Hacker dùng thủ thuật đơn giản đánh cắp Ethereum trị giá 7 triệu đô-la trong 3 phút

Vụ trộm diễn ra sau khi dự án giao dịch Ether của startup công nghệ blockchain ở Israel tiến hành ICO (Initial Coin Offering - một hình thức huy động vốn), cho phép nhà đầu tư thanh toán bằng Ethereum (một dạng cổ phiếu bằng tiền ảo). Chỉ trong 3 phút ngắn ngủi của đợt ICO, một hacker chưa rõ danh tính đã đánh cắp hơn Ether trị giá $7 triệu bằng cách lừa các nhà đầu tư của CoinDash gửi 43438.455 Ether vào một tài khoản khác mà kẻ tấn công sở hữu.

Hacker đã làm như thế nào? ICO của Coindash đăng địa chỉ Ethereum trên website của họ cho các nhà đầu tư thanh toán bằng Ethereum. Nhưng chỉ trong vài phút, CoinDash cảnh báo rằng website của họ bị hack và gửi địa chỉ giả, bị thay thế bằng địa chỉ của kẻ lừa đảo và yêu cầu mọi người không gửi Ethereum tới tài khoản đó.

Tuy vậy, cảnh báo đã quá muộn, tiền ảo mà các nhà đầu tư gửi vào đã chuyển vào túi của hacker.

“Thật không may phải thông báo rằng chúng tôi đã bị hacker tấn công trong sự kiện Token Sale”, website của công ty đăng thông báo sau sự kiện. “Trong vụ tấn công này, $7 triệu đã bị đánh cắp bởi một kẻ chưa rõ tên tuổi. CoinDash Token Sale đã bảo toàn $6.4 triệu từ những người đóng góp sớm và chúng tôi biết ơn sự hỗ trợ của các bạn”.

CoinDash hiện chưa rõ ai là kẻ chịu trách nhiệm cho vụ tấn công, và tệ hơn nữa là họ vẫn đang bị tấn công. Các nhà đầu tư được khuyến nghị không gửi bất kỳ Ether nào tới bất kì địa chỉ tài khoản nào trên trang web, CoinDash nhấn mạnh. Theo như ảnh chụp màn hình mà tài khoản Slack của CoinDash đăng lên Reddit, CoinDash nhận ra rằng mọi việc chỉ diễn ra trong 3 phút.

Chỉ mất 3 phút để Ehereum trị giá $7 triệu ra đi

Một vài người còn tin rằng sự cố này không phải là hack mà là một sự cố nội bộ. Một người dùng cho biết: “Có bằng chứng nào cho thấy đây là hack hay không? Nếu CoinDash tự đưa ra địa chỉ và đổ lỗi cho hacker rồi cuỗm ETH miễn phí thì sao?”

Trang web của CoinDash giờ đang đóng cửa và công ty yêu cầu những nhà đầu tư bị mất tiền do gửi Ether tới nhầm địa chỉ thu hồi CoinDash Token (CDT) bằng cách điền thông tin tại đây. Tuy vậy các nhà đầu tư đã gửi Ether tới địa chỉ giả sau khi website bị sập sẽ không được bồi hoàn.

“CoinDash sẽ chịu trách nhiệm cho tất cả những người đóng góp và sẽ gửi CDT cho từng phần đóng góp”, công ty cho biết. “Những người gửi ETH tới địa chỉ giả trên website và gửi ETH tới địa chỉ chính thức CoinDash.io sẽ nhận được CDT”.

Đây không phải lần đầu tiên việc gây vốn bằng ICO bị hack. Năm ngoái, $50 triệu cũng đã biến mất sau khi hacker khai thác điểm yếu thực thi đoạn mã tại quỹ đầu tư DAO (Decentralised Anonymous Organisation).