Nhiễm Độc Địa Chỉ: Tại sao 'Copy-Paste' lại nguy hiểm
Tóm tắt: Bạn muốn gửi 100 ETH. Bạn mở lịch sử giao dịch, sao chép địa chỉ bạn đã gửi hôm qua rồi nhấn gửi. Tiền biến mất. Tại sao? Bởi vì một hacker đã gửi một giao dịch 0 đô la vào ví của bạn từ một địa chỉ trông "cực kỳ giống" địa chỉ thật. Đây được gọi là Nhiễm độc địa chỉ (Address Poisoning).
1. Cơ chế: Trình tạo Địa chỉ Đẹp (Vanity Address Generator)
Địa chỉ Ethereum là các chuỗi thập lục phân ngẫu nhiên.
- Thật:
0x123...abc
Nhưng hacker có thể sử dụng các script (như "Profanity") để tạo ra hàng triệu địa chỉ mỗi giây cho đến khi chúng tìm thấy một địa chỉ khớp với chuỗi mục tiêu cụ thể.
Đây được gọi là Địa chỉ Đẹp (Vanity Address).
- Mục tiêu thật của bạn:
0x892...29c - Địa chỉ Độc (Poison Address):
0x892...29c(Lưu ý: Đầu và cuối giống nhau, nhưng phần giữa hoàn toàn khác)
2. Cuộc tấn công: Làm ô nhiễm Lịch sử (Polluting the History)
Hacker theo dõi blockchain. Khi thấy bạn gửi một giao dịch lớn cho ai đó (ví dụ: gửi vào Ledger của chính bạn hoặc Binance), chúng sẽ tấn công.
- Chúng tạo ra một địa chỉ độc "trông giống" địa chỉ bạn vừa gửi tiền.
- Chúng gửi 0 đô la (0 USDT/USDC) từ địa chỉ đó vào ví của bạn.
- Một số ví (như MetaMask hoặc Ledger Live) hiển thị giao dịch này trong lịch sử của bạn.
Bây giờ lịch sử của bạn đã bị "ô nhiễm".
Hôm qua: Gửi 100 ETH cho Alice (Thật) Hôm nay: Nhận 0 ETH từ Fake_Alice (Độc)
3. Tại sao nó hiệu quả (Yếu tố con người)
Lần tới khi bạn muốn gửi tiền cho Alice, bạn sẽ không hỏi lại địa chỉ của cô ấy cho tiện.
Bạn mở ví của mình. Bạn nhìn vào "Giao dịch gần đây". Bạn thấy cái trên cùng: 0x892...
Bộ não của bạn sử dụng Tư duy Hệ thống 1 (tư duy nhanh):
- "Bắt đầu bằng 0x892 à? Đúng."
- "Kết thúc bằng 29c à? Đúng."
- "Vậy chắc là đúng rồi."
Sao chép. Gửi. Hacker thắng.
4. Phòng thủ: "Kiểm tra Giữa" (The Middle Check)
Để bảo vệ bản thân, bạn phải thay đổi thói quen kiểm tra của mình.
Không Tin tưởng Lịch sử
Không bao giờ sao chép địa chỉ từ lịch sử giao dịch. Lịch sử là một sổ cái công khai. Bất cứ ai cũng có thể chèn một mục vào đó. Chỉ sao chép từ Nguồn (Source) (ví dụ: tin nhắn WhatsApp của Alice hoặc trang nạp tiền của sàn giao dịch).
"Kiểm tra Điểm" (Spot Check)
Chỉ kiểm tra 4 ký tự đầu và 4 ký tự cuối không còn an toàn nữa.
Tiêu chuẩn Mới: Kiểm tra Đầu, Cuối VÀ 4 ký tự ngẫu nhiên ở giữa.
- Thật:
0x892... **55a1** ...29c - Độc:
0x892... **bb23** ...29c
Sử dụng Danh bạ Địa chỉ (Address Book)
Hầu hết các ví đều có tính năng "Danh bạ" hoặc "Danh sách trắng" (Whitelist).
- Thêm địa chỉ Ledger của bạn.
- Đặt tên là "My Safe Ledger".
- Chỉ gửi cho các liên hệ đã lưu. Hacker không thể thay đổi danh bạ địa phương của bạn.
Tìm hiểu thêm: Học cách tránh các phê duyệt độc hại làm cạn kiệt ví mà không cần giao dịch, và nắm vững Quy tắc Đánh dấu để xác minh người nhận.
Kết luận
Trong tiền điện tử, sự lười biếng của bạn là người bạn tốt nhất của hacker. Hãy dành thêm 5 giây đó để kiểm tra các ký tự ở giữa. Nó có thể cứu sống khoản tiết kiệm cả đời bạn.
Sẵn Sàng Áp Dụng Kiến Thức Của Bạn Vào Thực Tế?
Bắt đầu giao dịch được hỗ trợ bởi AI một cách tự tin ngay hôm nay
Bắt ĐầuBài Viết Liên Quan
Nhiễm Độc Chuỗi Cung Ứng (Supply Chain Poison): Khi các bản cập nhật đáng tin cậy trở nên độc hại
Bạn không tải xuống bất cứ thứ gì lạ. Bạn chỉ cập nhật ứng dụng Ledger của mình... Và sau đó tiền biến mất. Sự kinh hoàng của cuộc tấn công chuỗi cung ứng.
Lá Chắn Giấy (The Paper Shield): Cách sao lưu Cụm từ Hạt giống đúng cách
Ảnh chụp màn hình là thảm họa. Đám mây là máy tính của người khác. Cách an toàn duy nhất để lưu trữ khóa riêng tư là 'thép' và 'giấy'.
Trò Lừa Dài Hạn (The Long Con): Tâm lý học đằng sau 'Mổ Lợn'
Cô ấy không nhắn tin nhầm số. Và cô ấy không yêu bạn. Đi sâu vào 'Sha Zhu Pan', trò lừa đảo tiền điện tử tàn bạo nhất, và cách phát hiện kịch bản.