SentinelLABS đã phơi bày một loạt các vụ tấn công mạng tiền điện tử tinh vi, trong đó các tác nhân đe dọa phân phối các hợp đồng thông minh độc hại giả dạng bot giao dịch tự động. Kết quả là hàng loạt ví người dùng đã bị rút cạn, với tổng thiệt hại vượt quá 900.000 USD. Đây là một cảnh báo nghiêm trọng về rủi ro trong không gian tài chính phi tập trung (DeFi) và nhu cầu cấp thiết về an toàn thông tin cho người dùng.

Tổng Quan về Các Chiến Dịch Lừa Đảo Hợp Đồng Thông Minh

Các vụ lừa đảo này khai thác mã Solidity bị che giấu, được triển khai trên các nền tảng phát triển như Remix Solidity Compiler. Chúng được thiết kế đặc biệt để nhắm mục tiêu vào các hệ sinh thái dựa trên Ethereum.

Các chiến dịch tấn công mạng này đã hoạt động tích cực từ đầu năm 2024. Kẻ tấn công sử dụng các tài khoản YouTube đã cũ, đôi khi không có hoạt động liên quan đến tiền điện tử trước đây, để phát tán video hướng dẫn. Các video này được dàn dựng để hướng dẫn nạn nhân từng bước triển khai các hợp đồng độc hại trên chuỗi khối.

Nhiều video được tạo bằng công nghệ AI, với giọng điệu không tự nhiên, lệch khớp môi và các yếu tố hình ảnh tĩnh. Điều này được thực hiện để tạo ra một vỏ bọc hợp pháp ban đầu. Kênh YouTube cũng quản lý các bình luận một cách chặt chẽ, loại bỏ phản hồi tiêu cực và chỉ hiển thị các lời chứng thực tích cực để củng cố niềm tin.

Các tác nhân duy trì độ tin cậy của các kênh này bằng cách đăng tải nội dung không liên quan đến lừa đảo, như danh sách phát tin tức tiền điện tử thông thường hoặc tổng hợp video giải trí. Mục đích là để tăng cường uy tín tài khoản theo thời gian và cải thiện xếp hạng thuật toán của YouTube, giúp video lừa đảo tiếp cận nhiều nạn nhân hơn.

Trong một trường hợp nổi bật, một video từ tài khoản @Jazz_Braze đã thu hút hơn 387.000 lượt xem và mang lại lợi nhuận cao nhất. Đáng chú ý, video này không có dấu hiệu AI rõ ràng, cho thấy sự kết hợp giữa phương pháp sản xuất của con người và tự động hóa nhằm né tránh các cơ chế phát hiện.

Chiến lược phân phối của các vụ tấn công mạng này bao gồm việc liên kết đến các trang web bên ngoài, nơi lưu trữ mã hợp đồng thông minh độc hại. Nạn nhân được hướng dẫn chi tiết cách nạp ít nhất 0.5 ETH vào hợp đồng đã triển khai, với lý do để chi trả phí gas và cho các hoạt động kinh doanh chênh lệch giá (arbitrage) được cho là có lợi nhuận cao.

Nạn nhân bị dụ dỗ bằng lời hứa về thu nhập thụ động đáng kể thông qua các bot MEV (Maximal Extractable Value). Các bot này được quảng cáo là có khả năng khai thác sự chênh lệch giá nhỏ giữa các sàn giao dịch phi tập trung (DEX) để tạo ra lợi nhuận đáng kể mà không cần sự can thiệp của người dùng.

Phân Tích Kỹ Thuật Hợp Đồng Thông Minh Độc Hại

Tuy nhiên, ngay sau khi triển khai và nạp tiền, hợp đồng sẽ tự động khởi tạo các chức năng như Start() hoặc StartNative(). Các chức năng này được thiết kế để làm lộ địa chỉ Ví Sở Hữu Bên Ngoài (EOA) của kẻ tấn công và chuyển hướng toàn bộ số tiền của nạn nhân đến địa chỉ đó.

Điều đáng lưu ý là ngay cả khi không có lời gọi rõ ràng từ nạn nhân, các hợp đồng này vẫn tích hợp các cơ chế dự phòng (failover mechanisms). Các cơ chế này cho phép kẻ tấn công tự động rút tài sản, đảm bảo tỷ lệ thành công cao cho các chiến dịch tấn công mạng này.

Kỹ thuật Che Giấu Địa Chỉ Ví (EOA)

Cốt lõi của các vụ lừa đảo này là các hợp đồng thông minh Solidity sử dụng kỹ thuật che giấu mã (code obfuscation) nâng cao để che giấu các EOA do kẻ tấn công kiểm soát. Điều này làm cho việc phân tích tĩnh (static analysis) và kiểm tra thủ công của nạn nhân trở nên cực kỳ khó khăn, giúp kẻ tấn công thực hiện hành vi đánh cắp dữ liệu một cách hiệu quả.

Các biến thể của kỹ thuật che giấu bao gồm:

• Thực hiện các phép toán XOR trên các hằng số 32 byte (ví dụ: các biến đại diện cho địa chỉ DexRouter và factory). Địa chỉ thực sẽ được suy ra thông qua các biểu thức phức tạp như address(uint160(uint256(a) ^ uint256(b))).
• Sử dụng phương pháp nối chuỗi các đoạn địa chỉ để tạo thành địa chỉ hoàn chỉnh, làm cho việc nhận diện trực tiếp trở nên khó khăn.
• Chuyển đổi các số thập phân 256-bit lớn sang kiểu uint160 để che giấu các địa chỉ Ethereum thực sự. Tất cả các kỹ thuật này đều nhằm mục đích làm mờ đi dấu vết và gây khó khăn cho việc truy tìm nguồn gốc của tiền.

