Một báo cáo nghiên cứu của các chuyên gia bảo mật web3 Forta Network và Blockfence đã trình bày chi tiết cách một hoạt động lừa đảo nhắm vào người dùng Ethereum được gọi là “sleepdropping” đã dẫn đến tổn thất tổng cộng 11,5 triệu USD kể từ khi nó được phát hiện lần đầu tiên vào tháng 12 năm 2022.
Trò lừa đảo này hoạt động bằng cách gửi các token ERC-1155 có vẻ xác thực, thường là NFT, cho những người dùng không hề hay biết. Chiến thuật này dụ người dùng đến các trang web lừa đảo nơi họ bị lừa ủy quyền giao dịch, vô tình chuyển tài sản của họ cho kẻ lừa đảo. Thủ phạm đằng sau hoạt động này vẫn chưa được xác định.
Theo Forta Network và Blockfence, hơn nửa triệu địa chỉ đã nhận được các đợt airdrop token gây hiểu lầm này. Hiện tại, hơn 20.000 người dùng đã được xác nhận là nạn nhân.
Airdrop NFT giả được sử dụng để đánh cắp tiền
Trong một trường hợp được ghi lại, người dùng đã nhận được token Lido NFT giả mạo, tự hiển thị dưới dạng “huy hiệu” để yêu cầu một airdrop.
Về bản chất, NFT không ảnh hưởng đến ví của người dùng. Tuy nhiên, nếu người dùng cho rằng airdrop là hợp pháp thì sự tò mò của họ có thể khiến họ tương tác với token, có thể xác nhận token độc hại trên một trang web lừa đảo.
Việc phân phối dường như bắt nguồn từ một hợp đồng thông minh đích thực, vào năm 2021, đã phát hành airdrop cho các staker Lido sớm. Các khía cạnh kỹ thuật phức tạp của hợp đồng token ERC cho phép nó bị thao túng, ngay cả khi là hợp đồng chính hãng.
Forta cho biết trong báo cáo:
“Một người dùng hiểu biết có thể xem xét việc chuyển tiền chi tiết hơn và thấy rằng token đang được chuyển từ tài khoản Lido: Early Stakers Airdrop hợp pháp. Đây là một hành vi qua mắt mà kẻ lừa đảo thực hiện bằng cách lợi dụng việc thực hiện các hợp đồng token ERC.”
Nghiên cứu từ Forta và Blockfence đã xác định hơn 100 hợp đồng thông minh riêng biệt liên quan đến hoạt động lừa đảo có mô hình triển khai tương tự. Nghiên cứu cũng chỉ ra ba giai đoạn chính của trò lừa đảo: các hoạt động airdrop lừa đảo gửi NFT dường như đến từ các nguồn đáng tin cậy, các trang web được thiết kế để đánh lừa người dùng và các hợp đồng độc hại cuối cùng lừa người dùng chuyển tiền của họ.
Annie
Theo The Block