Blockchain Bandit – một hacker khét tiếng với hành vi đánh cắp tiền điện tử nhờ đoán thành công private key yếu – vừa chuyển toàn bộ 51.000 Ether vào một ví duy nhất sau gần hai năm không hoạt động.
Theo nhà điều tra blockchain ZachXBT, toàn bộ 51.000 Ether đã được chuyển từ 10 địa chỉ ví trước đó vào một địa chỉ ví đa chữ ký (multi-signature) “0xC45…1D542.”
Quá trình chuyển tiền được thực hiện thành nhiều đợt, mỗi đợt khoảng 5.000 Ether, diễn ra từ 5:54 sáng đến 6:18 sáng ngày 31 tháng 12 (theo giờ Việt Nam). Trước đó, số Ether bị đánh cắp này được giữ trong 10 địa chỉ ví từ ngày 21 tháng 1 năm 2023. Cùng thời gian đó, hacker này cũng đã di chuyển 470 Bitcoin.
Theo một báo cáo từ Independent Security Evaluators, Blockchain Bandit đã lấy đi gần 45.000 Ether nhờ đoán thành công các private key yếu. Mặc dù việc đoán private key gần như là bất khả thi về mặt thống kê, hacker này đã xác định được 732 private key liên được liên kết với 49.060 giao dịch.
Chuyên gia bảo mật tiền điện tử Adrian Bednarek giải thích vào thời điểm đó rằng, Hacker đã áp dụng phương pháp tìm kiếm Brute Force*, sử dụng các private key ngẫu nhiên, kết hợp với việc khai thác lỗi trong code và các trình tạo số ngẫu nhiên không an toàn, thông qua một quy trình có tên gọi “Ethercombing.”
Hoạt động “trộm cắp theo lập trình” của Blockchain Bandit bắt đầu từ năm 2016, với những vụ đánh cắp quy mô lớn nhất diễn ra vào năm 2018, theo phân tích của ZachXBT.
Dù danh tính thực sự của Blockchain Bandit vẫn là một bí ẩn, Bednarek từng gợi ý rằng các vụ việc này có thể được hậu thuẫn bởi một quốc gia, chẳng hạn như Triều Tiên.
Trong một báo cáo gần đây của công ty bảo mật blockchain Cyvers, các hacker tiền điện tử đã đánh cắp hơn 2,3 tỷ USD tài sản thông qua 165 vụ tấn công lớn trong năm 2024, tăng 40% so với năm 2023. Nguyên nhân chính dẫn đến mức tăng này được cho là sự gia tăng các vi phạm quyền kiểm soát truy cập, đặc biệt tại các sàn CEX và các nền tảng lưu ký.
Các lỗ hổng kiểm soát truy cập chiếm tới 81% tổng giá trị tài sản bị đánh cắp, tương đương 1.9 tỷ USD, từ 67 sự cố an ninh mạng trong năm 2024.
*Brute Force: dựa vào hoặc đạt được thông qua việc sử dụng vũ lực, nỗ lực hoặc quyền lực với số lượng lớn thay vì các phương pháp hiệu quả hơn, được lên kế hoạch cẩn thận hoặc chỉ đạo chính xác.
Disclaimer: Bài viết chỉ có mục đích thông tin, không phải lời khuyên đầu tư. Nhà đầu tư nên tìm hiểu kỹ trước khi ra quyết định. Chúng tôi không chịu trách nhiệm về các quyết định đầu tư của bạn.
Ông Giáo
