Vụ lừa đảo phần thưởng bỏ phiếu Stacks (STX)

Các nhà nghiên cứu an ninh mạng gần đây đã phát hiện một trang web lừa đảo hoạt động dưới tên miền proposal-stacks.co. Trang web này mạo danh nền tảng Stacks hợp pháp và quảng cáo sai sự thật về một chiến dịch phần thưởng bỏ phiếu liên quan đến tiền điện tử $STX. Hoạt động này không liên kết với bất kỳ công ty, tổ chức hợp pháp hoặc thực thể chính thức nào của Stacks. Mục tiêu thực sự của nó là đánh cắp tiền điện tử từ những người dùng không nghi ngờ thông qua cơ chế rút tiền từ ví.

Một chương trình khen thưởng giả mạo được ngụy trang dưới danh nghĩa một sáng kiến chính thức.

Trang web lừa đảo bắt chước rất sát giao diện của trang web Stacks chính thức, sao chép các yếu tố thương hiệu, bao gồm logo, bố cục và bảng màu. Khách truy cập được thông báo rằng một cuộc bỏ phiếu đặc biệt đang diễn ra để xác định 'Ngày trao thưởng $STX'. Theo những tuyên bố gian lận, người dùng tham gia bỏ phiếu sẽ nhận được token STX thưởng sau khi ra mắt.

Những lời hứa này hoàn toàn bịa đặt. Không có chiến dịch bỏ phiếu chính thức hay chương trình phân bổ phần thưởng nào liên quan đến dự án Stacks trên trang web giả mạo này. Sự giả mạo này được thiết kế nhằm mục đích tạo ra cảm giác hợp pháp và cấp bách giả tạo.

Hệ sinh thái Stacks thực sự hoạt động như một chuỗi khối Bitcoin Layer 2, cho phép các ứng dụng phi tập trung và hợp đồng thông minh hoạt động trên nền tảng Bitcoin. Token gốc của nó, STX, được sử dụng để tham gia mạng lưới, trả phí giao dịch và tham gia hệ thống phần thưởng 'Stacking' của nền tảng, cho phép người nắm giữ token kiếm được phần thưởng Bitcoin bằng cách khóa STX trong mạng lưới.

Cách thức hoạt động của công cụ rút tiền điện tử

Chiêu trò lừa đảo trở nên nguy hiểm khi người dùng tương tác với nút "BÌNH CHỌN NGAY" hiển thị trên trang web giả mạo. Nạn nhân được yêu cầu kết nối ví tiền điện tử của họ, một bước được cho là cần thiết để tham gia vào chương trình bỏ phiếu được cho là giả mạo.

Sau khi kết nối ví được chấp thuận, trang web sẽ kích hoạt một công cụ rút tiền điện tử. Công cụ độc hại này được thiết kế để tự động chuyển tài sản kỹ thuật số từ ví của nạn nhân đến các địa chỉ do tội phạm mạng kiểm soát. Trong nhiều trường hợp, việc chuyển tiền diễn ra ngay lập tức và không cần bất kỳ xác nhận nào thêm từ phía nạn nhân.

Vì các giao dịch trên blockchain là không thể đảo ngược, nên việc lấy lại tiền bị đánh cắp thường là bất khả thi. Một khi tài sản được chuyển ra khỏi ví bị xâm phạm, nạn nhân sẽ vĩnh viễn mất quyền kiểm soát đối với số tiền điện tử của mình.

Vì sao những trò lừa đảo này vẫn tiếp tục thành công

Các chiến dịch lừa đảo tiền điện tử thường lợi dụng sự phổ biến và uy tín của các dự án blockchain nổi tiếng. Tội phạm mạng tạo ra các bản sao gần như giống hệt các trang web chính thức để đánh lừa người dùng tin rằng các ưu đãi là thật. Việc tặng token giả, tiền thưởng staking, chương trình thưởng và bỏ phiếu quản trị là một trong những chiến thuật phổ biến nhất được sử dụng trong các hoạt động này.

Những kẻ lừa đảo thường phát tán các liên kết đến những trang web độc hại này thông qua các tài khoản mạng xã hội bị xâm phạm hoặc giả mạo trên các nền tảng như X và Facebook. Các tài khoản gian lận có thể mạo danh các dự án tiền điện tử, người có ảnh hưởng, nhà phát triển hoặc nhóm hỗ trợ chính thức để tăng độ tin cậy.

Người dùng cũng có thể gặp phải những trò lừa đảo này thông qua:

• Quảng cáo và cửa sổ bật lên gây hiểu nhầm hiển thị trên các trang web không an toàn
• Email lừa đảo, tin nhắn trực tiếp độc hại và thông báo đẩy gây hiểu nhầm.
• Các mạng lưới quảng cáo bất hợp pháp liên kết với các cổng torrent hoặc các trang web phát trực tuyến trái phép.
• Các phần mềm quảng cáo độc hại chuyển hướng trình duyệt đến các trang web lừa đảo về tiền điện tử.

Những dấu hiệu cảnh báo không nên bỏ qua

Có một số dấu hiệu giúp nhận diện các trang web hứa hẹn phần thưởng tiền điện tử lừa đảo trước khi xảy ra thiệt hại. Tên miền đáng ngờ, có sự khác biệt nhỏ so với trang web chính thức của dự án, là một dấu hiệu cảnh báo quan trọng. Những lời hứa hẹn phần thưởng không thực tế, thời hạn tham gia gấp rút và các tin nhắn quảng cáo không được yêu cầu cũng cần được xem xét cẩn trọng.

Người dùng luôn nên xác minh thông báo thông qua các kênh chính thức của dự án trước khi kết nối ví hoặc chấp thuận bất kỳ giao dịch blockchain nào. Ngay cả một trang web được thiết kế chuyên nghiệp cũng có thể chứa mã độc nếu nó hoạt động từ một tên miền không chính thức.

Bảo vệ ví tiền điện tử khỏi các cuộc tấn công hút cạn tiền

Để giảm nguy cơ trở thành nạn nhân của các vụ lừa đảo rút tiền điện tử, người dùng nên kiểm tra kỹ địa chỉ URL của trang web, tránh tương tác với các chiến dịch quảng cáo đáng ngờ và không bao giờ kết nối ví điện tử với các nền tảng chưa được xác minh. Người dùng quan tâm đến bảo mật cũng nên sử dụng các phần mềm bảo vệ trình duyệt, các công cụ chống virus uy tín và ví điện tử chuyên dụng cho các tài sản có giá trị cao.

Cách tiếp cận an toàn nhất là giả định rằng bất kỳ phần thưởng token, phiếu bầu quản trị hoặc chương trình khuyến mãi tặng quà bất ngờ nào đều có thể là gian lận cho đến khi được xác minh độc lập thông qua các nguồn chính thức.