CoinZ Viet
  • Tin tức
  • Hướng dẫn
  • Kiến thức
  • CoinZ Wiki
No Result
View All Result
CoinZ Viet
  • Tin tức
  • Hướng dẫn
  • Kiến thức
  • CoinZ Wiki
No Result
View All Result
CoinZ Viet
No Result
View All Result
Trang chủ Tin tức

Mất sạch ví tiền điện tử vì bị chiếm SIM

"Cảm thấy an toàn" là mô tả của Eric Falkenstein về các tài khoản tiền điện tử của mình, trước khi anh bị hack mất số tiền trị giá 350.000 USD.

James Mai Chia sẻ bởi James Mai
09/11/2022
1
0
Mất sạch ví tiền điện tử vì bị chiếm SIM
3
CHIA SẺ
23
LƯỢT XEM
Share on FacebookShare on Twitter

Thị trường tiền điện tử đều đã quen với những vụ hack “như cơm bữa”, lợi dụng những lỗ hổng khác nhau của một hệ thống hoặc sàn giao dịch để lấy đi hàng trăm triệu USD giá trị tài sản, chẳng hạn như vụ hack cầu nối Binance cách đây không lâu.

Dù vậy, vụ hack 350.000 USD xảy ra với Eric Falkenstein, một nhà đầu tư kỳ cựu trong thị trường cho thấy những người nhiều kinh nghiệm vẫn có thể mất tiền trong thị trường này, dù tuân thủ chặt chẽ các giao thức như giữ bí mật thông tin và xác thực đa yếu tố (multi-factor authentication – MFA).

Bài viết cùng chủ đề

Circle đổi tên USD Coin và Euro Coin thành USDC và EURC

Circle đổi tên USD Coin và Euro Coin thành USDC và EURC

23/09/2023
Optimism công bố airdrop 19 triệu OP cho người dùng

Optimism công bố airdrop 19 triệu OP cho người dùng

20/09/2023
Tốc độ giao dịch trên Base và zkSync Era vượt qua Ethereum

Tốc độ giao dịch trên Base và zkSync Era vượt qua Ethereum

18/09/2023
Sony thành lập công ty phát triển blockchain

Sony thành lập công ty phát triển blockchain

18/09/2023

“Tôi đã theo dõi Eric Falkenstein từ hơn 10 năm nay, anh ta một blogger tài chính có trình độ và là người đầu tư vào crypto từ rất sớm”, TS Lê Hồng Giang, nhà phân tích tài chính và Giám đốc đầu tư tại Tactical Management Global, chia sẻ với Zing.

Các tài khoản Coinbase, Kraken, Gemini, v.v... thường được coi là an toàn nếu người dùng tuân thủ các giao thức bảo mật. Ảnh: Finbold.
Các tài khoản Coinbase, Kraken, Gemini, v.v… thường được coi là an toàn nếu người dùng tuân thủ các giao thức bảo mật. Ảnh: Finbold.

Vụ hack xảy ra với một người có kinh nghiệm như Falkenstein, tuy không lên đến con số triệu USD như những vụ việc thường được chú ý, đã khiến nhiều nhà đầu tư tiền điện tử, vốn nghĩ rằng tài sản của mình đang nằm an toàn trong ví, phải giật mình.

Sự cố “nhỏ”

Sáng ngày 4/4, Eric không thể truy cập vào tài khoản Gmail của mình khi bắt đầu ngày làm việc, và phải dùng tính năng “Quên mật khẩu”. Như thông thường, Google sẽ gửi về một mã xác nhận để thiết lập lại mật khẩu, qua tin nhắn điện thoại. Nhưng lần này tin nhắn không đến.

Nghĩ rằng đây chỉ là bug, Eric đến một đại lý nhà mạng T-mobile vào 11h và được thông báo SIM đã “chết”, không có thông tin gì thêm.

“Sau một vài cuộc gọi đến tổng đài, tôi mới được biết rằng SIM đã bị vô hiệu hóa để chuyển sang điện thoại khác vào lúc 1:17 sáng theo giờ địa phương tại một cửa hàng T-Mobile gần Oakland, California”, Eric cho biết.

Sau khi lấy được SIM, hacker đã lấy được tài khoản Google của Eric qua tính năng quên mật khẩu và gửi mã qua tin nhắn. Không may, nhà đầu tư này sử dụng ứng dụng quản lý mật khẩu của Google, do đó các tài khoản tiền điện tử và mật khẩu cũng rơi vào tay hacker.

