Bị hack 4 triệu USD vì để lộ ảnh chụp màn hình số dư trên ví?
Bằng cách đóng giả làm nhà đầu tư, hacker đã hẹn gặp Ahad Shams - người đồng sáng lập công cụ trò chơi siêu dữ liệu Web3 “Webverse” tại khách sạn để “bàn việc đầu tư”. Sau đó, Ahad Shams đã bị mất số tiền 4 triệu USD trong ví Trust Wallet sau khi chia sẻ màn hình số dư ví cho người này.
Shams tuyên bố rằng những tên trộm không thể nhìn thấy private key và ông cũng không được kết nối với wifi công cộng vào thời điểm đó. Shams tin rằng những tên trộm bằng cách nào đó đã có thể truy cập vào trong khi chụp ảnh số dư của ví.
Chia sẻ trên Twitter vào ngày 7/2, Shams giải thích rằng ông đã có buổi gặp gỡ với người tên là “Mr Safra” vào ngày 26/11 sau vài tuần thảo luận về nguồn tài trợ tiềm năng.
“Chúng tôi đã kết nối với “Mr Safra” qua email và cuộc gọi video. Safra giải thích rằng anh ấy muốn đầu tư vào các công ty Web3 của chúng tôi", Shams chia sẻ.
Kẻ lừa đảo cho rằng trước đây từng bị lừa đảo về tiền mã hoá. Vì thế, kẻ lừa đảo yêu cầu Ahad Shams cung cấp thông tin để KYC. Theo đó, Shams phải bay đến Rome gặp trực tiếp để bàn việc đầu tư.
a crypto scam stole 4m by just taking a photo of a trust wallet screen, with no seed phrases or any private info on sight pic.twitter.com/yOQGbReF1I
— 0xngmi (aggregatoor arc) (@0xngmi) February 6, 2023
Dù hoài nghi, Shams vẫn đồng ý gặp trực tiếp Mr Safra và “nhân viên ngân hàng” của người này tại sảnh khách sạn ở Rome. Sau đó, kẻ lừa đảo đã yêu cầu Shams xuất trình “bằng chứng về quỹ” của dự án để làm "thủ tục giấy tờ".
“Khi gặp nhau, chúng tôi ngồi đối diện với ba người đàn ông này và chuyển 4 triệu USDC vào Ví Trust. “Mr Safra” đã yêu cầu xem số dư trên ứng dụng Trust Wallet và lấy điện thoại ra để “chụp vài bức ảnh”, Shams giải thích rằng ông nghĩ điều đó ổn vì không có private keys hay seed phrases nào được tiết lộ cho "Mr. Safra".
Sau khi "Mr. Safra" chụp lại ảnh màn hình và bước ra khỏi phòng họp để hỏi ý kiến các đồng nghiệp của mình, cả nhóm đều biến mất và số tiền 4 triệu USD trong ví đã bị bòn rút.
Gần như ngay sau đó, Shams đã báo cáo vụ trộm cho đồn cảnh sát địa phương ở Rome và gửi biểu mẫu Khiếu nại Tội phạm Internet (IC3) cho Cục Điều tra Liên bang Hoa Kỳ (FBI) vài ngày sau đó.
Shams cho biết anh vẫn không biết “Mr. Safra” và nhóm lừa đảo đã thực hiện hành vi khai thác bằng cách nào. Theo đó, Shams cần thêm thông tin từ Trust Wallet về hoạt động trên chiếc ví đã bị cạn kiệt để đưa ra kết luận.
Ở phần bình luận, phần lớn đều cho rằng hacker không thể tấn công vào ví chỉ dựa vào ảnh chụp màn hình. Theo Adam Cochran, chuyên gia tại quỹ đầu tư Cinneamhain (với hơn 181,000 lượt theo dõi trên Twitter), kẻ tấn công đã thực hiện theo cách sau:
- Có bản sao khóa mã hóa cho Trust Wallet và lưu trữ dữ liệu ở đâu đó.
- Tấn công xen giữa (MITM) để tải xuống Trust Wallet giả
- Sử dụng NFC (giao thức kết nối giữa hai thiết bị điện tử ở khoảng cách gần) để kết nối và lấy đi API của ví.
1/2
— Adam Cochran (adamscochran.eth) (@adamscochran) February 7, 2023
The attacker picked the location and the app.
Means either:
A) They’ve got a copy of encryption keys for TrustWallet ssl and it’s storing data somewhere
B) MITM on network to spoof download of fake TrustWallet
C) Trustwallet has an undocumented API being abused by NFC
Shams thừa nhận rằng “sự kiện này ám ảnh tôi cho đến tận ngày nay” và số tiền 4 triệu USD “chắc chắn là trở ngại” đối với Webaverse.
Tuy nhiên, ông nhấn mạnh rằng vụ tấn công 4 triệu USD và cuộc điều tra đang chờ xử lý sẽ không ảnh hưởng đến các cam kết và kế hoạch của công ty trong ngắn hạn.