Mất 300 triệu USD mỗi năm, người dùng Coinbase liên tục bị lừa đảo chính xác, đằng sau hóa ra có «tay trong» rò rỉ thông tin?
Tuyển chọn TechFlowTuyển chọn TechFlow
Mất 300 triệu USD mỗi năm, người dùng Coinbase liên tục bị lừa đảo chính xác, đằng sau hóa ra có «tay trong» rò rỉ thông tin?
Cuộc khủng hoảng an ninh này có thể nghiêm trọng hơn so với những gì người ta tưởng tượng.
Chuyên sâu báo cáo Web3Bài viết: Fairy, ChainCatcher
«Xin chào, đây là đội an ninh của Coinbase, chúng tôi phát hiện hoạt động đăng nhập bất thường trên tài khoản của bạn…»
Giọng nói đầu dây bên kia chuyên nghiệp và gấp gáp, thậm chí có thể đọc chính xác tên bạn, email đăng ký và lịch sử giao dịch gần đây. Bạn sẽ chọn ngắt máy ngay lập tức, hay làm theo hướng dẫn của «nhân viên chăm sóc khách hàng», từng bước chuyển tiền vào cái gọi là «ví an toàn»?
Gần đây, nhiều người dùng Coinbase liên tiếp bị lừa đảo, với số tiền thất thoát đáng kinh ngạc. Chỉ riêng tháng 3, số tiền bị đánh cắp đã vượt quá 46 triệu USD, còn tổn thất do các vụ lừa đảo kỹ thuật xã hội mà người dùng Coinbase phải chịu mỗi năm lên tới 300 triệu USD.
Tuy nhiên, những tin tặc này rốt cuộc đã xác định mục tiêu một cách chính xác như thế nào? Vì sao họ lại có được thông tin cá nhân của người dùng? Cuộc khủng hoảng an ninh này có lẽ nghiêm trọng hơn nhiều so với tưởng tượng.
LỪA ĐẢO TRÀN LAN, TẤN CÔNG LỪA GỌI ĐÃ CHUYỂN THÀNH NGÀNH CÔNG NGHIỆP
Ngày 28 tháng 3, thám tử chuỗi khối ZachXBT tiết lộ rằng trong hai tuần qua đã xảy ra nhiều vụ việc nghi là người dùng Coinbase bị lừa đảo, khiến tổng số tiền bị đánh cắp trong tháng 3 vượt quá 46 triệu USD.
Thực tế, loại hình lừa đảo này từ lâu đã có dấu hiệu. Ngay từ đầu tháng 2, ZachXBT từng vạch trần rằng từ tháng 12 năm 2024 đến tháng 1 năm 2025, người dùng Coinbase đã mất tới 65 triệu USD do thủ đoạn tương tự, con số này đặt Coinbase trước nguy cơ khủng hoảng lừa đảo kỹ thuật xã hội lên tới hơn 300 triệu USD mỗi năm.
Theo phân tích của ZachXBT, phương thức lừa đảo đã hình thành một chuỗi công nghiệp trưởng thành:
Kẻ lừa đảo mạo danh chính thức của Coinbase
Chúng sử dụng số điện thoại giả để gọi cho nạn nhân, đồng thời lợi dụng thông tin cá nhân của người dùng nhằm lấy lòng tin. Chúng tuyên bố tài khoản người dùng có dấu hiệu đăng nhập trái phép, dụ dỗ nạn nhân phối hợp kiểm tra an ninh.
Gửi email lừa đảo
Chúng gửi email giả mạo của Coinbase, bao gồm mã số vụ việc (Case ID) giả.
Hướng dẫn người dùng chuyển tiền
Chúng yêu cầu nạn nhân chuyển tiền vào Coinbase Wallet và thêm địa chỉ lừa đảo vào danh sách trắng, tuyên bố đây là biện pháp xác minh bảo mật tài khoản.
Sao chép trang web Coinbase
Chúng tạo ra trang web lừa đảo gần như giống hệt 1:1 với Coinbase, đồng thời gửi các chỉ dẫn thao tác khác nhau cho nạn nhân qua email giả mạo và bảng điều khiển lừa đảo trên Telegram.
Bên cạnh đó, theo báo cáo của Cointelegraph, gần đây nhiều người dùng tiền mã hóa khác cũng nhận được email lừa đảo mạo danh Coinbase và Gemini. Những email này thường tuyên bố rằng do yêu cầu quản lý, người dùng phải chuyển sang ví tự lưu trữ (self-custody wallet), đồng thời đặt hạn chót là ngày 1 tháng 4 để tạo cảm giác khẩn trương.
Email chứa đường dẫn tải xuống Coinbase Wallet hoặc Gemini Wallet, kèm theo cụm khôi phục (recovery phrase) đã được tạo sẵn. Ngay khi người dùng sử dụng cụm này để tạo ví mới và chuyển tài sản, tiền bạc sẽ lập tức bị rút sạch bởi kẻ lừa đảo.