Sim T-Mobile của Eric Falkenstein đã bị hacker chuyển sang điện thoại khác ngay trong đêm theo giờ địa phương, khi các đại lý nhà mạng không làm việc. Ảnh: Vice.
Sim T-Mobile của Eric Falkenstein đã bị hacker chuyển sang điện thoại khác ngay trong đêm theo giờ địa phương, khi các đại lý nhà mạng không làm việc. Ảnh: Vice.

“Mặc dù một trình quản lý mật khẩu trực tuyến như Google không phải là lý tưởng, nhưng tôi cảm thấy an toàn vì tất cả tài khoản trên các sàn giao dịch Gemini và Kraken của tôi đều được bảo mật MFA, yêu cầu mã xác thực từ Authy hoặc Google Authenticator trên thiết bị di động”, Eric kể lại.

Chưa rõ bằng cách nào, nhưng sau khi lấy được thông tin tài khoản, hacker đã vượt qua tất cả các ứng dụng MFA này để lấy đi gần 350.000 USD từ các tài khoản, chủ yếu là các token AVAX. Hacker cũng đã gỡ được tính năng đặt hạn mức giao dịch ở tài khoản Kraken.

Do vẫn tìm cách điều tra, gần đây Eric mới công khai vụ việc. Trao đổi với Zing, nhà đầu tư này cho biết đến nay vẫn không rõ bằng cách nào hacker đã vượt qua được xác thực đa yếu tố. “Tôi vẫn muốn biết cách kẻ tấn công có thể tái tạo lại Authy và Google Authenticator chỉ với số điện thoại và tài khoản Google, thật khó hiểu”, Eric nói.

Google Authenticator, ứng dụng cung cấp mã xác thực đăng nhập tài khoản được nhiều người sử dụng. Ảnh: androidguys.
Google Authenticator, ứng dụng cung cấp mã xác thực đăng nhập tài khoản được nhiều người sử dụng. Ảnh: androidguys.

“Chưa rõ hacker đã vượt qua Google Authenticator thế nào, có thể chúng đã reset được MFA của tài khoản Gemini và Kraken của Falkenstein, tạm chuyển MFA từ ứng dụng qua SMS”, TS Giang suy đoán. Nhưng một bài học có thể rút ra là các ứng dụng MFA cũng không đem lại bảo mật tuyệt đối, ông lưu ý.

“Chấp nhận” khi bị hack

Eric nghi ngờ rằng hack đã có tay trong ở T-Mobile giúp chiếm đoạt SIM từ đầu, bởi vì các cửa hàng T-Mobile không mở cửa vào nửa đêm, và nếu muốn yêu cầu nhà mạng chuyển SIM sang điện thoại khác, chủ thuê bao cần có mặt và xuất trình giấy tờ tùy thân.

“Tôi nghĩ rằng có tay trong tại T-Mobile đã cho phép hacker lấy số điện thoại. Thật không may, tôi không có bất kỳ cách nào để truy tố họ”, nhà đầu tư này nói với Zing.

Trong khi những vụ hack lớn nhắm vào các hệ thống như Binance thường gây được “tiếng vang”, những vụ hack nhắm vào các nhà đầu tư cá nhân ít được chú ý. Eric không còn nhiều lựa chọn ngoài “cắn răng chịu đựng”.

Sau khi biết vụ hack xảy ra với Eric, một số nhà đầu tư cho biết sẽ chuyển sang sử dụng khóa xác thực cứng thay do ứng dụng MFA, chẳng hạn như Yubikey này. Ảnh: macrumors.
Sau khi biết vụ hack xảy ra với Eric, một số nhà đầu tư cho biết sẽ chuyển sang sử dụng khóa xác thực cứng thay do ứng dụng MFA, chẳng hạn như Yubikey này. Ảnh: macrumors.

“Ở Mỹ cơ quan thực thi pháp luật duy nhất có khả năng truy tố những tội phạm này là bộ phận an ninh mạng của FBI, nhưng khi tôi báo cáo, họ chỉ kiểm tra IP của kẻ tấn công, trong khi IP này rõ ràng đã bị thao túng thông qua VPN”, Eric nói. Kẻ tấn công đã chuyển IP đến gần địa chỉ của Eric khi thực hiện giao dịch chuyển tiền, nhằm qua mặt các thuật toán phát hiện gian lận.

“Lĩnh vực này quá mới nên các ‘chuyên gia bảo mật’ cũng chỉ có những kiến thức hời hợt vô ích, vì những người thuê họ lại càng có ít kiến ​​thức hơn”, Eric bức xúc kể lại sau khi cả FBI và “chuyên gia” thuê ngoài đều chỉ biết kiểm tra IP giả và không đem lại thông tin gì hơn.

