Hôm 3/5, cộng đồng đầu tư tiền điện tử xôn xao vì một tài khoản bị lừa chuyển 71 triệu USD giá trị WBTC trên blockchain Ethereum. Thông tin mới nhất về vụ việc cho thấy nạn nhân là người Việt Nam, tên “Bui Duy Phong” và hacker đã chấp nhận trả lại tiền.

Cụ thể, lượng tài sản bị lấy đi là 1.155 WBTC. Ngày 4/5, nạn nhân liên lạc qua tin nhắn etherscan để đề nghị kẻ hoàn trả 90% lượng tiền, 10% còn lại được xem như tiền chuộc. Hacker sau đó bất ngờ trả 51 ETH và yêu cầu gửi địa chỉ Telegram để tiếp tục liên lạc. Đến ngày 10/5, nạn nhân tiết lộ tài khoản người dùng @BuiDuPh, với tên hiển thị là “Bui Duy Phong”.

Đoạn tin nhắn giữa hacker và nạn nhân.

Sau quá trình thỏa thuận, dữ liệu onchain cho thấy ví của nạn nhân bắt đầu nhận được tiền hoàn trả dưới dạng ETH. Hacker sử dụng nhiều địa chỉ khác nhau để thực hiện, đồng thời dùng ứng dụng Coin Mixer nhằm che dấu danh tính. Quá trình kết thúc 10 giờ và 29.960 ETH (tương đương 68 triệu USD) đã trở về với chủ nhân. Đồng nghĩa, hacker đã từ chối 10% tiền chuộc và chấp nhận hoàn 100% số tiền.

Hiện chưa rõ lý do đằng sau hành động của tin tặc. Tuy nhiên, một số đơn vị theo dõi onchain cho biết nạn nhân có thể không phải nhà đầu tư nhỏ lẻ. 1.155 WBTC là lượng tài sản lớn, và lịch sử giao dịch cho thấy địa chỉ ví của người này có liên quan đến những cá mập và Market Maker lớn trên thị trường, trong đó có địa chỉ được cho là thuộc về Wintermute.

Tài khoản Telegram của nạn nhân vụ hack.

Hình thức lừa đảo của tin tặc đã được nhiều đơn vị bảo mật blockchain nhắc tới, đồng thời chính cựu CEO Binance Changpeng Zhao chia sẻ trên X để cảnh báo cộng đồng. Theo đó, để lừa nạn nhân, hacker đã sử dụng một địa chỉ ví giả có 6 ký tự đầu và 6 ký tự cuối trùng khớp với địa chỉ ví thật mà người dùng muốn chuyển tiền, sau đó cố tình gửi lượng nhỏ tiền điện tử tới nạn nhận để địa chỉ ví giả này được lưu vào lịch sử giao dịch. Do không kiểm tra toàn bộ các ký tự của địa chỉ ví trước khi thao tác, người dùng đã copy nhầm ví của tin tặc và mất toàn bộ số tiền chuyển khoản.

Địa chỉ ví thật nạn nhân muốn gửi tiền:

0xd9A1b0B1e1aE382DbDc898Ea68012FfcB2853a91

Địa chỉ ví giả của tin tặc:

0xd9A1C3788D81257612E2581A6ea0aDa244853a91

Hai địa chỉ ví có phần đầu và cuối giống nhau, do đó gây nhầm lẫn khi hiển thị rút gọn dưới dạng "0xd9A1....853a91".