Lỗ hổng trên các hợp đồng thông minh mạng lưới ERC20 của Ethereum, khi mà hacker có thể tạo giả mạo giao dịch 0 đồng được gửi đi từ một địa chỉ ví bất kỳ, nhằm làm giả thông tin trong lịch sử giao dịch!

Ngày 7/2/2023, nhiều bài báo đã cảnh báo về lỗ hổng từ các token mạng Ethereum: https://cointelegraph.com/news/scammers-are-targeting-crypto-users-with-new-zero-value-transferfrom-trick.

• Hacker có thể tạo giả mạo giao dịch 0 đồng để nó hiển thị trong phần Lịch sử giao dịch của tất cả ví nóng, ví lạnh, etherscan …
• Hacker tạo địa chỉ nhận tiền gần giống với địa chỉ mà người dùng đã gửi tới trước đó.
• Nếu người dùng không cẩn thận, copy địa chỉ ờ phần Lịch sử giao dịch, thì có thể gặp phải địa chỉ giả mạo được tạo bởi hacker.

Thí dụ:

1. Anh Tèo gửi 1000USDT (mạng ERC20) tới sàn Binance có địa chỉ nhận là: 0xa541efe60f274f813a834afd31e896348810bb09
2. Hacker sau đó tạo một giao dịch 0 đồng từ lỗ hỏng smartcontract của ERC20. Gửi từ địa chỉ A Tèo tới: 0xA545c8659B0CD5B426A027509E55220FDa10bB09. Để ý, địa chỉ nhận gần giống địa chỉ của Binance, chỉ khác phần ở giữa.
3. Trong lịch sử giao dịch của các loại ví sẽ hiển thị đồng thời cả 2 giao dịch trên.
4. A Tèo hôm sau muốn tiếp tục chuyển coin lên Binance. Nhưng thay vì vào Binance copy địa chỉ, anh Tèo vào lịch sử giao dịch copy địa chỉ ở giao dịch 0 đồng: 0xA545c8659B0CD5B426A027509E55220FDa10bB09
5. A Tèo chuyển nhầm địa chỉ & mất tiền.

Do đó, khi chuyển tiền, hãy xác minh địa chỉ nhận một cách chính xác nhất. Tránh việc copy địa chỉ từ một nguồn mà bạn không chắc chắn.