Tấn công xã hội nhắm vào người dùng Tài sản tiền điện tử, thiệt hại trên 100 triệu USD
Trong những năm gần đây, các cuộc tấn công kỹ thuật xã hội trong lĩnh vực Tài sản tiền điện tử đã trở thành một mối đe dọa nghiêm trọng đối với an toàn tài sản của người dùng. Kể từ năm 2025, các sự kiện lừa đảo kỹ thuật xã hội nhằm vào người dùng của một nền tảng giao dịch nổi tiếng đã diễn ra thường xuyên, thu hút sự chú ý rộng rãi trong ngành. Từ các cuộc thảo luận trong cộng đồng, có thể thấy rằng những sự kiện này không phải là trường hợp cá biệt, mà là một loại lừa đảo có tổ chức, liên tục.
Vào ngày 15 tháng 5, nền tảng này đã phát hành thông báo xác nhận những nghi ngờ trước đó về việc rò rỉ dữ liệu nội bộ. Bộ Tư pháp Hoa Kỳ đã bắt đầu điều tra sự việc này. Bài viết sẽ tiết lộ các phương pháp chính của kẻ lừa đảo dựa trên thông tin từ nhiều nhà nghiên cứu bảo mật và nạn nhân, và thảo luận về các biện pháp ứng phó từ cả góc độ của nền tảng và người dùng.
Phân tích lịch sử
Kẻ điều tra trên chuỗi Zach cho biết trong cập nhật vào ngày 7 tháng 5 rằng chỉ trong tuần qua đã có hơn 45 triệu USD bị đánh cắp từ người dùng của nền tảng này do lừa đảo kỹ thuật xã hội. Trong năm qua, Zach đã nhiều lần tiết lộ các sự kiện trộm cắp liên quan, trong đó một số nạn nhân thiệt hại lên đến hàng chục triệu USD.
Cuộc điều tra chi tiết của Zach vào tháng 2 năm 2025 cho thấy, chỉ trong khoảng thời gian từ tháng 12 năm 2024 đến tháng 1 năm 2025, khoản thiệt hại tài chính do các trò lừa đảo này đã vượt quá 65 triệu USD. Ông chỉ ra rằng, các cuộc tấn công này đang gây tổn hại đến an toàn tài sản của người dùng với quy mô 300 triệu USD mỗi năm. Các băng nhóm đứng sau những trò lừa đảo này chủ yếu được chia thành hai loại: một loại là những kẻ tấn công cấp thấp đến từ một số nhóm, loại còn lại là các tổ chức tội phạm mạng có trụ sở tại Ấn Độ.
Các băng nhóm lừa đảo chủ yếu nhắm vào người dùng Mỹ, phương pháp gây án của họ đã được tiêu chuẩn hóa và quy trình trò chuyện đã trưởng thành. Số tiền thiệt hại thực tế có thể cao hơn nhiều so với thống kê có thể thấy trên chuỗi, vì không bao gồm thông tin chưa công khai như đơn hỗ trợ khách hàng không thể lấy được và hồ sơ báo án của cảnh sát.
Thủ đoạn lừa đảo
Trong sự kiện này, hệ thống kỹ thuật của nền tảng không bị tấn công. Kẻ lừa đảo đã lợi dụng quyền hạn của nhân viên nội bộ để lấy được một phần thông tin nhạy cảm của người dùng, bao gồm tên, địa chỉ, thông tin liên lạc, dữ liệu tài khoản, hình ảnh chứng minh thư, v.v. Mục tiêu cuối cùng của kẻ lừa đảo là sử dụng các phương pháp kỹ thuật xã hội để dụ dỗ người dùng chuyển tiền.
Loại tấn công này đã thay đổi phương thức lừa đảo truyền thống "rải lưới", chuyển sang "tấn công chính xác", được coi là lừa đảo xã hội "được thiết kế riêng". Đường đi của vụ án điển hình như sau:
Liên hệ với người dùng với tư cách là "dịch vụ khách hàng chính thức"
Hướng dẫn người dùng tải ví chính thức
Dẫn dụ người dùng sử dụng cụm từ ghi nhớ do kẻ lừa đảo cung cấp
Kẻ lừa đảo thực hiện việc trộm cắp tài sản
Kẻ lừa đảo sử dụng hệ thống điện thoại giả mạo để giả mạo dịch vụ khách hàng, tuyên bố rằng tài khoản của người dùng "đã gặp phải đăng nhập trái phép" hoặc "phát hiện có sự bất thường trong việc rút tiền", tạo ra bầu không khí khẩn cấp. Sau đó, họ gửi email hoặc tin nhắn lừa đảo giống thật, bao gồm số hiệu công việc giả mạo hoặc liên kết "quy trình phục hồi". Những liên kết này có thể dẫn đến giao diện nền tảng bị clone, thậm chí có thể gửi email có vẻ như đến từ tên miền chính thức.
