โจรที่ได้ Wrapped Bitcoin (WBTC) ไป 2,500 ล้านบาท จากเหยื่อที่โอนผิด ได้ส่ง Ether มูลค่า 153,000 ดอลลาร์ หรือประมาณ 5.6 ล้านบาทกลับคืนสู่เหยื่อ และในการทำธุรกรรมเดียวกัน โจรก็แนบข้อความตกลงที่จะขอเจรจาและขอชื่อผู้ใช้ Telegram แก่เหยื่อเพื่อการติดต่อ โดยจำนวนเงินที่ส่งคืนเหยื่อคิดเป็นเพียง 0.225% ของเงินทุนทั้งหมดที่ถูกขโมยไป
ข้อมูลบนบล็อคเชนแสดงให้เห็นว่า ในวันที่ 5 พฤษภาคม กระเป๋าซึ่งลงท้ายด้วย 8fD5 ได้ส่งข้อความ 3 ข้อความไปยังกระเป๋าที่ลงท้ายด้วย dA6D โดยผู้รับข้อความได้รับเงินจากกระเป๋าที่ถูกโจมตีซึ่งมีป้ายกำกับว่า “FakePhishing327990” บน Etherscan ผ่านบัญชีกลางหลายบัญชี ซึ่งนี่หมายความว่า dA6D น่าจะถูกควบคุมโดยผู้โจมตี
ข้อความดังกล่าวบอกว่า “เหยื่อเต็มใจที่จะมอบเงิน 10% ของเงินทุนแก่ผู้โจมตีเป็นค่า bounty และงดเว้นจากการดำเนินคดีหากพวกเขาคืนอีก 90% ที่เหลือ”
“เราทั้งคู่รู้ดีว่าไม่มีทางที่จะ clean เงินในกองทุนนี้ได้ เพราะคุณจะถูกติดตาม อย่างไรก็ตาม เราจะเก็บเงินของคุณไว้ 10% และส่งคืน 90% คุณมีเวลา 24 ชั่วโมงก่อนเวลา 10.00 น. UTC วันที่ 6 พฤษภาคม 2024 ในการตัดสินใจที่จะเปลี่ยนแปลงชีวิตของคุณ ไม่ว่าในกรณีใดก็ตาม”
เมื่อเวลา 11:37 น. UTC ของวันที่ 9 พฤษภาคม อีกกระเป๋าหนึ่งที่ลงท้ายด้วย 72F1 ได้ตอบกลับโดยส่ง 51 Ether (ETH) (มูลค่า 153,000 ดอลลาร์ ณ ราคาปัจจุบัน) ให้กับเหยื่อ ซึ่งกระเป๋า 72F1 ยังได้รับเงินจาก FakePhishing327990 ผ่านบัญชีกลางหลายบัญชี และบ่งชี้ว่ามันอยู่ภายใต้การควบคุมของผู้โจมตีเช่นกัน
ในธุรกรรมที่ส่ง 51 ETH ผู้โจมตียังได้โพสต์ข้อความระบุว่า “โปรดฝาก telegram ของคุณไว้และฉันจะติดต่อคุณ” จากนั้นพวกเขาพยายามแก้ไขเครื่องหมายวรรคตอนที่ไม่ถูกต้องเมื่อเวลา 11:43 น. โดยโพสต์ข้อความเพิ่มเติมว่า: “กรุณาฝาก telegram ของคุณไว้ แล้วฉันจะติดต่อคุณ[.]”
จากนั้นเหยื่อก็ได้โพสต์ชื่อผู้ใช้ Telegram เพื่อให้สามารถติดต่อกันได้
ข้อมูลบนบล็อคเชนแสดงให้เห็นว่า เมื่อเวลา 09:17 น. ของวันที่ 3 พฤษภาคม ผู้โจมตีใช้ smart contract เพื่อโอนโทเค็น 0.05 จากบัญชีของเหยื่อไปยังบัญชีของผู้โจมตี โดยโทเค็นที่โอนไม่มีชื่ออยู่ใน Etherscan และเรียกง่ายๆ ว่า “ERC-20” ซึ่งภายใต้สถานการณ์ปกติ ผู้โจมตีไม่สามารถถ่ายโอนโทเค็นจากผู้ใช้รายอื่นได้โดยไม่ได้รับความยินยอม แต่ในกรณีนี้ โทเค็นมีการออกแบบแบบที่อนุญาตให้โอนจากบัญชีได้โดยไม่ต้องได้รับความยินยอมจากผู้ใช้
จากนั้นเมื่อเวลา 10:31 น. ของวันเดียวกัน เหยื่อก็ได้ส่ง WBTC จำนวน 1,155 เหรียญไปยังที่อยู่นี้ ซึ่งเห็นได้ชัดว่าเป็นความผิดพลาด และที่อยู่อาจดูคล้ายกับที่อยู่ที่ใช้โดยเหยื่อ เพื่อฝากเงินเข้าสู่เว็บเทรดแบบรวมศูนย์หรือด้วยเหตุผลอื่นใด
นอกจากนี้ เหยื่ออาจเคยเห็นว่าพวกเขาส่งโทเค็น 0.05 ไปยังที่อยู่นี้ในอดีต และดังนั้นจึงคิดว่าปลอดภัย ซึ่งผู้เชี่ยวชาญด้านความปลอดภัยเรียกสิ่งนี้ว่า “address poisoning attack”
อ้างอิง : cointelegraph.com
ภาพ bitcoinist.com
