Tại sao việc ngừng cắt ngắn địa chỉ lại quan trọng: Cảnh báo $50 triệu USDT

NeverVoteOnDAO · 2026-01-21T10:49:00+00:00

Quỹ cộng đồng Ethereum đã nhấn mạnh các rủi ro về an ninh khi rút ngắn địa chỉ blockchain, đặc biệt sau một vụ lừa đảo qua mạng dẫn đến thiệt hại $50 triệu đô la. Lỗi thiết kế này tạo ra các điểm mù, cho phép các trò lừa đảo diễn ra. Họ đề xuất hiển thị đầy đủ địa chỉ để nâng cao an ninh.

NeverVoteOnDAO

2026-01-21 10:49:00

Đang tạo bản tóm tắt

Việc rút ngắn địa chỉ blockchain bằng dấu chấm hoặc dấu lửng thể hiện một lỗ hổng bảo mật nguy hiểm một cách giả vờ, và Quỹ cộng đồng Ethereum đã chính thức cảnh báo về vấn đề này. Một vụ lừa đảo qua mạng gần đây liên quan đến $50 triệu USDT đã phơi bày rõ ràng cách các phương pháp rút ngắn tạo ra các lỗ hổng mà kẻ lừa đảo lợi dụng một cách tích cực. Đây không chỉ là một phàn nàn kỹ thuật—đây là một lời cảnh tỉnh về cách những lựa chọn nhỏ trong thiết kế giao diện người dùng có thể gây ra thiệt hại tài chính lớn.

Hiểu rõ tại sao việc rút ngắn địa chỉ cho phép các cuộc tấn công

Vấn đề cốt lõi rất đơn giản: khi các giao diện ví, trình duyệt khối và các công cụ khác viết tắt địa chỉ (hiển thị như 0xbaf4b1aF…B6495F8b5), người dùng mất khả năng nhìn thấy phần giữa của địa chỉ. Điều này tạo ra một điểm mù quan trọng. Kẻ tấn công hiểu rõ điểm yếu này và cố ý tạo ra các địa chỉ gian lận mà ba ký tự đầu và ba ký tự cuối khớp với các địa chỉ hợp lệ. Đối với người xem bình thường—đặc biệt là ai đó vội vàng xác minh trước khi gửi tiền—việc hiển thị rút ngắn trông giống hệt địa chỉ thật. Nạn nhân không bao giờ nhận ra những khác biệt tinh vi ẩn trong phần trung tâm bị rút ngắn cho đến khi quá muộn.

Trường hợp $50 Triệu USDT: Cách việc rút ngắn thất bại người dùng

Cuộc tấn công lừa đảo khiến Quỹ cộng đồng Ethereum phải đưa ra tuyên bố liên quan đến một người dùng sao chép địa chỉ, kiểm tra sơ sài dựa trên phần hiển thị rút ngắn, rồi chuyển $50 triệu USDT đến địa chỉ do kẻ tấn công kiểm soát. Tính năng rút ngắn khiến các chi tiết phân biệt quan trọng hoàn toàn không thể nhìn thấy. Đây không phải là một vụ hack tinh vi—đây là một lỗi trong thiết kế giao diện người dùng khiến việc lừa đảo trở nên gần như dễ dàng cho kẻ tấn công. Nạn nhân dựa vào những gì họ có thể thấy, và những gì họ thấy không đủ để phân biệt.

Khuyến nghị chính thức của Quỹ cộng đồng Ethereum

Quan điểm của quỹ là rõ ràng: địa chỉ phải được hiển thị đầy đủ, không rút ngắn. Họ đã xác định rằng cả các ứng dụng ví và nền tảng trình duyệt khối đều duy trì các tùy chọn UI có những lỗ hổng này, và quan trọng là, những vấn đề này hoàn toàn có thể giải quyết được. Giải pháp không phức tạp về công nghệ—nó yêu cầu các nhà phát triển và nền tảng chỉ cần ngừng rút ngắn các thông tin bảo mật quan trọng. Hiển thị đầy đủ địa chỉ loại bỏ sự lừa dối về mặt hình ảnh mà kẻ lừa đảo dựa vào, buộc kẻ tấn công phải dựa vào các chiến thuật xã hội ít hiệu quả hơn.

Điều này có ý nghĩa gì trong tương lai

Cộng đồng ngày càng nhận thức rõ rằng thông tin quan trọng về bảo mật không nên bị viết tắt để tiện lợi trong giao diện người dùng. Người dùng nên yêu cầu hiển thị đầy đủ địa chỉ từ các công cụ của họ, và các nhà phát triển nên xem việc rút ngắn là một thực hành đã lỗi thời. Cho đến khi việc rút ngắn không còn là mặc định, người dùng phải thủ công mở rộng và xác minh toàn bộ địa chỉ trước mỗi giao dịch—một cách xử lý tạm thời mà đáng lẽ không cần thiết nếu việc hiển thị địa chỉ tuân theo các nguyên tắc bảo mật đúng đắn.

ETH1,02%

Xem bản gốc

Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.