Thị trường hàng hóa
Theo báo cáo của nhà phân tích tiền điện tử của Elliptic - công ty chuyên về blockchain - hacker có xu hướng đánh cắp các NFT có giá trị, thường là một tác phẩm nghệ thuật ảo. “NFT có giá trị nhất từng bị đánh cắp là CryptoPunk #4324. Sau khi đánh cắp, hacker rao bán với giá 490.000 USD”, Elliptic thông tin. Trong số những NFT bị chiếm đoạt, tài sản #9650 và #5759 trong bộ sưu tập CloneX đã bị đánh cắp hai lần trong vòng ba tháng, trị giá khoảng 50.000 USD trong cả hai lần”.
Nhờ việc lôi kéo người dùng chuyển thông tin đăng nhập vào ví điện tử, hacker đã có thể dễ dàng thâu tóm giao dịch và chiếm đoạt tài sản. Đôi khi điều đó có thể được thực hiện thông qua một tài khoản mạng xã hội. Chẳng hạn như khi 3 triệu USD NFT từ bộ sưu tập Câu lạc bộ Du thuyền Bored Ape của Yuga Labs bị đánh cắp sau một vụ hack Instagram.
Đôi khi, hacker còn đánh cắp NFT thông qua việc thiết lập trang web giống như blog hay chuyên trang mua sắm. “Những kẻ lừa đảo có thể trả tiền để quảng cáo trang web của họ trên các công cụ tìm kiếm, biến web trông thật đáng tin cậy”, báo cáo của Elliptic lưu ý.
Tuy nhiên, còn đó những chiêu thức đánh cắp NFT tinh vi hơn. Ví dụ, một con ngựa Trojan NFT sử dụng các tính năng độc đáo của một “hợp đồng thông minh” để tạo ra một mã thông báo bị mắc kẹt. Nếu người dùng chấp nhận sử dụng tính năng, Trojan có thể nhanh chóng vô hiệu hóa tài khoản và chiếm đoạt NFT.
Vào tháng 6, các cuộc tấn công, đánh cắp tiền của nhà đầu tư thông qua Discord tăng 55%. Các hacker nhắm vào mục tiêu vào các dự án NFT sử dụng nền tảng Discord để xây dựng cộng đồng.
Tuy vậy, động thái của tin tặc vẫn có nét giống các vụ lừa đảo trong quá khứ. Trong một số trường hợp, kẻ lừa đảo thậm chí còn cấp quyền quản trị viên để cấm người kiểm duyệt của Discord can thiệp vào.
Tổng số tiền 100 triệu USD bị đánh cắp thậm chí không bao gồm vụ trộm lớn nhất liên quan đến NFT, đặc biệt phải kể tới 500 triệu USD tiền kỹ thuật số từ trò chơi điện tử Axie Infinity dựa trên NFT . Những tin tặc, cũng như 52% những kẻ lừa đảo NFT mà Elliptic theo dõi, đã chuyển sang một dịch vụ, chẳng hạn như Tornado Cash, để rửa tiền sau khi hacker chiếm đoạt.
Trên Twitter, chuyên gia bảo mật độc lập Neso mô tả rằng một cuộc tấn công NFT được chia thành hai phần: một phần ghi sẵn các thông tin về hợp đồng thông minh với uỷ quyền chung, phần còn lại chuyển quyền sở hữu các NFT mà không cần thanh toán. Về bản chất, cuộc tấn công giống như việc nạn nhân ký vào một tấm séc trống, còn hacker chỉ cần điền thông tin còn lại để chiếm tài sản.
BÀI VIẾT LIÊN QUAN
Đọc thêm