Kẻ lừa đảo sẽ lấy lý do "bảo vệ tài sản" để hướng dẫn người dùng chuyển tiền đến "ví an toàn", hỗ trợ cài đặt ví chính thức và chuyển tài sản được quản lý vào ví mới được tạo. Khác với việc "lừa đảo bằng cách lấy cụm từ gợi nhớ" truyền thống, kẻ lừa đảo trực tiếp cung cấp một nhóm cụm từ gợi nhớ do họ tự tạo ra, dụ dỗ người dùng sử dụng nó như "ví mới chính thức".
Nạn nhân trong trạng thái căng thẳng, lo âu và tin tưởng vào "dịch vụ khách hàng" rất dễ rơi vào bẫy. Khi tiền được chuyển vào ví mới này, kẻ lừa đảo có thể ngay lập tức chuyển đi.
Theo @NanoBaiter, những cuộc tấn công này thường được lên kế hoạch và thực hiện một cách có tổ chức:
Chuỗi công cụ lừa đảo hoàn thiện: Sử dụng hệ thống PBX để giả mạo số điện thoại gọi đến, nhờ vào robot Telegram giả mạo hộp thư điện tử chính thức.
Mục tiêu chính xác: Dựa vào dữ liệu người dùng bị đánh cắp để xác định mục tiêu, thậm chí sử dụng AI để xử lý dữ liệu.
Quy trình lừa đảo liên tục: Từ điện thoại, tin nhắn đến email, con đường gian lận liền mạch.
Phân tích trên chuỗi
Phân tích một số địa chỉ của kẻ lừa đảo, phát hiện ra rằng những kẻ lừa đảo này có khả năng thao tác trên chuỗi khá mạnh.
Mục tiêu tấn công bao phủ nhiều tài sản, thời gian hoạt động tập trung từ tháng 12 năm 2024 đến tháng 5 năm 2025.
Tài sản mục tiêu chủ yếu là BTC và ETH, lợi nhuận đơn lẻ có thể đạt hàng triệu đô la.
Sau khi có được vốn, nhanh chóng sử dụng một quy trình rửa tiền để thực hiện việc trao đổi và chuyển giao.
Tài sản tiền điện tử loại ETH thường được trao đổi nhanh chóng thành stablecoin qua DEX, sau đó được chuyển giao phân tán.
BTC chủ yếu được chuyển qua cầu nối chuỗi sang Ethereum, sau đó đổi thành tài sản tiền điện tử ổn định.
Nhiều địa chỉ lừa đảo vẫn ở trạng thái "tĩnh" sau khi nhận được tài sản tiền điện tử.
Đề nghị người dùng sử dụng hệ thống chống rửa tiền và theo dõi trên chuỗi để kiểm tra rủi ro của địa chỉ mục tiêu trước khi giao dịch, nhằm tránh các mối đe dọa tiềm ẩn.
Biện pháp ứng phó
nền tảng
Đề nghị nền tảng tích hợp giáo dục người dùng, đào tạo an toàn, thiết kế khả năng sử dụng, xây dựng "rào cản an toàn hướng tới con người":
Định kỳ gửi nội dung giáo dục chống lừa đảo
Tối ưu hóa mô hình quản lý rủi ro, giới thiệu "nhận diện hành vi bất thường tương tác"
Quy định kênh dịch vụ khách hàng và cơ chế xác minh
Người dùng
Thực hiện chính sách cách ly danh tính
Kích hoạt danh sách trắng chuyển khoản và cơ chế làm mát rút tiền
Tiếp tục theo dõi thông tin an ninh
Chú ý đến rủi ro ngoại tuyến và bảo vệ quyền riêng tư
Giữ sự hoài nghi, tiếp tục xác minh. Khi liên quan đến các hoạt động khẩn cấp, nhất định yêu cầu đối phương tự chứng minh danh tính và xác minh độc lập qua các kênh chính thức, tránh đưa ra quyết định không thể đảo ngược dưới áp lực.
Tóm tắt
Sự kiện này lại một lần nữa phơi bày những điểm yếu của ngành trong việc bảo vệ dữ liệu và tài sản của khách hàng. Nền tảng nên xây dựng một "hệ thống phòng ngừa xã hội" một cách hệ thống, bao gồm cả nhân viên nội bộ và dịch vụ bên ngoài, đưa rủi ro con người vào chiến lược an toàn tổng thể.
