Việc rút gọn địa chỉ trong ví vẫn là một lỗ hổng nghiêm trọng: Quỹ cộng đồng Ethereum cảnh báo sau vụ trộm 50 triệu USDT

Một vụ lừa đảo qua mạng gần đây đã làm rõ một vấn đề về an ninh đã bị bỏ qua trong ngành suốt nhiều năm. Các hacker đã lợi dụng một thực hành phổ biến trong giao diện người dùng: việc ẩn một phần địa chỉ blockchain bằng dấu chấm lửng (ví dụ: 0xbaf4b1aF…B6495F8b5).

Cách thức xảy ra cuộc tấn công

Kẻ tấn công đã triển khai một chiến lược tinh vi: tạo ra một địa chỉ giả mạo trùng khớp với ba ký tự đầu tiên và các chữ số cuối cùng của địa chỉ hợp lệ. Phương pháp này tận dụng chính hệ thống dấu chấm lửng che đi phần trung tâm của địa chỉ. Một nạn nhân, tin tưởng rằng các ký tự hiển thị là đủ để xác minh, đã chuyển 50 triệu USDT đến địa chỉ độc hại mà không kiểm tra kỹ mã đầy đủ.

Các lỗ hổng trong giao diện người dùng

Quỹ cộng đồng Ethereum đã cảnh báo rằng nhiều ví điện tử và trình duyệt blockchain đang triển khai hệ thống hiển thị gây vấn đề này. Việc ẩn phần trung tâm của địa chỉ tạo ra một điểm mù về an ninh mà các tác nhân độc hại có thể dễ dàng khai thác. Vấn đề thực sự không nằm ở dấu chấm lửng như một khái niệm, mà ở cảm giác an toàn giả tạo mà chúng mang lại.

Khuyến nghị để tăng cường bảo vệ

Tổ chức khuyến nghị ngay lập tức hiển thị đầy đủ các địa chỉ, không cắt bớt phần nào. Thay đổi này sẽ cho phép người dùng xác minh toàn bộ từng ký tự trước khi phê duyệt các giao dịch. Các cải tiến trong giao diện người dùng hiện tại là khả thi về mặt kỹ thuật và có thể được triển khai mà không gặp nhiều trở ngại trong ví và nền tảng khám phá blockchain.

Cảnh báo này là lời kêu gọi khẩn cấp tới toàn ngành để xem xét lại các tiêu chuẩn an ninh trong việc hiển thị thông tin quan trọng.