Người dùng Bybit mất 1.200 USD sau khi phần mềm độc hại clipboard âm thầm thay địa chỉ ví của anh ta giữa lúc chuyển tiền. Đây là những gì đã xảy ra và cách thức hoạt động.
Số tiền đã rời khỏi ví MetaMask của anh ta một cách sạch sẽ. Không có lỗi. Không có cảnh báo. Chỉ biến mất.
Một người dùng Bybit đã gửi 1.200 USD đến địa chỉ mà anh ta tin là địa chỉ nạp tiền của chính mình. Mười phút trôi qua. Rồi một giờ. Không có xác nhận nào từ Bybit đến. Theo tài khoản bảo mật tiền điện tử BalaiBB trên X, người dùng đã sao chép địa chỉ ví Bybit của mình, mở MetaMask, dán nó vào và nhấn gửi, giống như cách mọi người vẫn làm.
Những Gì Anh Ta Phát Hiện Khi Kiểm Tra Giao Dịch
Khi khoản nạp tiền vẫn chưa hiển thị, BalaiBB đã đăng trên X rằng người dùng đã quay lại và xem địa chỉ mà anh ta thực sự đã gửi đến. Nó không phải của anh ta. Thiết bị đã bị nhiễm phần mềm độc hại chiếm quyền điều khiển clipboard. Ngay khi địa chỉ được sao chép, phần mềm độc hại đã thay thế nó bằng một ví do kẻ tấn công kiểm soát. Anh ta đã dán địa chỉ thay thế đó. Anh ta đã gửi tiền cho một người lạ.
Phần mềm độc hại không hề phát ra tiếng động nào.
Loại tấn công này chạy ngầm trên một thiết bị Android đã bị xâm phạm, chờ đợi. Khi nó phát hiện một chuỗi chữ và số dài trông giống địa chỉ ví tiền điện tử, nó thay thế ngay lập tức. Người dùng không thấy gì thay đổi. Thao tác dán trông giống hệt nhau trong nháy mắt. Chỉ có bốn ký tự cuối cùng mới kể được câu chuyện, nếu ai đó chịu khó kiểm tra. Theo BalaiBB trên X, cách khắc phục đơn giản là luôn so sánh bốn ký tự đầu tiên và bốn ký tự cuối cùng của bất kỳ địa chỉ nào sau khi dán, trước khi xác nhận giao dịch.
Theo các nhà nghiên cứu an ninh mạng tại CNC Intel, các trình chiếm quyền clipboard có thể xâm nhập vào thiết bị thông qua tiện ích mở rộng trình duyệt giả mạo, trojan được đóng gói bên trong các bản tải xuống đáng ngờ, hoặc các liên kết lừa đảo. Một chủng được biết đến, Qulab, đặc biệt nhắm mục tiêu vào các thiết bị Android bằng cách ngụy trang bên trong các ứng dụng Tor Browser giả mạo được phân phối thông qua các cửa hàng ứng dụng không chính thức. Phần mềm độc hại tự cài đặt để chạy khi khởi động.
Năm Cách Ví Của Bạn Bị Rút Sạch Mà Không Cần Nhấp Vào Bất Cứ Thứ Gì Rõ Ràng
BalaiBB đã không dừng lại ở cảnh báo về clipboard. Trong một chuỗi bài đăng tiếp theo trên X, tài khoản này đã liệt kê ra bốn loại tấn công khác cũng rút sạch ví một cách lặng lẽ không kém.
Phê duyệt token giả đứng thứ hai trong danh sách. Một token ngẫu nhiên xuất hiện trong ví. Người dùng cố gắng bán nó trên một DEX. Ngay khi họ phê duyệt giao dịch, hợp đồng sẽ rút sạch mọi thứ. Quy tắc của BalaiBB: nếu bạn không mua nó, đừng động vào nó.
Các trang web lừa đảo, là bản sao của các nền tảng DeFi hợp pháp với các URL gần như giống hệt nhau, xếp thứ ba. URL uniswop.com thay vì uniswap.org là loại khác biệt mà hầu hết người dùng lướt qua. Một kết nối ví cộng với một giao dịch đã được phê duyệt, và số tiền sẽ biến mất. Như BalaiBB đã lưu ý trên X, đánh dấu trang các trang web chính thức là biện pháp phòng thủ đáng tin cậy duy nhất.
Hỗ trợ khách hàng giả kết thúc danh sách. Ai đó tweet về một vấn đề với MetaMask. Trong vòng vài phút, một “nhân viên hỗ trợ” nhắn tin trực tiếp cho họ yêu cầu cụm từ hạt giống để “khắc phục sự cố.” BalaiBB trên X đã thẳng thắn về điều này: không có công ty hợp pháp nào yêu cầu cụm từ hạt giống. Không một lần nào.
Loại tấn công thứ năm, kỹ thuật xã hội Discord, hoạt động thông qua các tài khoản kiểm duyệt bị xâm phạm trong các máy chủ hợp pháp. Một liên kết “đúc bất ngờ” hoặc airdrop giả mạo được gửi từ một cái tên đáng tin cậy. Mọi người nhấp vào vì nó đến từ người mà họ biết. Họ kết nối ví của họ. Số tiền biến mất.
Các ứng dụng Google Play giả mạo cung cấp hành vi hoán đổi clipboard tương tự đã được ghi nhận nhắm mục tiêu vào các thiết bị Android ở Brazil, nơi những kẻ tấn công đã xây dựng các trang cửa hàng ứng dụng giả mạo để phân phối phần mềm độc hại, đặc biệt hoán đổi địa chỉ ví trong các giao dịch USDT.
Phần Không Ai Đề Cập: Không Có Hoàn Tiền
Các giao dịch trên blockchain là cuối cùng. Không có vé hỗ trợ, không có thời gian khiếu nại, không có ngân hàng để gọi. CNC Intel xác nhận rằng việc thu hồi tiền điện tử bị đánh cắp thông qua chiếm quyền clipboard là gần như không thể một khi giao dịch đã được xử lý. Công ty lưu ý rằng họ đã làm việc cùng với cơ quan thực thi pháp luật để truy vết tiền trong các trường hợp như vậy, mặc dù việc thu hồi vẫn còn hiếm.
Địa chỉ bị đánh cắp có thể được theo dõi trên chuỗi. Về mặt thực tế, số tiền không thể được lấy lại.
Tháng 4 năm 2026 chứng kiến 620 triệu USD thất thoát tiền điện tử trong 20 sự cố, mức tồi tệ nhất hàng tháng kể từ vụ vi phạm Bybit vào tháng 2 năm 2025. Hầu hết các khoản thua lỗ đó đến từ các lỗi ở cấp độ cơ sở hạ tầng. Vụ trộm clipboard 1.200 USD nằm ở đầu kia của thang đo. Phương pháp khác. Kết quả giống nhau.
CNC Intel khuyến nghị ghi đè nội dung clipboard bằng văn bản ngẫu nhiên sau khi sao chép địa chỉ ví, chạy quét toàn bộ phần mềm chống vi-rút bằng các công cụ như Malwarebytes hoặc Kaspersky, và kiểm tra tab khởi động Windows thông qua msconfig để tìm bất kỳ mục nhập lạ nào. Trên Android, các cửa hàng ứng dụng không chính thức là nơi hầu hết các ca nhiễm bắt đầu.
1.200 USD của người dùng đó sẽ không quay trở lại. Những gì anh ta có được là một bài học có giá trị thấp hơn những gì hầu hết mọi người phải trả để học nó.
Để lại một bình luận