VẤN ĐỀ TRUY CẬP DỮ LIỆU NỘI BỘ BỊ LỘ RA ÁNH SÁNG
Mấu chốt của lừa đảo kỹ thuật xã hội nằm ở việc thu thập thông tin một cách chính xác, và trong các vụ việc người dùng Coinbase bị lừa, kẻ tấn công dường như nắm giữ thông tin cá nhân của nạn nhân, bao gồm số điện thoại, địa chỉ email, lịch sử giao dịch, v.v. Điều này đặt ra một câu hỏi then chốt: Những dữ liệu này rốt cuộc đã rơi vào tay bọn lừa đảo bằng cách nào?
Hôm qua, Mike Dudas, đồng sáng lập The Block, cho biết ông đã nhận được một email từ Coinbase trên nền tảng X. Nội dung email này gây lo ngại, trực tiếp đề cập đến vấn đề truy cập dữ liệu nội bộ. Trong email viết:
«Chúng tôi viết thư này để thông báo cho bạn biết rằng, chúng tôi đã phát hiện dấu hiệu cho thấy một nhân viên Coinbase có thể đã xem hồ sơ tài khoản của một số lượng nhỏ khách hàng theo cách không phù hợp với chính sách nội bộ, trong đó có tài khoản của bạn.»
Mặc dù email khẳng định rằng «tài sản của bạn vẫn an toàn, tài khoản Coinbase của bạn chưa bị xâm phạm», và nhấn mạnh rằng hiện tại không có bằng chứng nào cho thấy dữ liệu đã bị rò rỉ ra ngoài, nhưng lá thư này lại đưa ra cảnh báo rõ ràng cho người dùng: Vấn đề truy cập dữ liệu nội bộ đã được xác nhận, và không phải là sự việc đơn lẻ.
Dudas cho biết, điều này giải thích vì sao lại có những email và cuộc gọi lừa đảo mạo danh Coinbase.
Tuy nhiên, phạm vi rò rỉ dữ liệu còn gây nghi vấn, có thể ảnh hưởng đến một lượng lớn người dùng. Người dùng cộng đồng @ghaiankur cho biết: «Tôi không có bất kỳ khoản tiền nào trên Coinbase, và chưa từng sử dụng nó. Nhưng tôi vẫn nhận được những email này vì có tài khoản, điều này có thể cho thấy đây không chỉ đơn giản là nhắm vào vài tài khoản mục tiêu, mà là cả cơ sở dữ liệu.»
RÒ RỈ DỮ LIỆU TRỞ THÀNH NGUY CƠ NGÀNH
Không chỉ riêng Coinbase, các sàn giao dịch khác dường như cũng đang đối mặt với những mối nguy hiểm nội bộ tương tự.
Sau khi Dudas chia sẻ email, nhà giao dịch tiền mã hóa Jordan Fish (@Cobie) tiết lộ rằng sàn giao dịch Kraken gần đây cũng gặp phải vụ tấn công tương tự. Anh suy đoán: «Đây có thể là chiến lược của kẻ tấn công — xâm nhập đội ngũ chăm sóc khách hàng, đánh cắp dữ liệu người dùng từ bên trong.»
Đồng thời, ngày 27 tháng 3, trang tin tức mạng tối Dark Web Informer tiết lộ rằng một tin tặc mang bí danh AKM69 tuyên bố nắm giữ lượng lớn thông tin cá nhân của người dùng sàn giao dịch tiền mã hóa Gemini. Cơ sở dữ liệu này bao gồm 100.000 bản ghi, liên quan đến tên đầy đủ, email, số điện thoại và thông tin vị trí của người dùng Mỹ, thậm chí còn bao gồm dữ liệu của một số người dùng Singapore và Anh.
Hoặc học cách bảo vệ người dùng, hoặc bị người dùng từ bỏ.
Toly, đồng sáng lập Solana, bình luận về sự việc này rằng các sàn giao dịch nên triển khai chức năng khóa thời gian chuyển tiền do người dùng kiểm soát (time lock), nhằm giảm thiểu rủi ro bị rút tiền nhanh chóng. Tuy nhiên, bản chất của sự việc này còn sâu xa hơn nhiều, nó phơi bày sự thất bại trong kiểm soát rủi ro nội bộ của các sàn giao dịch, cũng như mức độ công nghiệp hóa cao của hành vi lừa đảo.
An ninh của các sàn giao dịch từ lâu đã không còn đơn thuần là vấn đề bảo vệ kỹ thuật, mà còn là vấn đề quản lý và niềm tin. Trước các thủ đoạn tấn công ngày càng phức tạp, việc xây dựng hệ thống kiểm soát rủi ro hoàn thiện hơn sẽ quyết định tiêu chuẩn an toàn của ngành trong tương lai.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
ChainCatcher 链捕手
