Dữ liệu Lookonchain cho thấy ví đầu tiên (gọi là ví A) đã nhận được 1.4 triệu ARB từ 866 địa chỉ. Sau đó, ví A chuyển tất cả ARB lên sàn giao dịch phi tập trung Uniswap để cung cấp thanh khoản. Mặt khác, ví B nhận 993,375 ARB từ 630 địa chỉ, trị giá khoảng 1.38 triệu USD.
Lookonchain gọi hai ví cá voi là "siêu thợ săn airdrop" do thu được ARB từ hàng trăm địa chỉ ví khác nhau. Trong khi đó, một số người nghi vấn họ là thành viên trong đội ngũ dự án. Số khác cho rằng ví A và B đã hack ARB của hàng loạt người nhận airdrop khác.
We found 2 super airdrop hunters of $ARB.
— Lookonchain (@lookonchain) March 24, 2023
0xe1e2 received 1.4M $ARB($1.92M) via 866 addresses and added all 1.4M $ARB to #Uniswap to provide liquidity.https://t.co/sncsZTHrP2
0xbd4e received 933,375 $ARB($1.28M) via 630 addresses.https://t.co/p5vbqXMYxD pic.twitter.com/yK3LzbeC8t
Không phải ngẫu nhiên cộng đồng đưa ra nghi vấn trên. Những ngày qua, tội phạm mạng đã lợi dụng cơn sốt airdrop ARB để thu lợi bất chính. Ngày 24/3, một số địa chỉ ví vanity đã bị kẻ tấn công hack để đánh cắp ARB từ người tham gia airdrop.
Vanity là loại địa chỉ ví cho phép người dùng tùy chỉnh tên hoặc cụm từ đặc biệt trong dãy ký tự. Giống như các xe biển số đẹp, ví vanity chủ yếu dùng để thêm cá tính và đặc điểm nhận dạng cho chủ nhân của chúng. Tuy nhiên, một số chuyên gia đã lên tiếng cảnh báo về tính an toàn của loại ví này. Năm 2022, Profanity, một loại ví vanity cũng từng bị hacker bòn rút 3.3 triệu USD.
Người dùng cần sử dụng phần mềm hoặc dịch vụ đặc biệt để tạo địa chỉ vanity, dẫn đến nguy cơ rò rỉ private key. Hacker trong vụ Profanity có khả năng đã biết về vấn đề bảo mật của dự án và âm thầm thu thập private key để lấy cắp tiền của người dùng.
Someone made $500k+ by claiming Arbitrum airdrop with hacked vanity addresses pic.twitter.com/aSWmx7MySS
— jq (@jackqack) March 23, 2023
Trong vụ việc mới đây, thủ phạm đã lập danh sách các địa chỉ vanity đủ điều kiện nhận airdrop ARB. Sau đó, người này tạo các địa chỉ tương tự bằng cách sử dụng công cụ vanity. Cuối cùng, token được airdrop đến những địa chỉ mới được tạo. Chủ sở hữu ban đầu của số ARB do đó không còn có thể claim token. Thiệt hại ước tính lên đến 500,000 USD.