Công ty phân tích on-chain PeckShield cho biết, vào ngày 1/8, một kẻ lừa đảo đã cố gắng đánh cắp 20 triệu USD bằng USDT từ địa chỉ của nạn nhân. Ban đầu nạn nhân định gửi tiền đến địa chỉ 0xa7B4BAC8f0f9692e56750aEFB5f6cB5516E90570; tuy nhiên, thay vào đó, nó đã được gửi đến địa chỉ lừa đảo: 0xa7Bf48749D2E4aA29e3209879956b9bAa9E90570.
Được biết kẻ lừa đảo đã gửi một giao dịch chuyển USDT có giá trị bằng 0 từ ví của nạn nhân đến địa chỉ lừa đảo. Vài giờ sau, nạn nhân đã gửi 20 triệu USDT cho kẻ lừa đảo vì nghĩ rằng mình đã gửi đến đúng địa chỉ. Tuy nhiên hành động này đã nhanh chóng bị chặn đứng bởi Tether, nhà phát hành USDT đã lập tức đóng băng tài khoản của scammer.
Do địa chỉ ví thường là các chuỗi kí tự dài nên người dùng thường có xu hướng kiểm tra 5 chữ số đầu tiên hoặc 5 chữ số cuối cùng của địa chỉ ví thay vì toàn bộ địa chỉ. Điều này đã trở thành lỗ hổng để các scammer sử dụng.
Với các cuộc tấn công chuyển tiền có giá trị bằng 0, scammer có thể xác nhận giao dịch từ ví của nạn nhân nhưng không cần khoá riêng tư của nạn nhân. Tiếp đó, chúng sẽ thực hiện giao dịch với địa chỉ ví giả mạo có các kí tự bắt đầu và kết thúc giống địa chỉ mà nạn nhân muốn chuyển tiền. Khi xem giao dịch này trong lịch sử giao dịch của họ, nạn nhân có thể cho rằng địa chỉ được hiển thị là địa chỉ gửi tiền đúng và gửi tiền của họ đến địa chỉ lừa đảo.
Các trò lừa đảo chuyển tiền bằng không đã trở nên khá nổi bật trong hệ sinh thái tiền điện tử trong năm qua. Một trong những trường hợp lừa đảo chuyển khoản bằng không đầu tiên xảy ra vào tháng 12/2022, hơn 40 triệu USD thiệt hại đã được ghi nhận trong các cuộc tấn công như thế này.