Cá voi mất hơn 6 triệu USD vì ký nhầm chữ ký độc hại

Một cá voi tiền điện tử đã thiệt hại hơn 6 triệu USD gồm staked Ethereum (stETH) và Aave-wrapped Bitcoin (aEthWBTC) sau khi vô tình chấp thuận chữ ký độc hại trong một vụ tấn công phishing ngày 18/9, theo công ty an ninh blockchain Scam Sniffer.

Theo báo cáo, kẻ tấn công đã ngụy trang hành động này dưới dạng một bước xác nhận ví thông thường thông qua chữ ký “Permit”, đánh lừa nạn nhân cho phép chuyển tài sản mà không để lộ dấu hiệu cảnh báo.

🚨 12 mins ago, someone lost $6.28M in stETH and aEthWBTC after signing multiple phishing “permit” signatures.💸 pic.twitter.com/fv9emIeYTi

— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) September 18, 2025

Yu Xian, nhà sáng lập công ty bảo mật SlowMist, cho biết nạn nhân không nhận ra mối nguy hiểm bởi giao dịch không tốn phí gas. Ông viết:

“Từ góc nhìn của nạn nhân, anh ta chỉ bấm vài lần để xác nhận cửa sổ chữ ký hiện lên từ ví, không tốn một xu phí gas nào, và 6,28 triệu USD đã biến mất.”

Cách hoạt động của Permit exploit

Chức năng “Permit” được thiết kế nhằm đơn giản hóa việc chuyển token. Thay vì thực hiện một lệnh on-chain và trả phí gas, người dùng có thể ký một thông điệp off-chain để ủy quyền cho bên khác.

Tuy nhiên, chính sự tiện lợi này đã mở ra bề mặt tấn công mới cho kẻ xấu. Khi nạn nhân ký một “permit”, kẻ tấn công có thể kết hợp hai chức năng — Permit và TransferFrom — để rút tài sản trực tiếp. Vì việc ủy quyền diễn ra ngoài chuỗi, bảng điều khiển ví không hiển thị hoạt động bất thường cho đến khi tài sản bị rút đi.

Kết quả là khi giao dịch được thực thi on-chain, toàn bộ token đã bị chuyển đến ví của kẻ tấn công. Đây là kẽ hở khiến Permit exploit ngày càng trở thành công cụ ưa thích của hacker, cho phép chúng rút hàng triệu USD mà không cần đến các kỹ thuật hack phức tạp hay tốn kém phí gas.

Thiệt hại từ phishing gia tăng

Vụ việc lần này phản ánh xu hướng gia tăng mạnh các chiến dịch phishing.

Theo Scam Sniffer, riêng trong tháng 8, kẻ tấn công đã đánh cắp 12,17 triệu USD từ hơn 15.200 nạn nhân, tăng 72% so với tháng 7. Đáng chú ý, gần một nửa số thiệt hại đến từ ba ví lớn, trong đó có một ví bị mất 3,08 triệu USD chỉ trong một lần.

Công ty cho rằng sự gia tăng này chủ yếu xuất phát từ các chiêu lừa đảo liên quan đến EIP-7702 (batch-signature scam) và việc người dùng vô tình chuyển trực tiếp vào hợp đồng độc hại.

Trước tình hình này, các chuyên gia bảo mật khuyến cáo người dùng tiền điện tử cần hết sức cảnh giác khi ký các yêu cầu từ ví, đặc biệt tránh cấp quyền truy cập vô hạn cho tài sản của mình.

• Lừa đảo tiền điện tử tăng 72% trong tháng 8, đánh cắp hơn 12 triệu đô la
• Mainnet 2.0: Pi Network sắp viết lại lịch sử hay chỉ là “bẫy xả thảm”?
• Cảnh báo: Ví lừa đảo Pi Network đang rút tiền hàng loạt, người dùng nên cẩn trọng

Vương Tiễn