MetaMask cảnh báo về hình thức lừa đảo mới “độc hại địa chỉ”

MetaMask cảnh báo về một loại hình lừa đảo mới, tận dụng sự chủ quan của người dùng thông qua việc sao chép địa chỉ ví.

Vào ngày 12/01, MetaMask đã phát một cảnh báo về một hình thức mới có tên “độc hại địa chỉ”, trong đó kể về cách kẻ lừa đảo đã tận dụng sự vội vã và không cẩn thận của người dùng khi chuyển tiền và sao chép nhầm địa chỉ ví.

Địa chỉ ví thường là các chuỗi số thập lục phân dài và khó nhớ. Thông thường, chỉ một số ký tự đầu và cuối được hiển thị. Các nhà cung cấp ví như MetaMask hiện có tính năng “sao chép địa chỉ” thông qua một cú nhấp chuột. Điều này cũng là điểm yếu mà kẻ tấn công nhắm đến.

Một vụ đánh cắp tài sản bằng phương thức “độc hại địa chỉ” sẽ diễn ra như sau:

1. Người dùng A thực hiện các giao dịch thông thường cho Người dùng B, kẻ tấn công C biết được thông qua dữ liệu giao dịch on-chain.
2. Sau đó, kẻ tấn công C sử dụng trình tạo địa chỉ để tạo ra địa chỉ gần giống (khớp ký tự đầu và cuối) với địa chỉ người dùng B.
3. Tiếp đến kẻ tấn công C sẽ thực hiện giao dịch $0 giữa địa chỉ người dùng A và địa chỉ của mình. Điều này dẫn tên gọi vụ việc là “độc hại địa chỉ”, vì lúc này địa chỉ C sẽ được lưu vào bộ đệm người dùng A, tạo ra niềm tin đó chính là địa chỉ B vì các ký tự đầu cuối tương tự.
4. Người dùng A trong vô thức, không để ý có thể sao chép nhầm địa chỉ và dẫn đến chuyển tiền cho kẻ tấn công C.

Hình thức lừa đảo được đánh giá là “khá vô hại” so với các loại lừa đảo truyền thống khác, khi tin tặc tìm cách tấn công vào một hệ thống bảo mật, hay lừa đảo để lấy được private key của người dùng.

MetaMask, nền tảng ví được báo cáo các sự cố độc hại địa chỉ, đã phát cảnh báo sau hơn 2 tháng một người dùng Twitter bắt đầu cung cấp thông tin về loại hình lừa đảo mới này. Do đó, nhiều người chỉ trích MetaMask đã quá chậm trễ trong việc thông báo sự việc.

Trong cảnh báo, MetaMask nhắc nhở người dùng:

“Hãy tỉ mỉ kiểm tra từng ký tự của địa chỉ trước khi xác nhận giao dịch. Đây là cách duy nhất để đảm bảo rằng bạn đang gửi đến đúng địa chỉ.”

Ngoài ra, có một số biện pháp phòng ngừa khác như không sao chép địa chỉ từ lịch sử giao dịch, whitelist các địa chỉ thường xuyên giao dịch, và sử dụng giao dịch thử nghiệm, đặc biệt là khi chuyển số tiền lớn.

Ứng dụng ví MetaMask đã gây ra sự phản đối mạnh mẽ từ cộng đồng sau khi thay đổi chính sách lưu trữ dữ liệu vào cuối năm ngoái. Theo đó, ConsenSys, công ty phát triển MetaMask, đã đề xuất thu thập dữ liệu IP và địa chỉ ví MetaMask của người dùng. Tuy nhiên, sau đó họ đã điều chỉnh quy định và chỉ lưu trữ dữ liệu trong vòng 7 ngày.

Mytour