Theo báo cáo chuyên sâu từ SentinelOne, một EOA lặp lại được phát hiện là 0x872528989c4D20349D0dB3Ca06751d83DC86D831. Địa chỉ này xuất hiện trong nhiều hợp đồng sử dụng kỹ thuật XOR và giao tiếp với các khai báo như DexInterface để tính toán địa chỉ router và tạo điều kiện chuyển tiền. Để có cái nhìn chi tiết hơn về các phương pháp che giấu và phân tích mã độc, bạn có thể tham khảo báo cáo gốc tại: Smart Contract Scams: Ethereum Drainers Pose as Trading Bots to Steal Crypto.

Quá trình triển khai hợp đồng được thiết lập để tạo ra hai chủ sở hữu: ví của nạn nhân và EOA ẩn của kẻ tấn công. Điều này cho phép kẻ tấn công thực hiện hành vi đánh cắp dữ liệu liền mạch ngay sau khi nạn nhân nạp tiền vào hợp đồng. Các thao tác này được thiết kế để tối ưu hóa hiệu quả của cuộc tấn công mạng.

Các kênh YouTube như @todd_tutorials và @SolidityTutorials thể hiện rõ ràng các đặc điểm của nội dung được tạo bằng AI, bao gồm giọng kể robot và lệch khớp môi. Các kênh này cũng chủ động lọc và chỉ hiển thị các bình luận tích cực thông qua các công cụ kiểm duyệt của YouTube, tạo ra một bức tranh sai lệch về sự thành công và hợp pháp của các bot.

Sự thao túng này, kết hợp với việc phân phối các video không công khai qua các nền tảng như Telegram, khuếch đại phạm vi tiếp cận và tạo cảm giác cấp bách. Các bot thường được quảng cáo như những ưu đãi miễn phí có thời hạn, khuyến khích nạn nhân hành động nhanh chóng mà không kịp suy xét.

Tác Động và Thiệt Hại Tài Chính

Phân tích các giao dịch trên chuỗi khối cho thấy hiệu quả khác nhau của các vụ đánh cắp dữ liệu này. Một EOA từ chiến dịch của @SolidityTutorials đã thu về 4.19 ETH (tương đương khoảng ~15.000 USD tại thời điểm báo cáo). Trong khi đó, các hoạt động liên quan đến tài khoản @todd_tutorials đã mang lại 7.59 ETH (khoảng ~28.000 USD).

Trường hợp ngoại lệ đáng chú ý nhất liên quan đến tài khoản @Jazz_Braze, đã tích lũy được một khoản tiền khổng lồ lên tới 244.9 ETH (ước tính khoảng ~902.000 USD). Số tiền này sau đó đã được chuyển đến các địa chỉ thứ cấp thông qua các giao dịch phức tạp nhằm mục đích rửa tiền, gây khó khăn cho việc truy tìm.

Chỉ số Nhận diện Sự Thỏa hiệp (IOCs)

Các chỉ số nhận diện sự thỏa hiệp liên quan đến các chiến dịch tấn công mạng này bao gồm:

• Địa chỉ Ví Sở Hữu Bên Ngoài (EOA) của kẻ tấn công:
  • 0x872528989c4D20349D0dB3Ca06751d83DC86D831 (EOA lặp lại, được sử dụng trong nhiều hợp đồng và liên quan đến kỹ thuật XOR để tính toán địa chỉ router).
  • Các địa chỉ ví nhận tiền trực tiếp từ các hợp đồng độc hại được kiểm soát bởi các kênh lừa đảo (địa chỉ cụ thể của ví nhận tiền không được nêu rõ trong báo cáo, nhưng liên quan đến các kênh dưới đây).
• Các tài khoản YouTube phân phối nội dung độc hại:
  • @Jazz_Braze
  • @todd_tutorials
  • @SolidityTutorials

Biện Pháp Phòng Ngừa và Nâng Cao An Toàn Thông Tin

Các hoạt động lừa đảo này một lần nữa nhấn mạnh rủi ro cố hữu trong không gian Web3 và tài chính phi tập trung. Mã nguồn không được xác minh, đặc biệt là những mã được quảng bá qua mạng xã hội, có thể dễ dàng khai thác tính bất biến của blockchain để thực hiện hành vi đánh cắp dữ liệu quy mô lớn. Để đảm bảo an toàn thông tin cho tài sản số, người dùng cần hết sức thận trọng.

Điều cực kỳ quan trọng là người dùng tiền điện tử phải kiểm tra kỹ lưỡng (audit) các hợp đồng thông minh trước khi tương tác. Tránh triển khai vội vàng các hợp đồng được quảng bá thông qua nội dung của những người có ảnh hưởng hoặc các kênh truyền thông xã hội. Sự gia tăng của các công cụ AI tạo nội dung và khả năng mua các tài khoản mạng xã hội cũ đã làm giảm đáng kể rào cản cho kẻ tấn công thực hiện các chiến dịch lừa đảo tinh vi.

Các vụ lừa đảo này là một ví dụ điển hình về sự giao thoa nguy hiểm giữa kỹ thuật xã hội (social engineering) và sự lừa dối kỹ thuật trong không gian tiền điện tử. Để bảo vệ tài sản và nâng cao an toàn thông tin, người dùng được khuyến nghị xác thực kỹ lưỡng các đầu vào, đầu ra và hành vi trên chuỗi của bất kỳ hợp đồng thông minh nào trước khi thực hiện giao dịch hoặc cấp quyền.