Lỗi copy–paste khiến nhà đầu tư Ethereum mất 12,4 triệu USD

Một người dùng Ethereum đã mất 4.556 ETH, trị giá hơn 12,4 triệu USD, sau khi vô tình gửi tiền vào địa chỉ giả do hacker tạo ra trong một vụ lừa đảo “đầu độc địa chỉ” (address poisoning).

Theo dữ liệu được phân tích, kẻ tấn công đã tạo một địa chỉ ví có ký tự đầu và cuối trùng với địa chỉ nhận tiền hợp pháp của Galaxy Digital. Sau đó, hacker gửi các giao dịch nhỏ vào ví nạn nhân để địa chỉ giả này xuất hiện trong lịch sử giao dịch, khiến nó trông quen thuộc và đáng tin.

Do thói quen giao dịch thường xuyên và muốn thao tác nhanh, nạn nhân đã mở lịch sử giao dịch, sao chép nhầm địa chỉ giả mà không kiểm tra toàn bộ chuỗi ký tự. Sai lầm copy–paste này khiến toàn bộ 4.556 ETH bị chuyển thẳng vào ví của kẻ tấn công.

Hình thức lừa đảo đầu độc địa chỉ đang gia tăng trong lĩnh vực crypto, khi hacker lợi dụng việc người dùng chỉ kiểm tra vài ký tự đầu và cuối của ví. Trước đó, vào cuối năm 2025, một nhà đầu tư khác cũng mất tới 50 triệu USD theo cách tương tự, dù đã thử chuyển trước một khoản nhỏ. Chính giao dịch thử này bị hacker lợi dụng để tạo địa chỉ giả có hình thức gần giống, dẫn đến việc nạn nhân gửi nhầm toàn bộ số tiền còn lại.

Các chuyên gia khuyến cáo người dùng không nên sao chép địa chỉ từ lịch sử giao dịch, mà cần kiểm tra đầy đủ toàn bộ địa chỉ ví trước khi gửi tiền. Ngoài ra, có thể sử dụng ENS hoặc lưu sẵn địa chỉ đáng tin cậy trong danh bạ ví để giảm rủi ro. Một số nhà đầu tư cũng cho rằng nên chia nhỏ các giao dịch lớn thay vì chuyển toàn bộ số tiền trong một lần để hạn chế thiệt hại nếu xảy ra sai sót.