Người dùng Ethereum mất 440.358 USDC sau khi bị khai thác lỗ hổng Permit độc hại

Nguồn: CryptoNewsNet Tiêu đề gốc: Người dùng Ethereum mất $440,358 USDC do khai thác chữ ký permit độc hại Liên kết gốc:

Một người dùng crypto đã mất $440,358 bằng USD Coin (USDC) trên Ethereum sau khi vô tình phê duyệt một chữ ký “permit” giả mạo, cho phép kẻ tấn công rút hết ví của họ, theo xác nhận từ nền tảng bảo mật Web3 Scam Sniffer.

Nạn nhân sử dụng địa chỉ ví 0x67E8561Ba9d3f4CBe5fEd4C12c95b54f073a0605 đã phê duyệt một giao dịch độc hại, trao toàn quyền chi tiêu cho kẻ tấn công. Scam Sniffer phát hiện số tiền đã được chuyển đến hai địa chỉ được gắn nhãn là 0xbb4…666f682aF và 0x6a3aF6…d8F9a00B.

Kẻ lừa đảo phishing ký chuyển $440K USDC từ nạn nhân

Theo dữ liệu blockchain từ Etherscan, kẻ tấn công đã dựa vào một giao dịch “permit” - loại chữ ký cho phép chuyển token mà không cần chủ sở hữu xác nhận thủ công. Dù không có tiền di chuyển ngay lúc ký, kẻ tấn công có thể điền số tiền sau và rút mà không cần sự đồng ý nào thêm; trong trường hợp này, số tiền $440,358 đã được rút.

Sau khi được phê duyệt, kẻ tấn công đã thực hiện nhiều lệnh “transferFrom” thông qua hợp đồng FiatTokenProxy, hợp đồng xử lý giao dịch USDC. Khoảng 10 giờ sáng UTC thứ Hai, 22,000 USDC đã được gửi đến một tài khoản “Fake Phishing”, $66.06K đến địa chỉ 0xbb4223Ef4cCe93fB40beb62178aBE9A666f682aF, và $352.3K đến 0x6a3aF6Cb51D52F32D2A0A6716a8EFF99d8F9a00B cùng lúc.

Scam Sniffer cũng báo cáo một sự kiện phishing khác vào ngày 7 tháng 11, khi một người dùng khác mất $1.22 triệu USDC và một token PlaUSDT0 chỉ 30 phút sau khi ký các thông điệp permit giả mạo.

Báo cáo phishing tháng 11 của công ty bảo mật Web3 này cho thấy tổng thiệt hại đã lên tới $7.77 triệu, tăng 1137% so với $3.28 triệu của tháng 10. Dù tổng thiệt hại tăng mạnh, số nạn nhân lại giảm 42%, khi tháng 11 ghi nhận 6,344 người bị ảnh hưởng, giảm 42% so với 10,935 nạn nhân trong tháng trước.

Gần một tuần trước, một số hacker đã sử dụng “đầu độc địa chỉ” (address poisoning) để lấy cắp 1.1 triệu USDT trên Ethereum. Theo CIO Kyle Soska của Ramiel Capital, nhóm này giám sát các giao dịch chuyển tiền nhỏ ra ngoài từ ví cá mập rồi dùng hệ thống GPU để tạo các địa chỉ gần giống nhau.

“Kẻ tấn công trong trường hợp này gửi một giao dịch tether rất nhỏ cho nạn nhân trên chuỗi, khiến địa chỉ giả mạo xuất hiện trong danh sách hoạt động gần đây của ví web3 của nạn nhân. Sau đó, nạn nhân vô tình chọn địa chỉ này để chuyển số tiền lớn,” Soska giải thích.

Mùa mua sắm lễ hội tràn ngập các vụ lừa đảo giả mạo

Sự gia tăng các vụ phishing liên quan đến crypto diễn ra sau khi số lượng lừa đảo kỹ thuật số tăng vọt trong mùa mua sắm dịp lễ. Darktrace, công ty an ninh mạng theo dõi xu hướng phishing toàn cầu với người tiêu dùng, báo cáo các vụ lừa đảo “giả mạo” các nhà bán lẻ lớn tại Mỹ đã tăng 201% trong tuần trước Lễ Tạ ơn, so với cùng tuần tháng 10.

Email giả mạo Macy’s, Walmart và Target tăng 54% chỉ trong một tuần, nhưng Amazon là công ty bị giả mạo nhiều nhất, chiếm 80% các vụ phishing, vượt xa các thương hiệu số như Apple, Alibaba và Netflix.

Chỉ riêng đầu tháng 11, Kaspersky đã phát hiện 146,535 email spam nhắc đến các chương trình giảm giá theo mùa, trong đó có 2,572 liên quan đến chiến dịch Ngày Độc Thân. Nhiều thông điệp trong số này tái sử dụng các mẫu đã được kiểm chứng từ các năm trước, khi kẻ lừa đảo giả mạo Amazon, Walmart và Alibaba để quảng cáo ưu đãi tiếp cận sớm, chuyển hướng người dùng đến trang thanh toán giả để đánh cắp thông tin đăng nhập và thực hiện các phê duyệt độc hại.

Dữ liệu từ Kaspersky Security Network (KSN) cho thấy từ tháng 1 đến tháng 10, công ty đã chặn 6,394,854 vụ tấn công phishing nhắm tới cửa hàng trực tuyến, ngân hàng và hệ thống thanh toán. Gần một nửa số này, 48.2%, nhắm trực tiếp vào người mua sắm trực tuyến.

Trong cùng thời gian, Kaspersky xác định hơn 20 triệu cuộc tấn công nhằm vào nền tảng game, bao gồm 18.56 triệu vụ lợi dụng Discord, mà theo công ty đây là điểm phân phối file độc hại ngụy trang dưới dạng phần mềm game.

Các nền tảng giải trí cũng bị nhắm tới mạnh mẽ, với 801,148 vụ phishing lấy chủ đề Netflix và 576,873 vụ liên quan tới Spotify được ghi nhận trong năm 2025. Công ty cũng thống kê 2,054,336 vụ phishing giả mạo các nền tảng game Steam, PlayStation và Xbox.

Ngoài ra, Kaspersky ghi nhận 20,188,897 vụ cố gắng lây nhiễm malware ngụy trang dưới dạng “phần mềm phổ biến”, với Discord chiếm đa số với 18,556,566 lượt phát hiện, cao gấp hơn 14 lần so với các vụ việc được ghi nhận năm ngoái.