Kẻ trộm chụp ảnh cụm từ hạt giống của nạn nhân trong căn hộ, đánh cắp 1,7 triệu đô la tiền điện tử

Một cựu lính đặc công của Lực lượng Vũ trang Singapore (SAF) đã thừa nhận tại tòa án về việc ăn cắp 1.7 triệu đô la trong tiền điện tử sau khi bí mật chụp ảnh một cụm từ khôi phục thuộc về một công dân Trung Quốc sống ở Singapore.

Teo Rong Xuan, 34 tuổi, người đã từng phục vụ trong Đơn vị Lặn Hải quân của quân đội, đã thừa nhận các cáo buộc bao gồm đột nhập nhà, lạm dụng hệ thống máy tính và buôn bán tài sản bất hợp pháp tại tòa án vào ngày 1 tháng 10, theo Straits Times.

Cụm từ hạt giống---thường là một chuỗi các từ ngẫu nhiên---đóng vai trò như chìa khóa chính cho các ví tiền điện tử. Khác với mật khẩu, một cụm từ hạt giống bị đánh cắp không thể được đặt lại, có nghĩa là quyền truy cập vào các quỹ sẽ bị mất vĩnh viễn khi bị xâm phạm.

Việc đánh cắp cụm từ khôi phục là một trong những cách phổ biến nhất để bọn trộm và hacker có được quyền truy cập vào ví của một người. Các cuộc tấn công hạ tầng nhắm vào khóa riêng và cụm từ khôi phục chiếm 70% số tiền bị đánh cắp trong năm ngoái, theo một công ty phân tích blockchain. Công ty này cũng cho biết chúng thường được thu thập thông qua các phương pháp lưu trữ kém, các chiến dịch lừa đảo và việc triển khai phần mềm độc hại.

Hồ sơ tòa án cho thấy Teo đã gặp nạn nhân 30 tuổi vào giữa năm 2022 thông qua một người bạn chung. Trong một buổi tụ họp xem bóng đá tại nhà nạn nhân, Teo đã lấy thẻ truy cập căn hộ với lý do giúp một khách mời khác. Anh ta đã không trả lại thẻ.

Vào ngày 31 tháng 12 năm 2022, Teo đã lợi dụng quyền truy cập đó để quay lại đơn vị của nạn nhân trong khi nạn nhân không có ở đó. Anh ta đã tìm thấy và chụp ảnh một mảnh giấy chứa cụm từ hạt giống 24 từ cho ví phần cứng Ledger Nano X của nạn nhân. Ngày hôm sau, Teo đã sử dụng cụm từ hạt giống để chuyển 1,7 triệu đô la trong stablecoin USDT vào ví của mình.

Các công tố viên cho biết Teo đã chi tiêu số tiền vào đồng hồ sang trọng, cờ bạc trực tuyến và thanh toán thế chấp. Khoảng 1,1 triệu đô la đã được chuyển đổi sang đô la Mỹ và chuyển vào tài khoản ngân hàng của anh ta. Teo sau đó đã thừa nhận tội phạm sau khi nạn nhân phát hiện ra số tiền bị mất và các nhà điều tra blockchain đã liên kết vụ trộm với ví của anh ta.

Teo tuyên bố rằng anh ta được thúc đẩy bởi những khoản thua lỗ tài chính nặng nề sau sự sụp đổ của một sàn giao dịch tiền điện tử lớn vào năm 2022.

Bảo mật ví tiền điện tử

Các chuyên gia trong ngành cho biết vụ việc này minh họa cách mà lỗi do con người và các thực hành lưu trữ yếu kém tiếp tục làm suy yếu an ninh tài sản kỹ thuật số.

"Trường hợp này là một lời nhắc nhở mạnh mẽ rằng hành vi của người dùng cũng quan trọng như bảo mật sản phẩm," một CEO của một công ty ví crypto đã nói với một phương tiện truyền thông.

Bà khuyến nghị những người nắm giữ dài hạn sử dụng ví cứng với chipset được mã hóa, trong khi các nhà giao dịch tích cực có thể xem xét sao lưu đám mây, mặc dù bà cảnh báo rằng các phương pháp như vậy cũng gây ra rủi ro liên quan đến mã hóa và quyền truy cập tài khoản của bên thứ ba.

Một đồng sáng lập và Giám đốc điều hành của một nền tảng thanh toán đã cho biết rằng vụ việc đã làm nổi bật tầm quan trọng của việc bảo vệ một cụm từ hạt giống một cách an toàn đối với những cá nhân thực hành tự quản lý.

"Lưu trữ ở một địa điểm an toàn, chẳng hạn như hộp an toàn tại ngân hàng, là cách làm tốt nhất. Tuy nhiên, thật không may, không có giải pháp nào hoàn hảo liên quan đến việc giữ an toàn cho tài sản kỹ thuật số," ông ấy nói.

Ông ấy nói rằng các phương pháp hay khác sẽ là viết cụm từ hạt giống trên một vật liệu bền, chẳng hạn như các tấm kim loại chống cháy, và lưu trữ nó ở nhiều vị trí an toàn khác nhau, hoặc sử dụng ví đa chữ ký, yêu cầu sự chấp thuận từ hai hoặc nhiều khóa riêng tư để xác thực bất kỳ giao dịch nào từ ví của họ.