Khi phát hiện có mối đe dọa liên tục có tổ chức và quy mô, nền tảng cần phản ứng nhanh chóng, chủ động kiểm tra lỗ hổng, nhắc nhở người dùng phòng ngừa và kiểm soát phạm vi thiệt hại. Chỉ khi ứng phó ở cả cấp độ kỹ thuật và tổ chức, mới có thể giữ vững niềm tin và giới hạn trong một môi trường an ninh phức tạp.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
9 thích
Phần thưởng
9
6
Chia sẻ
Bình luận
0/400
MEVHunterNoLoss
· 07-29 22:47
怪不得我 lệnh chờ 秒消失...bẫy!
Xem bản gốcTrả lời0
fomo_fighter
· 07-29 09:50
Năm 2025? Đề nghị sửa lại thời gian trước.
Xem bản gốcTrả lời0
LiquidationSurvivor
· 07-29 02:52
Ngay cả cuộc gọi của mẹ cũng không thể tin được.
Xem bản gốcTrả lời0
faded_wojak.eth
· 07-29 02:48
Làm gì cũng phải cẩn thận nhé
Xem bản gốcTrả lời0
OffchainOracle
· 07-29 02:46
Hì hì, còn ai tin vào dịch vụ khách hàng nữa?
Xem bản gốcTrả lời0
UnluckyLemur
· 07-29 02:45
Ai mà chịu nổi chứ, các em nhỏ phải sáng mắt lên nhé.
Lừa đảo xã hội lan rộng trên nền tảng giao dịch mã hóa, thiệt hại hàng năm lên tới 300 triệu đô la.
Tấn công xã hội nhắm vào người dùng Tài sản tiền điện tử, thiệt hại trên 100 triệu USD
Trong những năm gần đây, các cuộc tấn công kỹ thuật xã hội trong lĩnh vực Tài sản tiền điện tử đã trở thành một mối đe dọa nghiêm trọng đối với an toàn tài sản của người dùng. Kể từ năm 2025, các sự kiện lừa đảo kỹ thuật xã hội nhằm vào người dùng của một nền tảng giao dịch nổi tiếng đã diễn ra thường xuyên, thu hút sự chú ý rộng rãi trong ngành. Từ các cuộc thảo luận trong cộng đồng, có thể thấy rằng những sự kiện này không phải là trường hợp cá biệt, mà là một loại lừa đảo có tổ chức, liên tục.
Vào ngày 15 tháng 5, nền tảng này đã phát hành thông báo xác nhận những nghi ngờ trước đó về việc rò rỉ dữ liệu nội bộ. Bộ Tư pháp Hoa Kỳ đã bắt đầu điều tra sự việc này. Bài viết sẽ tiết lộ các phương pháp chính của kẻ lừa đảo dựa trên thông tin từ nhiều nhà nghiên cứu bảo mật và nạn nhân, và thảo luận về các biện pháp ứng phó từ cả góc độ của nền tảng và người dùng.
Phân tích lịch sử
Kẻ điều tra trên chuỗi Zach cho biết trong cập nhật vào ngày 7 tháng 5 rằng chỉ trong tuần qua đã có hơn 45 triệu USD bị đánh cắp từ người dùng của nền tảng này do lừa đảo kỹ thuật xã hội. Trong năm qua, Zach đã nhiều lần tiết lộ các sự kiện trộm cắp liên quan, trong đó một số nạn nhân thiệt hại lên đến hàng chục triệu USD.
Cuộc điều tra chi tiết của Zach vào tháng 2 năm 2025 cho thấy, chỉ trong khoảng thời gian từ tháng 12 năm 2024 đến tháng 1 năm 2025, khoản thiệt hại tài chính do các trò lừa đảo này đã vượt quá 65 triệu USD. Ông chỉ ra rằng, các cuộc tấn công này đang gây tổn hại đến an toàn tài sản của người dùng với quy mô 300 triệu USD mỗi năm. Các băng nhóm đứng sau những trò lừa đảo này chủ yếu được chia thành hai loại: một loại là những kẻ tấn công cấp thấp đến từ một số nhóm, loại còn lại là các tổ chức tội phạm mạng có trụ sở tại Ấn Độ.
Các băng nhóm lừa đảo chủ yếu nhắm vào người dùng Mỹ, phương pháp gây án của họ đã được tiêu chuẩn hóa và quy trình trò chuyện đã trưởng thành. Số tiền thiệt hại thực tế có thể cao hơn nhiều so với thống kê có thể thấy trên chuỗi, vì không bao gồm thông tin chưa công khai như đơn hỗ trợ khách hàng không thể lấy được và hồ sơ báo án của cảnh sát.
