiền sinh hoạt” có thể khiến nạn nhân chọn cách chấp nhận. Đối với Vương Thuần, người sở hữu tài sản hàng trăm triệu, việc mất 490 đồng dù đau lòng nhưng không đáng để tiêu tốn nhiều thời gian và công sức để truy đuổi. Hacker đã nắm bắt chính xác tâm lý này, vừa lấy đi phần lớn tài sản, vừa giảm thiểu nguy cơ bị truy đuổi mạnh mẽ.

Sự kiện này tương phản với cuộc tấn công lừa đảo 50 triệu USDT. Trường hợp trước là do nạn nhân vô tình sao chép sai địa chỉ, trong khi trường hợp sau là nạn nhân biết rõ rủi ro nhưng vẫn chủ động chuyển tiền. Điểm chung của cả hai là: sai sót của con người là nguyên nhân lớn nhất dẫn đến tổn thất tài sản tiền điện tử, vượt xa việc sàn giao dịch bị hack hoặc lỗ hổng hợp đồng thông minh. Dù công nghệ có tiên tiến đến đâu, cũng không thể phòng ngừa sự lơ đãng và tâm lý may rủi của con người.

Đối với ngành công nghiệp tiền mã hóa, những trường hợp này cảnh báo tất cả các bên tham gia: an toàn khóa riêng là điều cơ bản sống còn. Dù bạn là nhà đầu tư nhỏ nắm giữ 0.1 BTC hay là cá voi nắm giữ 500 BTC, một khi khóa riêng bị rò rỉ hoặc chuyển sai địa chỉ, hậu quả là không thể đảo ngược. Trong thế giới này “mã hóa là luật pháp”, không có thuốc hối hận nào để dùng, sự bảo vệ duy nhất là kiểm tra nhiều lần trước mỗi thao tác, nghi ngờ nhiều hơn một chút, và thận trọng hơn một tầng. Học phí 25 triệu USD của Vương Thuần đã mang đến cho toàn ngành một bài học an toàn đắt giá nhưng sâu sắc.