Các vụ lừa đảo không chuyển tiền đang trở nên phổ biến trong hệ sinh thái tiền điện tử, với hơn 40 triệu đô la bị đánh cắp vào năm 2023.
Một kẻ lừa đảo sử dụng phương thức tấn công lừa đảo không chuyển tiền đã đánh cắp được 20 triệu đô la Tether USDT vào ngày 1 tháng 8 trước khi bị Tether, đơn vị phát hành đồng tiền ổn định này, đưa vào danh sách đen.
Theo cập nhật từ công ty phân tích chuỗi PeckShield, một kẻ lừa đảo chuyển tiền bằng zero đã lấy cắp 20 triệu USDT từ địa chỉ nạn nhân 0x4071...9Cbc. Địa chỉ mà nạn nhân dự định gửi tiền đến là 0xa7B4BAC8f0f9692e56750aEFB5f6cB5516E90570; tuy nhiên, địa chỉ này lại được gửi đến một địa chỉ lừa đảo khác: 0xa7Bf48749D2E4aA29e3209879956b9bAa9E90570.
Địa chỉ ví của nạn nhân ban đầu nhận được 10 triệu đô la từ một tài khoản Binance. Sau đó, nạn nhân đã gửi số tiền này đến một địa chỉ khác trước khi kẻ lừa đảo nhảy vào. Kẻ lừa đảo sau đó đã gửi một lệnh chuyển token Zero USDT giả mạo từ tài khoản của nạn nhân đến địa chỉ lừa đảo. Vài giờ sau, nạn nhân đã gửi 20 triệu USDT cho kẻ lừa đảo, tưởng rằng chúng đang chuyển tiền đến địa chỉ mong muốn.
Ví này đã ngay lập tức bị đóng băng bởi đơn vị phát hành USDT Tether, khiến nhiều người ngạc nhiên vì tốc độ hành động quá nhanh.
Người dùng thường kiểm tra năm chữ số đầu hoặc năm chữ số cuối của địa chỉ ví, chứ không phải toàn bộ địa chỉ, dẫn đến việc họ gửi tài sản đến một địa chỉ lừa đảo. Nạn nhân bị lừa gửi một giao dịch không nhận được token nào từ ví của họ đến một địa chỉ giống với địa chỉ mà họ đã từng gửi token trước đó.
Ví dụ, nếu nạn nhân gửi 100 coin đến một địa chỉ để nạp tiền vào sàn giao dịch, kẻ tấn công có thể gửi 0 coin từ ví của nạn nhân đến một địa chỉ trông có vẻ tương tự nhưng do kẻ tấn công kiểm soát. Khi xem giao dịch này trong lịch sử giao dịch, nạn nhân có thể cho rằng địa chỉ hiển thị là địa chỉ nạp tiền chính xác và gửi coin của mình đến địa chỉ lừa đảo.
Các vụ lừa đảo lừa đảo chuyển khoản bằng không (zero transfer phishing) đã trở nên khá phổ biến trong hệ sinh thái tiền điện tử trong năm qua, với nhiều trường hợp bị phát hiện. Một trong những vụ lừa đảo chuyển khoản bằng không đầu tiên xảy ra vào tháng 12 năm 2022, với thiệt hại hơn 40 triệu đô la từ các cuộc tấn công như vậy kể từ đó.