Mất Mát Lớn Trong Crypto Do Lừa Đảo Phê Duyệt

Theo một báo cáo từ Scam Sniffer, một nền tảng chống lừa đảo Web3, một người vừa bị mất 330.000 USD do phê duyệt lừa đảo, một cái mà họ đã tương tác hơn một năm trước.

Theo Etherscan, nạn nhân đã mất tổng cộng 329.743 USD bằng mã thông báo AAVE do lỗ hổng này. Một trong những sự thật kỳ lạ nhất về vụ việc này là phê duyệt lừa đảo đã được ký 408 ngày trước, vào ngày 10 tháng 2 năm 2024, lúc 12:51 AM UTC, cho phép kẻ lừa đảo truy cập vào ví của nạn nhân.

Vụ trộm không xảy ra cho đến ngày 24 tháng 3 năm 2025, lúc 12:35 AM UTC, khi kẻ tấn công chuyển 1.999,23 mã thông báo AAVE, trị giá 329.743 USD, trong một giao dịch duy nhất.

Trước khi bị trộm, ví bị nhắm đến đã giữ 527.498 USD bằng AAVE. Khi tên hacker hoàn thành việc của mình, nạn nhân chỉ còn lại 197.755 USD.

Nạn nhân đã ký phê duyệt lừa đảo 408 ngày trước. Nguồn: Etherscan

Ví này chứa các tài sản khác, bao gồm LPT. Tuy nhiên, kẻ hacker chỉ di chuyển AAV của nạn nhân.
E tokens, vì đây là đồng token duy nhất được nhắm đến trong giao dịch chuyển nhượng.

Kẻ hacker vẫn chưa được xác định, và nạn nhân hiện có rất ít lựa chọn để khôi phục số tiền bị đánh cắp.

Các cuộc lừa đảo lừa đảo phê duyệt là một mối đe dọa nghiêm trọng đối với những người nắm giữ tiền điện tử

Theo một báo cáo từ Chainalysis, lĩnh vực tiền điện tử đã mất khoảng 1 tỷ đô la do các cuộc lừa đảo lừa đảo phê duyệt kể từ tháng 5 năm 2021, với 374 triệu đô la bị mất chỉ trong năm 2023.

Trong khi lừa đảo phê duyệt như một mánh lới lừa đảo đã tồn tại trong nhiều năm, thì những kẻ lừa đảo từ trước đến nay đã nhắm mục tiêu vào người dùng tiền điện tử thông qua việc phát tán các ứng dụng tiền điện tử giả mạo. Các kỹ thuật của họ đã trở nên hiệu quả hơn khi lĩnh vực này phát triển.

Thông thường, những kẻ lừa đảo lừa dối nạn nhân để họ chuyển tiền điện tử cho họ thông qua một cơ hội đầu tư giả mạo hoặc bằng cách giả mạo thành người khác. Tuy nhiên, đối với các cuộc lừa đảo phê duyệt, kẻ lừa đảo lừa dối người dùng để họ ký một giao dịch blockchain độc hại cho phép địa chỉ của kẻ lừa đảo chi tiêu các token cụ thể từ ví của nạn nhân. Điều này gi
kẻ lừa đảo truy cập để rút cạn địa chỉ của nạn nhân khỏi những mã thông báo đó theo ý muốn.

Thông thường, những kẻ lừa đảo phê duyệt gửi quỹ của nạn nhân đến một ví riêng biệt từ ví đã được cấp quyền để thực hiện giao dịch thay mặt nạn nhân. Mô hình trên chuỗi thường thấy địa chỉ nạn nhân ký một giao dịch phê duyệt địa chỉ thứ hai chi tiêu quỹ của nó, sau đó địa chỉ thứ hai, một địa chỉ người tiêu dùng đã được phê duyệt, thực hiện giao dịch để chuyển quỹ đến một địa chỉ đích mới.

Nhà nghiên cứu bảo mật chính cho Metamask, Taylor Monahan (còn gọi là @tayvano_) là một trong những người theo dõi kiểu lừa đảo phê duyệt qua mạng lãng mạn với bảng điều khiển Dune Analytics tùy chỉnh.

Taylor Monahan đã chia sẻ một ví dụ về một email lừa đảo. Nguồn: @tayvano_ (X/Twitter)

Các nạn nhân của những kẻ lừa đảo lãng mạn này được báo cáo đã mất khoảng 1 tỷ đô la cho các cuộc lừa đảo phê duyệt từ tháng 5 năm 2021. Điều quan trọng cần lưu ý là tổng số 1 tỷ đô la này là một ước tính dựa trên các mô hình trên chuỗi. Một phần trong số đó có thể đại diện cho việc rửa tiền.
Sự chuyển nhượng các quỹ đã được kiểm soát bởi những kẻ lừa đảo.

Điều này là do các vụ lừa đảo tình cảm thường bị báo cáo rất ít, và phân tích dẫn đến các kết quả đó bắt đầu từ một tập hợp hạn chế các trường hợp đã được báo cáo.

Người ta tin rằng phần lớn các vụ lừa đảo phishing xin chấp thuận được thực hiện bởi một số ít những nhân vật rất thành công, và việc giải quyết vấn đề này có thể được thực hiện theo nhiều cách, từ việc giáo dục người dùng đến việc sử dụng các chiến thuật nhận diện mẫu.