Thị trường tiền điện tử đều đã quen với những vụ hack "như cơm bữa", lợi dụng những lỗ hổng khác nhau của một hệ thống hoặc sàn giao dịch để lấy đi hàng trăm triệu USD giá trị tài sản, chẳng hạn như vụ hack cầu nối Binance cách đây không lâu.
Dù vậy, vụ hack 350.000 xảy ra với Eric Falkenstein, một nhà đầu tư kỳ cựu trong thị trường cho thấy những người nhiều kinh nghiệm vẫn có thể mất tiền trong thị trường này, dù tuân thủ chặt chẽ các giao thức như giữ bí mật thông tin và xác thực đa yếu tố (multi-factor authentication - MFA).
"Tôi đã theo dõi Eric Falkenstein từ hơn 10 năm nay, anh ta một blogger tài chính có trình độ và là người đầu tư vào crypto từ rất sớm", TS Lê Hồng Giang, nhà phân tích tài chính và Giám đốc đầu tư tại Tactical Management Global, chia sẻ với Zing.
Vụ hack xảy ra với một người có kinh nghiệm như Falkenstein, tuy không lên đến con số triệu USD như những vụ việc thường được chú ý, đã khiến nhiều nhà đầu tư tiền điện tử, vốn nghĩ rằng tài sản của mình đang nằm an toàn trong ví, phải giật mình.
Sự cố "nhỏ"
Sáng ngày 4/4, Eric không thể truy cập vào tài khoản Gmail của mình khi bắt đầu ngày làm việc, và phải dùng tính năng “Quên mật khẩu”. Như thông thường, Google sẽ gửi về một mã xác nhận để thiết lập lại mật khẩu, qua tin nhắn điện thoại. Nhưng lần này tin nhắn không đến.
Nghĩ rằng đây chỉ là bug, Eric đến một đại lý nhà mạng T-mobile vào 11h và được thông báo SIM đã “chết”, không có thông tin gì thêm.
"Sau một vài cuộc gọi đến tổng đài, tôi mới được biết rằng SIM đã bị vô hiệu hóa để chuyển sang điện thoại khác vào lúc 1h17 sáng theo giờ địa phương tại một cửa hàng T-Mobile gần Oakland, California", Eric cho biết.
Sau khi lấy được SIM, hacker đã lấy được tài khoản Google của Eric qua tính năng quên mật khẩu và gửi mã qua tin nhắn. Không may, nhà đầu tư này sử dụng ứng dụng quản lý mật khẩu của Google, do đó các tài khoản tiền điện tử và mật khẩu cũng rơi vào tay hacker.
"Mặc dù một trình quản lý mật khẩu trực tuyến như Google không phải là lý tưởng, nhưng tôi cảm thấy an toàn vì tất cả tài khoản trên các sàn giao dịch Gemini và Kraken của tôi đều được bảo mật MFA, yêu cầu mã xác thực từ Authy hoặc Google Authenticator trên thiết bị di động", Eric kể lại.
Chưa rõ bằng cách nào, nhưng sau khi lấy được thông tin tài khoản, hacker đã vượt qua tất cả các ứng dụng MFA này để lấy đi gần 350.000 USD từ các tài khoản, chủ yếu là các token AVAX. Hacker cũng đã gỡ được tính năng đặt hạn mức giao dịch ở tài khoản Kraken.
Do vẫn tìm cách điều tra, gần đây Eric mới công khai vụ việc. Trao đổi với Zing, nhà đầu tư này cho biết đến nay vẫn không rõ bằng cách nào hacker đã vượt qua được xác thực đa yếu tố. “Tôi vẫn muốn biết cách kẻ tấn công có thể tái tạo lại Authy và Google Authenticator chỉ với số điện thoại và tài khoản Google, thật khó hiểu”, Eric nói.
“Chưa rõ hacker đã vượt qua Google Authenticator thế nào, có thể chúng đã reset được MFA của tài khoản Gemini và Kraken của Falkenstein, tạm chuyển MFA từ ứng dụng qua SMS”, TS Giang suy đoán. Nhưng một bài học có thể rút ra là các ứng dụng MFA cũng không đem lại bảo mật tuyệt đối, ông lưu ý.
