Gần đây, một trong những vụ mất mát lớn nhất do lừa đảo on-chain đã xảy ra. Một cuộc tấn công poisoning địa chỉ, một hình thức gian lận lợi dụng cách các blockchain dựa trên tài khoản quản lý lịch sử giao dịch và việc tái sử dụng địa chỉ, đã khiến một người dùng mất gần 50 triệu đô la USDT.
Bình luận của Charles Hoskinson
Theo Charles Hoskinson, điều này sẽ không xảy ra trên một số kiến trúc vốn dĩ có khả năng chống chịu tốt hơn với những lỗi như vậy. Đây là cách vụ việc diễn ra.
Ngay sau khi số tiền được rút khỏi Binance, ví của nạn nhân, vốn đã hoạt động khoảng hai năm và chủ yếu dùng để chuyển USDT, đã nhận gần 50 triệu đô la. Người dùng đã gửi một giao dịch thử nghiệm nhỏ tới người nhận dự kiến, điều mà nhiều người cho là hành động an toàn. Toàn bộ số tiền được gửi đi vài phút sau đó. Địa chỉ sai đã được sử dụng cho lần chuyển thứ hai này.
Trước đó, kẻ lừa đảo đã thực hiện một cuộc tấn công poisoning địa chỉ bằng cách gửi một lượng nhỏ USDT từ một ví được thiết kế để trông giống như địa chỉ thật mà nạn nhân từng sử dụng. Nạn nhân đã nhầm lẫn chọn địa chỉ bị poisoning thay vì địa chỉ đúng khi sao chép địa chỉ từ lịch sử giao dịch. Kết quả là, 50 triệu đô la đã bị mất chỉ với một cú nhấp chuột.
Tại sao UTXO tốt hơn trong những trường hợp này
Mặc dù có thể sẽ được chuyển đi hoặc trao đổi, số USDT bị đánh cắp hiện vẫn còn ở địa chỉ đích.
"Đây là một lý do nữa khiến UTXO tuyệt vời," Hoskinson nói khi phản hồi về sự việc. Ông không sai. Mô hình dựa trên tài khoản mà Ethereum và nhiều chuỗi EVM khác sử dụng đã trực tiếp dẫn đến kiểu lừa đảo này. Địa chỉ được hiển thị dưới dạng chuỗi ký tự tự do trong lịch sử giao dịch, và các ví thường khuyến khích việc sao chép từ các giao dịch trước đó. Đó chính là điều mà hacker lợi dụng.
Các chuỗi như Bitcoin và Cardano dựa trên mô hình UTXO hoạt động khác biệt. Mỗi giao dịch tạo ra các output mới trong khi tiêu thụ các output hiện có. Ví thường tạo giao dịch từ các lựa chọn UTXO cụ thể thay vì sử dụng lại các điểm cuối tài khoản, và người dùng không dựa vào việc sao chép địa chỉ đích từ lịch sử tài khoản theo cùng một cách. Không tồn tại trạng thái tài khoản liên tục để có thể bị poisoning về mặt hình ảnh.
Đây không phải là lỗi của giao thức hay lỗ hổng hợp đồng thông minh. Đó là một lỗi trong thiết kế tương tác với bản chất con người, và chỉ trong chưa đầy một giờ, nó đã khiến mất 50 triệu đô la.
