Tháng 1 năm 2026, thiệt hại do lừa đảo qua mạng bằng ví tiền điện tử tăng vọt lên 6,3 triệu USD, tăng 207% so với tháng 12. Dữ liệu từ Scam Sniffer cho thấy, các hacker đã chuyển sang chiến lược “săn cá voi”, chỉ trong hai trường hợp nạn nhân đã chiếm 65% tổng thiệt hại, với khoản lớn nhất lên tới 3,02 triệu USD. Một vụ “tấn công địa chỉ” khác còn khiến một nạn nhân mất 12,25 triệu USD.
Thiệt hại do lừa đảo qua mạng theo kiểu ký tên tăng 207%, số nạn nhân giảm
Theo báo cáo của Scam Sniffer, trong tháng đầu tiên của năm, các cuộc tấn công lừa đảo qua mạng kiểu ký tên đã lấy đi khoảng 6,3 triệu USD từ ví tiền điện tử của người dùng. Phương thức tấn công này dựa trên việc dụ người dùng ký các hàm “Cho phép” (Permit) hoặc “Tăng quyền” (IncreaseAllowance) độc hại, cấp quyền vô hạn cho bên thứ ba, cho phép hacker rút tiền mà không cần sự chấp thuận của người dùng cho các giao dịch cụ thể.
Điều đáng kinh ngạc là sự chênh lệch rõ rệt giữa số thiệt hại và số nạn nhân. Trong khi số người bị hại giảm 11% so với tháng 12, tổng số tiền bị trộm lại tăng vọt 207%. Sự khác biệt này phản ánh sự thay đổi chiến lược căn bản của tội phạm mạng: từ mô hình “quét lưới” rộng rãi sang chiến thuật “săn cá voi” chính xác, nhắm vào những người có tài sản lớn, thay vì tấn công hàng loạt các tài khoản nhỏ lẻ như trước.
Sự chuyển đổi này đặt ra thách thức mới cho an ninh ví tiền điện tử. Các biện pháp phòng chống lừa đảo truyền thống thường tập trung vào số lượng cuộc tấn công và số nạn nhân, nhưng khi hacker chuyển trọng tâm sang các mục tiêu giá trị cao, các chỉ số này có thể mất tác dụng cảnh báo. Dù số nạn nhân giảm, tổng thiệt hại tăng vọt vẫn cho thấy mức độ đe dọa đang ngày càng nghiêm trọng.
Lừa đảo kiểu ký tên nguy hiểm vì tận dụng đặc tính tương tác của blockchain. Nhiều ứng dụng phi tập trung (DApp) yêu cầu người dùng cấp quyền truy cập token cho hợp đồng thông minh, điều này vốn là quy trình bình thường. Tuy nhiên, hacker giả mạo hợp đồng độc hại thành hợp pháp, dụ người dùng ký cấp phép. Một khi ký, chúng có thể chuyển tài sản từ ví nạn nhân vô thời hạn mà không cần thêm xác nhận nào nữa.
Chiến lược săn cá voi chiếm 65% tổng thiệt hại của hai nạn nhân, khoản lớn nhất 3,02 triệu USD
Báo cáo của Scam Sniffer tiết lộ một sự thật đáng kinh ngạc: chỉ trong hai nạn nhân đã chiếm gần 65% tổng thiệt hại do lừa đảo ký tên trong tháng 1. Trong vụ lớn nhất, một người dùng sau khi ký hàm cấp phép độc hại đã mất 3,02 triệu USD. Phân bố thiệt hại tập trung cao này thể hiện rõ chiến thuật mới của hacker — nhắm mục tiêu chính xác và tấn công các ví tiền điện tử có tài sản lớn.
Chiến lược săn cá voi khác biệt so với lừa đảo truyền thống ở chỗ chúng thu thập thông tin trước khi tấn công. Hacker không còn gửi các liên kết lừa đảo ngẫu nhiên nữa, mà phân tích dữ liệu trên chuỗi để xác định các mục tiêu giá trị cao, nghiên cứu mô hình giao dịch và thói quen của họ, rồi thiết kế các kế hoạch tấn công phù hợp. Phương pháp này đòi hỏi nhiều thời gian chuẩn bị và khả năng kỹ thuật, nhưng lợi nhuận thu về theo cấp số nhân.
Đối với những người sở hữu tài sản lớn, mối đe dọa này đặc biệt nghiêm trọng. Trước đây, các nhà đầu tư có giá trị cao thường nghĩ rằng họ biết cách bảo vệ tài sản hơn người dùng phổ thông, nhưng thực tế, chính giá trị cao lại khiến họ trở thành mục tiêu ưu tiên. Hacker sẵn sàng bỏ ra nhiều nguồn lực hơn để thiết kế các cuộc tấn công xã hội tinh vi, như giả mạo các trang web chân thực hơn, mạo danh các dự án nổi tiếng, thậm chí xây dựng mối quan hệ tin cậy lâu dài qua mạng xã hội.
