Gửi 25 Triệu Usd Sai Địa Chỉ Người Dùng Renzo Có Nguy Cơ Mất Trắng Số Tiền

Người dùng này khả năng cao sẽ bị mất tài sản vĩnh viễn, trừ khi nền tảng restaking Renzo nâng cấp hợp đồng để khôi phục lại chúng.

Gửi 25 triệu USD sai địa chỉ, người dùng Renzo có nguy cơ mất trắng số tiền

Một người dùng tiền mã hóa đã vô tình mất 25 triệu USD khi gửi nhầm token Ether được restake trên Renzo vào module safe thay vì ví safe của họ.

"Gửi đến tất cả các hacker lành nghề và mũ trắng ngoài kia: Tôi đã mất một khoản tiền lớn trong một hợp đồng và đang cần sự trợ giúp khẩn cấp để khôi phục nó.

Nếu bạn có thể lấy lại số tiền này thành công, tôi sẽ lập tức tặng phần thưởng 10%, tương đương khoảng 2,5 triệu USD theo giá hiện tại." - người dùng X có tên @qklpjeth đã viết trên nền tảng mạng xã hội.

Urgent Request for Help!

To all skilled hackers and white hats out there: I’ve lost a significant sum of funds in a contract and urgently need help recovering it. If you can successfully retrieve the funds, I’ll immediately offer a 10% reward, which is approximately $2.5 million…

— 我有一个狗王梦 (@qklpjeth) November 10, 2024

Renzo là một nền tảng liquid restaking được phát triển dựa trên giải pháp restaking của EigenLayer. Giao thức này giúp người dùng tiếp cận với sản phẩm của EigenLayer một cách dễ dàng, đồng thời mang lại tính thanh khoản cho các LST khi tham gia restaking.

Vấn đề của người dùng nêu trên gặp phải khi họ sử dụng bot để rút tiền từ Renzo, và đây là một lỗi sao chép-dán (copy-paste) đơn giản. Nếu người này gửi tiền vào đúng ví safe vẫn sẽ kiểm soát được số tiền của mình. Thay vào đó, số tiền này hiện bị khóa vĩnh viễn trong một hợp đồng mà họ không có quyền rút ra - trừ khi đội ngũ dự án can thiệp để giúp đỡ.

Người sáng lập DefiLlama, được biết đến với bút danh 0xngmi, cũng phản hồi cho rằng "không thấy phương thức nào để giúp người dùng lấy lại tiền của mình ngoài việc yêu cầu Renzo nâng cấp hợp đồng, thêm một chức năng để lấy lại số tiền này."

Một nhà phát triển ẩn danh của Yearn sở hữu tài khoản @banteg cũng cho rằng những sai lầm này tưởng chừng đơn giản nhưng lại rất thường xuyên gặp phải, vài ngày trước cộng đồng cũng ghi nhận xảy ra tình trạng tương tự.

i don't see any way to get your money out, imo the only solution would be to contact renzo and, since their token contract is upgradeable, ask them to upgrade to add a function to rescue your funds

— 0xngmi (@0xngmi) November 10, 2024

Trường hợp mà cá nhân trên đây không phải là mới trong thị trường crypto, song vẫn thường xuyên xảy ra khi người dùng thực hiện nhiều giao dịch và hàng loạt thao tác sao chép-dán cùng thời điểm dẫn đến nhầm lẫn địa chỉ nạp/rút.

Lợi dụng sự nhầm lẫn tưởng chừng "tầm thường" này, một số kẻ xấu đã khéo léo sử dụng để lừa người dùng dính vào cuộc tấn công có chủ đích theo hình thức “address poisoning” (đầu độc địa chỉ). Theo đó, kẻ xấu sẽ cố tình khởi tạo một địa chỉ có các ký tự đầu và cuối giống với ví đích được nạn nhân muôn sử dụng, sau đó gửi các giao dịch có giá trị nhỏ đến ví nạn nhân để chờ đến khi người này sơ suất sao chép nhầm địa chỉ.

Sở dĩ hình thức tấn công này có thể xảy ra là vì những trình block explorer như Etherscan chỉ hiển thị các ký tự đầu và cuối của dãy địa chỉ, ẩn phần ở giữa đi, tạo điều kiện để hacker lợi dụng. 

Hồi tháng 05/2024 đã xảy ra sự cố bị đầu độc địa chỉ theo hình thức này, khiến người dùng xui xẻo "cúng" 1.155 WBTC tương đương trị giá khoảng 68 triệu USD sang địa chỉ kẻ xấu.

Trong quá khứ, cựu CEO Binance Changpeng Zhao đã lên tiếng cảnh báo về vụ việc tương tự khi có người dùng sàn bị lừa chuyển 20 triệu USDT đến địa chỉ giả mạo, nhưng rất may là kịp phát hiện sai sót và nhờ Binance ngăn chặn thành công.

Coincuatui tổng hợp

Nguồn: Coin68