“Chấp nhận” khi bị hack
Eric nghi ngờ rằng hack đã có tay trong ở T-Mobile giúp chiếm đoạt SIM từ đầu, bởi vì các cửa hàng T-Mobile không mở cửa vào nửa đêm, và nếu muốn yêu cầu nhà mạng chuyển SIM sang điện thoại khác, chủ thuê bao cần có mặt và xuất trình giấy tờ tùy thân.
“Tôi nghĩ rằng có tay trong tại T-Mobile đã cho phép hacker lấy số điện thoại. Thật không may, tôi không có bất kỳ cách nào để truy tố họ”, nhà đầu tư này nói với Zing.
Trong khi những vụ hack lớn nhắm vào các hệ thống như Binance thường gây được “tiếng vang”, những vụ hack nhắm vào các nhà đầu tư cá nhân ít được chú ý. Eric không còn nhiều lựa chọn ngoài “cắn răng chịu đựng”.
“Ở Mỹ cơ quan thực thi pháp luật duy nhất có khả năng truy tố những tội phạm này là bộ phận an ninh mạng của FBI, nhưng khi tôi báo cáo, họ chỉ kiểm tra IP của kẻ tấn công, trong khi IP này rõ ràng đã bị thao túng thông qua VPN”, Eric nói. Kẻ tấn công đã chuyển IP đến gần địa chỉ của Eric khi thực hiện giao dịch chuyển tiền, nhằm qua mặt các thuật toán phát hiện gian lận.
“Lĩnh vực này quá mới nên các ‘chuyên gia bảo mật’ cũng chỉ có những kiến thức hời hợt vô ích, vì những người thuê họ lại càng có ít kiến thức hơn”, Eric bức xúc kể lại sau khi cả FBI và “chuyên gia” thuê ngoài đều chỉ biết kiểm tra IP giả và không đem lại thông tin gì hơn.
Luật sư của Eric cũng nói rằng vụ kiện chống lại T-Mobile sẽ tiêu tốn khoảng 100.000 USD, mất vài năm và khả năng thắng không cao. Luật sư cũng cho biết vụ chiếm đoạt SIM có thể liên quan đến vụ hack làm lộ dữ liệu một số thuê bao T-Mobile vào năm 2021.
T-Mobile, Kraken đều “quay lưng” khi nghe về vụ hack và cho biết sẽ chỉ trả lời cơ quan thực thi pháp luật. Eric không tiếp cận được giao dịch chuyển SIM ở T-Mobile mà kẻ tấn công đã thực hiện, cũng như các thủ tục chuyển MFA và gỡ hạn mức giao dịch ở Kraken. “Không có tiến triển gì”, nhà đầu tư này tóm tắt khi Zing hỏi về quá trình điều tra hơn nửa năm sau vụ hack.
Không nên trông đợi các dịch vụ như Google, Binance, Kraken hay hãng di động giúp đỡ, và phải biết cách khóa thật nhanh các tài khoản tiền, chứng khoán, tiền điện tử ngay khi phát hiện số điện thoại gặp trục trặc, TS Giang tóm tắt lại vụ hack 350.000 USD xảy ra với Eric Falkenstein.
Cả TS Giang và Eric đều cho biết không còn tin tưởng Google, hay thậm chí bất kỳ ứng dụng quản lý mật khẩu trực tuyến nào, thay vào đó tìm đến các phần mềm quản lý mật khẩu ngoại tuyến.
“Tôi sẽ không cung cấp cho Google hay Gmail bất cứ thông tin gì nữa”, Eric nói với Zing.
“Falkenstein đã sai lầm khi sử dụng quản lý mật khẩu của Google, vì từ SIM và tài khoản Google hacker đã dễ dàng lấy được các tài khoản khác”, TS Giang cho biết. Ngoài ra, nếu có thể, người dùng nên sử dụng các chìa khóa xác thực cứng, thay cho ứng dụng MFA.
"Một khi hacker đã lấy được thông tin tài khoản, có thể là tài khoản ngân hàng hoặc chứng khoán, thì khả năng mất tiền là cao. Đây không chỉ là rủi ro cho nhà đầu tư mà bất kỳ ai", chuyên gia này cho biết thêm khi Zing hỏi về những lo ngại sau vụ việc.