Tác giả: Frank, PANews

Trong khu rừng tối om của mã hóa, những kẻ hack đang nhắm mắt vào tài sản trên chuỗi khối, đợi thời điểm thích hợp để tấn công. Trong số nhiều nạn nhân của lừa đảo, cá voi mất 1155 bitcoins đã may mắn.

Do liên quan đến số tiền lớn, cộng đồng đã theo dõi gần "vụ án lừa đảo" này. Câu chuyện bắt đầu vào ngày 3 tháng 5 khi một người dùng cá voi trở thành nạn nhân của một cuộc tấn công lừa đảo tại cùng một địa chỉ chính, mất 1155 WBTC, trị giá khoảng 70 triệu đô la. Sau đó, kẻ hack đã đổi tất cả WBTC thành 22955 ETH và chuyển chúng đến hàng chục tài khoản. Vào ngày 4 tháng 5, nạn nhân bắt đầu gọi kẻ hack qua các tin nhắn trên chuỗi khối, yêu cầu họ để lại 10% và trả lại 90% còn lại. Ngoài ra, địa chỉ ETH của họ trở thành một không gian truyền thông trung tâm, với nhiều địa chỉ tham gia trong việc truy đuổi số tiền. Cho đến ngày 9 tháng 5, kẻ hack mới trả lời nạn nhân, yêu cầu họ để lại một tin nhắn Telegram, cho biết họ sẽ tiếp cận một cách chủ động.

Vào ngày 9 tháng 5, kẻ hack bắt đầu trả lại ETH cho nạn nhân, cuối cùng trả lại toàn bộ ETH. Liệu kẻ hack có bị áp lực buộc phải thực hiện hành động này, hay là lương tâm đã thúc đẩy họ? PANews đã rút ra một số hiểu biết từ truyền thông trên chuỗi khối.

Người Săn Tiền Thưởng Ngăn Chặn Kẻ Hack

Kể từ ngày 4 tháng 5, nạn nhân đã gọi kẻ hack nhiều lần, đề nghị trả cho họ 10% và khuyên họ rằng trong khi 7 triệu đô la chắc chắn sẽ cải thiện cuộc sống của họ, 70 triệu đô la sẽ không để họ ngủ ngon.

Thật không may, mặc dù đã gọi nhiều lần, nạn nhân không nhận được phản hồi từ kẻ hack. Dường như nạn nhân thiếu bằng chứng cụ thể để xác nhận danh tính thật sự của kẻ hack. Thậm chí mạng thông tin đe dọa từ SlowMist chỉ theo dõi hoạt động đến một trạm cơ sở di động tại Hồng Kông, không loại trừ khả năng sử dụng VPN. Do đó, kẻ hack vẫn không sợ hãi.

Cho đến ngày 7 tháng 5, một địa chỉ, 0x882c927f0743c8aBC093F7088901457A4b520000, nhắn tin cho nạn nhân, nói: "Xin chào, tôi là một trong những lập trình viên tại ChangeNow. Tôi có quyền truy cập vào cơ sở dữ liệu ChangeNow. Kẻ hack đã sử dụng nền tảng này nhiều lần. Tôi có thể rò rỉ tất cả dữ liệu của họ, nhưng tôi yêu cầu một phần thưởng là 100.000 đô la để trao đổi thông tin như địa chỉ IP và địa chỉ trao đổi nơi tiền được gửi. Tôi chỉ có thể cung cấp thông tin này; phần còn lại sẽ được xử lý bởi cơ quan liên hệ với các sàn giao dịch và thu thập dữ liệu cá nhân của kẻ hack, chẳng hạn như KYC liên quan đến địa chỉ và vị trí. Nếu bạn muốn theo đuổi vụ án này, vui lòng gửi một tin nhắn xác nhận."

Mặc dù nạn nhân không đáp lại yêu cầu thưởng của người săn tiền thưởng này, nhưng sau tin nhắn này, kẻ hack đột ngột trả lại 51 ETH cho nạn nhân và yêu cầu thêm tài khoản TG của nạn nhân.

Phân tích trên chuỗi khối của PANews đã cho thấy rằng một số tài khoản liên quan của kẻ hack thực sự tương tác với sàn giao dịch ChangeNow. Các quỹ trong địa chỉ của người săn tiền thưởng cũng đã được rút khỏi ChangeNow. Có lẽ là tin nhắn này đã khiến kẻ hack bị tổn thương, khiến họ cảnh giác với người thông báo không rõ danh tính này.

