MetaMask cảnh báo về một loại hình lừa đảo mới, đánh vào sự chủ quan của người dùng qua thao tác đơn giản là sao chép địa chỉ ví.
Vào ngày 12/01, MetaMask đã phát một cảnh báo về một hình thức đánh cắp tài sản mới có tên “đầu độc địa chỉ”, trong đó trình bày về cách kẻ lừa đảo đã lợi dụng sự vội vàng và bất cẩn người dùng khi chuyển tiền mà sao chép nhầm địa chỉ ví.
Địa chỉ ví là các số thập lục phân dài và rất khó nhớ. Nó thường được rút ngắn và chỉ hiển thị một vài ký tự đầu tiên và cuối cùng. Các nhà cung cấp ví hiện nay, bao gồm MetaMask có tính năng “sao chép địa chỉ” thông qua một cú đúp chuột. Và đây cũng chính là “điểm yếu chí mạng” được kẻ tấn công nhắm đến.
Một vụ đánh cắp tài sản bằng phương thức “đầu độc địa chỉ” sẽ diễn ra như sau:
MetaMask, nền tảng ví được báo cáo các sự cố đầu độc địa chỉ, đã phát cảnh báo sau hơn 2 tháng một người dùng Twitter bắt đầu cung cấp thông tin về loại hình lừa đảo mới này. Do đó, nhiều người chỉ trích MetaMask đã quá chậm trễ trong việc thông báo sự việc.
Trong cảnh báo, MetaMask nhắc nhở người dùng:
Ứng dụng ví MetaMask vấp phải phản ứng dữ dội của cộng đồng sau khi cập nhật chính sách lưu giữ dữ liệu vào cuối năm ngoái. Theo đó, ConsenSys, đơn vị đứng sau MetaMask, sẽ thu thập dữ liệu IP và địa chỉ ví MetaMask của người dùng. Song, công ty nhanh chóng điều chỉnh và cho biết sẽ chỉ lưu dữ liệu trong 7 ngày.
Vào ngày 12/01, MetaMask đã phát một cảnh báo về một hình thức đánh cắp tài sản mới có tên “đầu độc địa chỉ”, trong đó trình bày về cách kẻ lừa đảo đã lợi dụng sự vội vàng và bất cẩn người dùng khi chuyển tiền mà sao chép nhầm địa chỉ ví.
Địa chỉ ví là các số thập lục phân dài và rất khó nhớ. Nó thường được rút ngắn và chỉ hiển thị một vài ký tự đầu tiên và cuối cùng. Các nhà cung cấp ví hiện nay, bao gồm MetaMask có tính năng “sao chép địa chỉ” thông qua một cú đúp chuột. Và đây cũng chính là “điểm yếu chí mạng” được kẻ tấn công nhắm đến.
Một vụ đánh cắp tài sản bằng phương thức “đầu độc địa chỉ” sẽ diễn ra như sau:
- Người dùng A thực hiện các giao dịch thông thường cho Người dùng B, kẻ tấn công C biết được thông qua dữ liệu giao dịch on-chain.
- Sau đó, kẻ tấn công C sử dụng trình tạo địa chỉ để tạo ra địa chỉ gần giống (khớp ký tự đầu và cuối) với địa chỉ người dùng B.
- Tiếp đến kẻ tấn công C sẽ thực hiện giao dịch $0 giữa địa chỉ người dùng A và địa chỉ của mình. Điều này dẫn tên gọi vụ việc là “đầu độc địa chỉ”, vì lúc này địa chỉ C sẽ được lưu vào bộ đệm người dùng A, tạo ra niềm tin đó chính là địa chỉ B vì các ký tự đầu cuối tương tự.
- Người dùng A trong vô thức, không để ý có thể sao chép nhầm địa chỉ và dẫn đến chuyển tiền cho kẻ tấn công C.
MetaMask, nền tảng ví được báo cáo các sự cố đầu độc địa chỉ, đã phát cảnh báo sau hơn 2 tháng một người dùng Twitter bắt đầu cung cấp thông tin về loại hình lừa đảo mới này. Do đó, nhiều người chỉ trích MetaMask đã quá chậm trễ trong việc thông báo sự việc.
Trong cảnh báo, MetaMask nhắc nhở người dùng:
Ngoài ra, một số phương pháp phòng vệ khác như không sử dụng lịch sử giao dịch để sao chép địa chỉ, đưa vào whitelist các địa chỉ thường giao dịch, đồng thời sử dụng các giao dịch thử nghiệm, đặc biệt là khi cần chuyển số tiền lớn.“Hãy phát triển thói quen kiểm tra kỹ lưỡng từng ký tự của địa chỉ trước khi bạn xác nhận giao dịch. Đây là cách duy nhất để hoàn toàn chắc chắn rằng bạn đang gửi đến đúng địa chỉ.”
Ứng dụng ví MetaMask vấp phải phản ứng dữ dội của cộng đồng sau khi cập nhật chính sách lưu giữ dữ liệu vào cuối năm ngoái. Theo đó, ConsenSys, đơn vị đứng sau MetaMask, sẽ thu thập dữ liệu IP và địa chỉ ví MetaMask của người dùng. Song, công ty nhanh chóng điều chỉnh và cho biết sẽ chỉ lưu dữ liệu trong 7 ngày.