MetaMask đang cảnh báo người dùng về một trò lừa đảo tiền điện tử mới có tên là “address poisoning”. Tuy nhiên, tin tức này đến hơi muộn đối với một số nạn nhân.
MetaMask đã lên tiếng giải thích chi tiết về sự việc này. Theo MetaMask, ví tiền điện tử có thể bao gồm một hoặc nhiều ví, mỗi ví lại có địa chỉ được tạo bằng mật mã riêng. Tuy nhiên, những số thập lục phân dài này rất khó nhớ, đòi hỏi phải sử dụng thường xuyên thao tác sao chép và dán. Đây chính xác là những gì address poisoning cố gắng lợi dụng.
Địa chỉ ví MetaMask bị “address poisoning” như thế nào?
Thay vì một vụ hack tinh vi làm tổn hại đến cơ sở hạ tầng của giao thức, việc tiến hành address poisoning dễ dàng hơn vì dựa vào tâm lý con người và cơ chế của các giao dịch tiền điện tử. Kịch bản sau đây là một trường hợp điển hình.
Trong trường hợp này, người dùng A thực hiện các giao dịch thông thường cho người dùng B. Kẻ tấn công C sử dụng phần mềm để giám sát việc chuyển một số mã thông báo nhất định, ví dụ stablecoin. Sau đó, kẻ tấn công sẽ sử dụng trình tạo địa chỉ “ảo” để tạo địa chỉ. Công dụng của các phần mền này là tin tặc C được chọn thêm một vài ký tự vào địa chỉ ảo để khớp với địa chỉ người dùng B.
Sau đó, kẻ tấn công C sẽ thực hiện giao dịch 0 USD giữa địa chỉ người dùng A và địa chỉ tin tặc C. Điều này dẫn đến việc ‘nhiễm độc’ địa chỉ, vì địa chỉ C của tin tặc sẽ được lưu vào bộ đệm trên địa chỉ người dùng B từ địa chỉ người dùng A. Bởi vì, địa chỉ C của tin tặc sao chép cùng 4 chữ số đầu tiên và cuối cùng làm địa chỉ người dùng B, kẻ tấn công C hy vọng rằng người dùng A sẽ vô tình sử dụng địa chỉ của họ khi cố gắng giao dịch với người dùng B.
Nếu người dùng cẩn thận xem toàn bộ ký tự trong địa chỉ, họ có thể dễ dàng tránh được trò lừa đảo này. Tuy nhiên, thao tác kiểm tra này không dễ dàng với những người thiếu kiên nhẫn và bất cẩn.
MetaMask chậm cảnh báo người dùng
Một số người dùng thất vọng vì sự chậm trễ trong việc cập nhật và cảnh báo người dùng của giao thức này. “MetaMask cuối cùng đã thông tin về vụ tấn công address poisoning đã diễn ra hơn 2 tháng trước đó” Han Tuzun đã tweet. Bài đăng của anh ấy cung cấp một liên kết đến một bài báo giải thích về vụ lừa đảo với chi tiết kỹ lưỡng từ đầu tháng 12.
Tuzun còn cảnh báo người dùng về các trình tạo địa chỉ phù phiếm có thể tạo ra các địa chỉ gần giống hệt nhau nếu không kiểm tra kỹ. Người dùng Twitter này cũng quy trách nhiệm cho các nhà xây dựng cơ sở hạ tầng cảnh báo đầy đủ cho người dùng trong giao diện người dùng trước các cuộc tấn công như vậy.
Trở ngại mới nhất này đối với MetaMask xảy ra sau khi nó vấp phải phản ứng dữ dội của công chúng sau khi cập nhật chính sách lưu giữ dữ liệu. Công ty đã cập nhật chính sách bảo mật của mình vào cuối năm ngoái, dẫn đến các báo cáo rằng nó sẽ dẫn đến việc thu thập ví và địa chỉ IP của người dùng. Điều này nhanh chóng dẫn đến phản ứng gay gắt từ cộng đồng tiền điện tử, khiến nhà phát triển ConsenSys đăng một bài đăng vào ngày 06/12 để cố gắng trấn an người dùng.
Theo BeInCrypto