Luật sư của Eric cũng nói rằng vụ kiện chống lại T-Mobile sẽ tiêu tốn khoảng 100.000 USD, mất vài năm và khả năng thắng không cao. Luật sư cũng cho biết vụ chiếm đoạt SIM có thể liên quan đến vụ hack làm lộ dữ liệu một số thuê bao T-Mobile vào năm 2021.

Hacker rao bán dữ liệu thuê bao T-Mobile trong một vụ hack năm 2021 gồm địa chỉ, điện thoại và số an sinh xã hội, tuy nhiên Eric cho biết các thông tin này là chưa đủ để có thể chiếm đoạt SIM. Ảnh: krebsonsecurity.
Hacker rao bán dữ liệu thuê bao T-Mobile trong một vụ hack năm 2021 gồm địa chỉ, điện thoại và số an sinh xã hội, tuy nhiên Eric cho biết các thông tin này là chưa đủ để có thể chiếm đoạt SIM. Ảnh: krebsonsecurity.

T-Mobile, Kraken đều “quay lưng” khi nghe về vụ hack và cho biết sẽ chỉ trả lời cơ quan thực thi pháp luật. Eric không tiếp cận được giao dịch chuyển SIM ở T-Mobile mà kẻ tấn công đã thực hiện, cũng như các thủ tục chuyển MFA và gỡ hạn mức giao dịch ở Kraken. “Không có tiến triển gì”, nhà đầu tư này tóm tắt khi Zing hỏi về quá trình điều tra hơn nửa năm sau vụ hack.

Không nên trông đợi các dịch vụ như Google, Binance, Kraken hay hãng di động giúp đỡ, và phải biết cách khóa thật nhanh các tài khoản tiền, chứng khoán, tiền điện tử ngay khi phát hiện số điện thoại gặp trục trặc, TS Giang tóm tắt lại vụ hack 350.000 USD xảy ra với Eric Falkenstein.

Cả TS Giang và Eric đều cho biết không còn tin tưởng Google, hay thậm chí bất kỳ ứng dụng quản lý mật khẩu trực tuyến nào, thay vào đó tìm đến các phần mềm quản lý mật khẩu ngoại tuyến.

“Tôi sẽ không cung cấp cho Google hay Gmail bất cứ thông tin gì nữa”, Eric nói với Zing.

“Falkenstein đã sai lầm khi sử dụng quản lý mật khẩu của Google, vì từ SIM và tài khoản Google hacker đã dễ dàng lấy được các tài khoản khác”, TS Giang cho biết. Ngoài ra, nếu có thể, người dùng nên sử dụng các chìa khóa xác thực cứng, thay cho ứng dụng MFA.

“Một khi hacker đã lấy được thông tin tài khoản, có thể là tài khoản ngân hàng hoặc chứng khoán, thì khả năng mất tiền là cao. Đây không chỉ là rủi ro cho nhà đầu tư mà bất kỳ ai”, chuyên gia này cho biết thêm khi Zing hỏi về những lo ngại sau vụ việc.

Bài viết này của CoinZ Việt chỉ nhằm mục đích cung cấp thông tin về thị trường cho bạn đọc. Đây hoàn toàn không phải là lời khuyên đầu tư. Các bạn nên tiến hành nghiên cứu trước khi đưa ra quyết định và tự chịu trách nhiệm cho hoạt động đầu tư của mình.
Nguồn: Zing
Chia sẻ1Tweet1

Có thể bạn sẽ thích

Cảnh sát Pháp bắt giữ hai nghi phạm hack Platypus Finance
Tin tức

Cảnh sát Pháp bắt giữ hai nghi phạm hack Platypus Finance

Chia sẻ bởi James Mai
27/02/2023

Hai kẻ tấn công vào giao thức tài chính phi tập trung Platypus Finance đã bị cảnh sát Pháp bắt giữ chỉ hai ngày sau vụ hack.

Xem chi tiết
Jump Crypto thu hồi 120.000 ETH từ vụ tấn công Wormhole
Tin tức

Jump Crypto thu hồi 120.000 ETH từ vụ tấn công Wormhole

Chia sẻ bởi James Mai
25/02/2023

Nền tảng tài chính phi tập trung Oasis đã thu hồi được số tài sản bị đánh cắp từ vụ tấn công Wormhole theo yêu cầu từ EWHC.

Xem chi tiết
Ankr bị tấn công
Tin tức

Ankr bị tấn công, token aBNBc bị in ra vô hạn

Chia sẻ bởi James Mai
02/12/2022

Nền tảng cung cấp cơ sở hạ tầng web3 Ankr bị tấn công vào hợp đồng thông minh khiến token aBNBc bị in ra vô hạn.