Thủ đoạn lừa đảo
Trong sự kiện này, hệ thống kỹ thuật của nền tảng không bị tấn công. Kẻ lừa đảo đã lợi dụng quyền hạn của nhân viên nội bộ để lấy được một phần thông tin nhạy cảm của người dùng, bao gồm tên, địa chỉ, thông tin liên lạc, dữ liệu tài khoản, hình ảnh chứng minh thư, v.v. Mục tiêu cuối cùng của kẻ lừa đảo là sử dụng các phương pháp kỹ thuật xã hội để dụ dỗ người dùng chuyển tiền.
Loại tấn công này đã thay đổi phương thức lừa đảo truyền thống "rải lưới", chuyển sang "tấn công chính xác", được coi là lừa đảo xã hội "được thiết kế riêng". Đường đi của vụ án điển hình như sau:
Kẻ lừa đảo sử dụng hệ thống điện thoại giả mạo để giả mạo dịch vụ khách hàng, tuyên bố rằng tài khoản của người dùng "đã gặp phải đăng nhập trái phép" hoặc "phát hiện có sự bất thường trong việc rút tiền", tạo ra bầu không khí khẩn cấp. Sau đó, họ gửi email hoặc tin nhắn lừa đảo giống thật, bao gồm số hiệu công việc giả mạo hoặc liên kết "quy trình phục hồi". Những liên kết này có thể dẫn đến giao diện nền tảng bị clone, thậm chí có thể gửi email có vẻ như đến từ tên miền chính thức.
Kẻ lừa đảo sẽ lấy lý do "bảo vệ tài sản" để hướng dẫn người dùng chuyển tiền đến "ví an toàn", hỗ trợ cài đặt ví chính thức và chuyển tài sản được quản lý vào ví mới được tạo. Khác với việc "lừa đảo bằng cách lấy cụm từ gợi nhớ" truyền thống, kẻ lừa đảo trực tiếp cung cấp một nhóm cụm từ gợi nhớ do họ tự tạo ra, dụ dỗ người dùng sử dụng nó như "ví mới chính thức".
Nạn nhân trong trạng thái căng thẳng, lo âu và tin tưởng vào "dịch vụ khách hàng" rất dễ rơi vào bẫy. Khi tiền được chuyển vào ví mới này, kẻ lừa đảo có thể ngay lập tức chuyển đi.
Theo @NanoBaiter, những cuộc tấn công này thường được lên kế hoạch và thực hiện một cách có tổ chức:
Phân tích trên chuỗi
Phân tích một số địa chỉ của kẻ lừa đảo, phát hiện ra rằng những kẻ lừa đảo này có khả năng thao tác trên chuỗi khá mạnh.
Đề nghị người dùng sử dụng hệ thống chống rửa tiền và theo dõi trên chuỗi để kiểm tra rủi ro của địa chỉ mục tiêu trước khi giao dịch, nhằm tránh các mối đe dọa tiềm ẩn.
Biện pháp ứng phó
nền tảng
Đề nghị nền tảng tích hợp giáo dục người dùng, đào tạo an toàn, thiết kế khả năng sử dụng, xây dựng "rào cản an toàn hướng tới con người":
Người dùng
Giữ sự hoài nghi, tiếp tục xác minh. Khi liên quan đến các hoạt động khẩn cấp, nhất định yêu cầu đối phương tự chứng minh danh tính và xác minh độc lập qua các kênh chính thức, tránh đưa ra quyết định không thể đảo ngược dưới áp lực.
Tóm tắt
Sự kiện này lại một lần nữa phơi bày những điểm yếu của ngành trong việc bảo vệ dữ liệu và tài sản của khách hàng. Nền tảng nên xây dựng một "hệ thống phòng ngừa xã hội" một cách hệ thống, bao gồm cả nhân viên nội bộ và dịch vụ bên ngoài, đưa rủi ro con người vào chiến lược an toàn tổng thể.
Khi phát hiện có mối đe dọa liên tục có tổ chức và quy mô, nền tảng cần phản ứng nhanh chóng, chủ động kiểm tra lỗ hổng, nhắc nhở người dùng phòng ngừa và kiểm soát phạm vi thiệt hại. Chỉ khi ứng phó ở cả cấp độ kỹ thuật và tổ chức, mới có thể giữ vững niềm tin và giới hạn trong một môi trường an ninh phức tạp.