Chiến dịch lừa đảo Giveaway Highkey: Cách kênh YouTube của HiiiKey bị lợi dụng để lừa đảo 56.000 người xem và trộm 70.000 đô la

Các kênh YouTube có lượng người theo dõi lớn đã trở thành mục tiêu hàng đầu của các vụ lừa đảo tiền điện tử. Nạn nhân mới nhất là HiiiKey, một rapper người Mỹ với 249.000 người đăng ký, tài khoản của anh đã bị khai thác để thực hiện một chiến dịch tặng thưởng crypto tinh vi, lừa đảo nạn nhân khoảng 70.000 đô la.

Sự vi phạm và chiếm đoạt

Vào ngày 7 tháng 1, các đối tượng trái phép đã truy cập vào kênh YouTube (real name Keyshawn Butler) của HiiiKey và nhanh chóng chiếm quyền kiểm soát. Thay vì chỉ đơn giản khóa quyền truy cập của chủ sở hữu hợp pháp, các hacker đã thực hiện một cuộc chiếm đoạt tinh vi: họ hoàn toàn thiết kế lại giao diện kênh, đổi tên thành “[Ethereum FUND],” và xóa toàn bộ thư viện video. Đáng chú ý, họ bỏ qua việc cập nhật phần ABOUT của kênh, giữ nguyên thông tin ban đầu của HiiiKey và liên kết các hồ sơ mạng xã hội—một sai sót nghiêm trọng sau này xác nhận việc tài khoản bị xâm phạm.

Cơ chế lừa đảo

Những kẻ thực hiện đã tải lên một buổi phát trực tiếp quảng bá cho một cuộc tặng thưởng Ethereum và Bitcoin quy mô lớn: 40.000 ETH và 3.000 BTC. Để tăng độ tin cậy cho chiến dịch tặng thưởng này, họ đã tái sử dụng một video cũ có sự xuất hiện của đồng sáng lập Ethereum Vitalik Buterin thảo luận về Beacon Chain và chuyển đổi Ethereum 2.0, sau đó chồng lên các đoạn văn bản quảng cáo tặng thưởng và liên kết website giả mạo.

Chiêu trò này đã thành công. Trong vòng vài giờ, buổi phát trực tiếp thu hút hơn 56.000 người xem cùng lúc—một con số đáng kinh ngạc phản ánh quy mô khán giả hợp pháp của kênh. Nạn nhân được hướng dẫn gửi tiền điện tử đến các địa chỉ ví đã chỉ định với lời hứa sẽ nhận gấp đôi số tiền đầu tư của họ.

Thiệt hại tài chính

Phân tích blockchain các ví đã cung cấp bức tranh rõ ràng về thành công của vụ lừa đảo. Địa chỉ Ethereum tích lũy được 39.1 ETH, trị giá khoảng 47.260 đô la tại thời điểm phát hiện. Địa chỉ Bitcoin nhận hơn 0.6 BTC, tương đương khoảng 22.000 đô la. Tổng cộng, các kẻ lừa đảo đã rút sạch 70.000 đô la từ những người dùng không nghi ngờ trước khi vụ việc bị phát hiện.

HiiiKey xác nhận vụ vi phạm qua tài khoản Instagram của mình nhưng thừa nhận còn chưa rõ các hoạt động mà kênh bị xâm phạm đã thực hiện. Không có tài khoản Twitter chính thức của Ethereum hay của Vitalik Buterin đề cập đến chiến dịch tặng thưởng này—một dấu hiệu cảnh báo mà các nhà đầu tư tinh ý có thể nhận ra, mặc dù rõ ràng nhiều người đã không để ý.

Một mô hình khai thác

Vụ việc này phản ánh một xu hướng đáng lo ngại trong lĩnh vực tiền điện tử. Vào tháng 8 năm 2020, kênh YouTube của nhà đánh giá công nghệ Jon Prosser cũng gặp phải số phận tương tự, khi các hacker đổi tên thành “NASA news” và sử dụng nội dung deepfake của Elon Musk để quảng bá các vụ lừa đảo tặng Bitcoin. Các kênh giả mạo SpaceX đã thu về hơn 150.000 đô la BTC trong cùng năm đó.

Đáng chú ý, nhóm pháp lý của YouTube đã từng tuyên bố rằng nền tảng này không chịu trách nhiệm về các vụ lừa đảo tiền điện tử xảy ra trên các kênh của người dùng. Quan điểm này đã được làm rõ trong các vụ kiện do Ripple khởi xướng vào năm 2020, sau khi có nhiều vụ giả mạo công ty và token XRP của họ.

Những tác động rộng lớn hơn

Trong khi HiiiKey đã được thông báo về vụ xâm phạm, câu hỏi lớn hơn vẫn còn đó: các nền tảng có trách nhiệm gì trong việc ngăn chặn các vụ chiếm đoạt tài khoản dựa trên thông tin xác thực, đặc biệt khi chúng gây thiệt hại về tài chính? Cho đến khi có các chính sách rõ ràng hơn, các vụ lừa đảo tặng thưởng quy mô lớn sẽ vẫn tiếp diễn, khai thác sự kết hợp giữa ảnh hưởng của người nổi tiếng và sức hấp dẫn của tiền điện tử đối với các nhà đầu tư nhỏ lẻ mong muốn lợi nhuận dễ dàng.