Khai thác phishing đánh cắp 3 triệu đô la USDC từ ví đa chữ ký

• Nhà đầu tư mất 3 triệu đô la trong một cuộc tấn công phishing
• Khai thác sử dụng hợp đồng độc hại đã được ngụy trang và xác minh
• Request Finance xác nhận phiên bản giả mạo của hợp đồng đang được sử dụng

Một nhà đầu tư tiền mã hóa đã mất hơn 3 triệu đô la stablecoin sau khi trở thành nạn nhân của một cuộc tấn công phishing cực kỳ tinh vi, khai thác ví multisignature. Vụ việc được tiết lộ vào ngày 11 tháng 9 bởi nhà nghiên cứu onchain ZachXBT, người cho biết ví của nạn nhân đã bị rút sạch 3,047 triệu USDC.

Kẻ tấn công đã nhanh chóng chuyển đổi số tiền này sang Ethereum và chuyển tiếp chúng đến Tornado Cash, một giao thức bảo mật thường được sử dụng để che giấu dòng tiền bất hợp pháp.

Theo Yu Xian, nhà sáng lập SlowMist, địa chỉ bị xâm phạm là một ví Safe multisignature 2-of-4. Cuộc tấn công xảy ra sau khi nạn nhân đã ủy quyền hai giao dịch liên tiếp đến một địa chỉ lừa đảo giả mạo địa chỉ hợp pháp. Để tăng hiệu quả của trò lừa đảo, hacker đã phát triển một hợp đồng độc hại mà ký tự đầu và cuối của địa chỉ giống hệt địa chỉ đúng, khiến việc phát hiện gian lận trở nên khó khăn.

Xian giải thích rằng trò lừa đảo đã sử dụng tính năng Safe Multi Send, ngụy trang sự phê duyệt độc hại trong một ủy quyền có vẻ như bình thường. "Sự ủy quyền bất thường này rất khó bị phát hiện vì nó không phải là một phê duyệt tiêu chuẩn," ông nói.

Đã xem sự kiện bị đánh cắp do @zachxbt đăng, khá thú vị, địa chỉ bị đánh cắp là một địa chỉ Safe multisignature 2/4:
0xE7c15D929cdf8c283258daeBF04Fb2D9E403d139

Số tiền bị đánh cắp 3,047,700 USDC nằm ở hai giao dịch này, liền kề nhau:
3M USD
47,700 USDC

Thuộc về việc ủy quyền bị đánh cắp, USDC của nạn nhân… pic.twitter.com/KQPYxGvugP

— Cos(余弦)😶‍🌫️ (@evilcos) September 12, 2025

Cuộc điều tra của Scam Sniffer tiết lộ rằng hợp đồng giả mạo đã được triển khai gần hai tuần trước đó, đã được xác minh trên Etherscan, và được cấu hình với các chức năng "batch payment" để trông hợp pháp. Vào ngày xảy ra vụ tấn công, việc ủy quyền đã được thực hiện thông qua giao diện Request Finance, cho phép kẻ tấn công truy cập vào số tiền.

Đáp lại, Request Finance xác nhận rằng một đối tượng độc hại đã triển khai phiên bản giả mạo của hợp đồng thanh toán của họ. Công ty nhấn mạnh rằng chỉ có một khách hàng bị ảnh hưởng và lỗ hổng đã được vá.

🚨 Một nạn nhân đã mất 3,047 triệu USDC ngày hôm qua qua một cuộc tấn công tinh vi liên quan đến hợp đồng Request Finance giả mạo trên ví Safe.

Những phát hiện chính:
• Ví Safe multi-sig 2/4 của nạn nhân cho thấy các giao dịch hàng loạt qua giao diện ứng dụng Request Finance
• Ẩn bên trong: sự phê duyệt cho hợp đồng độc hại… pic.twitter.com/U9UNfYNZhv

— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) September 12, 2025

Tuy nhiên, Scam Sniffer cảnh báo rằng các cuộc tấn công phishing tương tự có thể được tổ chức thông qua nhiều phương thức khác nhau, bao gồm phần mềm độc hại, tiện ích mở rộng trình duyệt bị xâm phạm, lỗ hổng trong giao diện ứng dụng hoặc thậm chí là tấn công DNS. Việc sử dụng các hợp đồng dường như đã được xác minh và các địa chỉ gần như giống hệt nhau cho thấy những kẻ tấn công đang ngày càng tinh vi trong việc vượt qua sự chú ý của người dùng tiền mã hóa.