ChangeNow là một sàn giao dịch phổ biến trong số các kẻ hack, thường được sử dụng như một công cụ trộn do tính ẩn danh và miễn trừ yêu cầu KYC. Theo các phát hiện của PANews, nếu một kẻ hack đã sử dụng nền tảng này để trao đổi tiền tệ fiat, thì KYC thực sự sẽ cần thiết.

Tuy nhiên, dựa trên thông tin trên chuỗi khối và các tin nhắn để lại bởi người săn tiền thưởng, danh tính của họ là một nhân viên của ChangeNow không thể được xác nhận. Cuối cùng, từ dữ liệu trên chuỗi khối, dường như người săn tiền thưởng này vẫn chưa nhận được phần thưởng 100.000 đô la.

Nạn Nhân Thực Sự Hay Chủ Sở Hữu NFT Bored Ape

Vào ngày 5 tháng 5, người tiết lộ danh tính của người sáng lập PEPE và Pond Coin PAULY có thể đã giả vờ là nạn nhân mất token trên Twitter để lợi dụng sự chú ý từ vụ việc này. Tuy nhiên, phân tích của PANews đã cho thấy rằng PAULY không phải là nạn nhân thực sự.

Trở thành nạn nhân của sự cố này.

Dựa trên thông tin TG của nạn nhân để lại trên chuỗi khối, nó đã được liên kết trên Twitter với người dùng @BuiDuPh, được mô tả là một kỹ sư phần mềm đến từ Việt Nam. Người dùng này đã chia sẻ các báo cáo truyền thông về tiến triển của sự cố trên Twitter. PANews đã cố gắng liên hệ với người dùng này nhưng không nhận được phản hồi. Đến ngày 12 tháng 5, người dùng đã vô hiệu hóa tài khoản Twitter của họ và xóa tất cả nội dung liên quan. Tuy nhiên, nhìn vào hoạt động Twitter trước đó của người dùng, họ chỉ đã retweet một số nội dung liên quan sau sự cố và tiếp tục tham gia vào một lượng lớn duyệt web và tương tác với nội dung khác hàng ngày, không giống như một người đã mất 70 triệu đô la. Người dùng này có thể chỉ đơn giản là đang hỗ trợ các chủ sở hữu token trong xử lý sự cố.

Dựa trên theo dõi chuỗi khối của PANews, chủ sở hữu thực sự của các token bị mất trong sự cố này có thể là người dùng @nobody_vault, một người chơi NFT nổi tiếng và cựu chủ sở hữu lớn nhất của Bored Ape NFTs. Hiện tại, họ vẫn giữ 49 Bored Ape NFTs và trước đây đã đầu tư vào một dự án game blockchain Undeads. Dữ liệu chuỗi khối cho thấy có các giao dịch đáng kể giữa địa chỉ token bị mất và địa chỉ của nobody_vault.

Hacker Tiếp Tục Hoạt Động

Dựa trên thông tin chuỗi khối, rõ ràng hacker này đã thực hiện khoảng 25.000 giao dịch nhỏ thông qua các địa chỉ 0x8C642c4bB50bCafa0c867e1a8dd7C89203699a52 và 0xDCddc9287e59B5DF08d17148a078bD181313EAcC gần đây để lừa đảo. Dường như hacker không có ý định dừng lại, vì ngay cả sau khi trả lại 1155 WBTC cho nạn nhân, họ vẫn tiếp tục sử dụng phương pháp này để lừa đảo. Ngoài sự cố lừa đảo này, theo phân tích của SlowMist, hacker đã thu lợi vượt quá 1,27 triệu đô la thông qua phương pháp này gần đây.

Một người dùng khác, 0x09564aC9288eD66bD32E793E76ce4336C1a9eD00, để lại một tin nhắn trên chuỗi cho biết rằng hacker đã lừa đảo hơn 20 địa chỉ bằng cách này.

Tuy nhiên, khác với nạn nhân đã mất 1155 WBTC, những người dùng khác dường như ít may mắn hơn. Do số tiền nhỏ hơn, những nạn nhân lừa đảo quy mô nhỏ này không thu hút sự chú ý của công chúng. Sau khi trả lại tiền, hacker dường như đã trốn tránh mọi trách nhiệm pháp lý, tiếp tục hoạt động bất hợp pháp một cách tự do.

Đối với người dùng thông thường, sự cố này là một lời nhắc nhở để kiểm tra kỹ địa chỉ của họ trước khi thực hiện chuyển khoản.