Xem chi tiết
Sếp của Fenbushi Capital bị hack 42 triệu USD từ ví cá nhân
Tin tức

Sếp của Fenbushi Capital bị hack 42 triệu USD từ ví cá nhân

Chia sẻ bởi James Mai
24/11/2022

Nhà sáng lập của quỹ đầu tư crypto Fenbushi Capital vừa bị hack số crypto trị giá 42 triệu USD từ ví cá nhân vào chiều ngày 10/11/2022.

Xem chi tiết
Deribit
Tin tức

Deribit bị hack ví nóng, thiệt hại 28 triệu USD

Chia sẻ bởi James Mai
02/11/2022

Deribit, sàn giao dịch quyền chọn Bitcoin lớn nhất thế giới, thông báo bị hack ví nóng và thiệt hại khoảng 28 triệu USD.

Xem chi tiết
Wu Blockchain thông báo có bốn vụ đánh cắp tiền mã hóa bằng cách ăn cắp API Key và giao dịch trên sàn FTX
Tin tức

FTX bồi thường 6 triệu USD vì bị rò rỉ API Key

Chia sẻ bởi James Mai
24/10/2022

Sam Bankman-Fried lên tiếng khẳng định FTX sẽ bồi thường 6 triệu USD cho các nạn nhân của vụ rò rỉ API Key với 3Commas.

Xem chi tiết
Theo dõi
Đăng nhập
Thông báo của
guest
guest
0 Comments
Phản hồi nội tuyến
Xem tất cả bình luận

Tin mới cập nhật

Circle đổi tên USD Coin và Euro Coin thành USDC và EURC

Circle đổi tên USD Coin và Euro Coin thành USDC và EURC

23/09/2023
Optimism công bố airdrop 19 triệu OP cho người dùng

Optimism công bố airdrop 19 triệu OP cho người dùng

20/09/2023
Tốc độ giao dịch trên Base và zkSync Era vượt qua Ethereum

Tốc độ giao dịch trên Base và zkSync Era vượt qua Ethereum

18/09/2023
Sony thành lập công ty phát triển blockchain

Sony thành lập công ty phát triển blockchain

18/09/2023
Grab thử nghiệm ví crypto tại Singapore

Grab thử nghiệm ví crypto tại Singapore

10/09/2023

Tin được quan tâm

  • Hướng dẫn thêm mạng zkSync Era vào Ví MetaMask

    Hướng dẫn thêm mạng zkSync Era vào Ví MetaMask

    854 chia sẻ
    Chia sẻ 342 Tweet 214
  • Hướng dẫn thêm mạng zkSync vào Ví MetaMask

    459 chia sẻ
    Chia sẻ 184 Tweet 115
  • Hướng dẫn thêm mạng Base Goerli vào Ví MetaMask

    209 chia sẻ
    Chia sẻ 84 Tweet 52
  • Hướng dẫn tạo Ví Sui và nhận 50 triệu SUI Coin

    443 chia sẻ
    Chia sẻ 177 Tweet 111
  • Hướng dẫn thêm mạng Ethereum POW (ETHW) vào Ví MetaMask

    418 chia sẻ
    Chia sẻ 167 Tweet 105

CoinZ Việt

CoinZ Việt là kênh tin tức coin mang đến cho các bạn những tin tức và kiến thức mới nhất về Bitcoin, Etherum, game blockchain và hơn thế nữa.CoinZ Việt

Tin mới cập nhật

Circle đổi tên USD Coin và Euro Coin thành USDC và EURC

Optimism công bố airdrop 19 triệu OP cho người dùng

Tốc độ giao dịch trên Base và zkSync Era vượt qua Ethereum

Sony thành lập công ty phát triển blockchain

Grab thử nghiệm ví crypto tại Singapore

Xu hướng

Hướng dẫn thêm mạng zkSync Era vào Ví MetaMask

Hướng dẫn thêm mạng zkSync vào Ví MetaMask

Hướng dẫn tạo Ví Sui và nhận 50 triệu SUI Coin

Hướng dẫn thêm mạng Ethereum POW (ETHW) vào Ví MetaMask

Hướng dẫn thêm BSC Testnet vào Ví MetaMask

  • Giới thiệu
  • Điều khoản sử dụng
  • Liên hệ
  • Chính sách bảo mật
  • Tuyên bố miễn trừ trách nhiệm

Copyright © 2022 CoinZ Việt. All Rights Reserved.

No Result
View All Result
  • Tin tức
  • Hướng dẫn
  • Kiến thức
  • CoinZ Wiki

Copyright © 2022 CoinZ Việt. All Rights Reserved.

Welcome Back!

Login to your account below

Forgotten Password?

Retrieve your password

Please enter your username or email address to reset your password.

Log In
wpDiscuz