Xu hướng này còn thể hiện rõ qua các phương pháp tấn công ngày càng tinh vi. Trước đây, lừa đảo qua mạng thường dựa vào email lừa đảo sơ sài và các trang web giả mạo rõ ràng, nhưng các cuộc tấn công săn cá voi hiện nay có thể liên quan đến việc sao chép hoàn hảo giao diện người dùng, giả mạo tên miền (dùng các ký tự giống như i và l để gây nhầm lẫn), cùng các kịch bản khẩn cấp được thiết kế kỹ lưỡng để thúc giục người dùng đưa ra quyết định dưới áp lực.
Tấn công địa chỉ bằng cách “đầu độc” gây thiệt hại 12,25 triệu USD, dán nhãn là bẫy chết người
Ngoài lừa đảo ký tên, một mối đe dọa khác cũng gây thiệt hại lớn — “đầu độc địa chỉ” — cũng đang gây khó khăn cho người dùng ví tiền điện tử. Trong một vụ điển hình tháng 1, một nhà đầu tư chuyển tiền vào địa chỉ lừa đảo đã mất 12,25 triệu USD, là khoản thiệt hại lớn nhất trong tháng.
Tấn công địa chỉ dựa trên thói quen của người dùng và đặc tính của địa chỉ blockchain. Địa chỉ ví tiền điện tử thường là chuỗi ký tự hex 42 ký tự, việc xác minh đầy đủ các địa chỉ này khá phức tạp. Nhiều người dùng quen kiểm tra vài ký tự đầu và cuối của địa chỉ, trong khi hacker lợi dụng điểm yếu này. Chúng tạo ra các địa chỉ “giả mạo” hoặc “nhái” có hình dạng gần giống, sao chép chính xác phần đầu và cuối của địa chỉ hợp lệ trong lịch sử giao dịch của người dùng.
Quy trình tấn công đầu độc địa chỉ
Giám sát mục tiêu: hacker theo dõi lịch sử giao dịch của các ví có giá trị cao
Tạo địa chỉ giả: dùng thuật toán để tạo ra các địa chỉ giả có cùng ký tự đầu/cuối
Gửi mồi nhử: gửi token nhỏ (thường là tấn công bụi) tới ví mục tiêu
Ô nhiễm lịch sử: địa chỉ giả xuất hiện trong lịch sử giao dịch của nạn nhân
Chờ sơ hở: khi người dùng sao chép và dán địa chỉ từ lịch sử, vô tình dùng địa chỉ giả
Hacker hy vọng người dùng sẽ sao chép và dán địa chỉ bị đánh cắp từ lịch sử khi thực hiện chuyển tiếp theo, thay vì kiểm tra toàn bộ chuỗi. Vì địa chỉ giả có phần đầu/cuối giống hệt địa chỉ thật, trừ khi kiểm tra kỹ phần giữa, gần như không thể phân biệt. Một khi tiền được gửi đến địa chỉ giả, do tính bất biến của blockchain, tài sản sẽ ngay lập tức và vĩnh viễn chuyển vào tay hacker.
Khoản thiệt hại 12,25 triệu USD thể hiện rõ tính tàn phá của loại tấn công này. Đối với các nhà đầu tư hoặc tổ chức quản lý số lượng lớn, một lần sai sót trong giao dịch có thể dẫn đến hậu quả thảm khốc. Điều đáng lo ngại hơn là, loại tấn công này không đòi hỏi lỗ hổng kỹ thuật phức tạp, chỉ dựa vào tâm lý và thói quen thao tác của con người, khiến việc phòng tránh trở nên khó khăn hơn.
Cảnh báo của Safe Labs về 5.000 địa chỉ độc hại phối hợp tấn công
Sự gia tăng các vụ việc này đã thúc đẩy Safe Labs (trước đây là nhóm phát triển ví đa chữ ký phổ biến Gnosis Safe) phát đi cảnh báo an toàn khẩn cấp. Công ty phát hiện có tổ chức tội phạm sử dụng khoảng 5.000 địa chỉ độc hại, phối hợp tấn công quy mô lớn qua các chiến dịch xã hội tinh vi.
Safe Labs cho biết: “Chúng tôi phát hiện các hành vi độc hại phối hợp tạo ra hàng nghìn địa chỉ Safe giả, nhằm lừa người dùng gửi tiền sai địa chỉ. Đây là sự kết hợp giữa kỹ thuật xã hội và tấn công đầu độc địa chỉ.” Quy mô này cho thấy, tấn công mạng đã chuyển từ các vụ cá nhân sang một ngành công nghiệp có tổ chức.
Việc phối hợp của 5.000 địa chỉ độc hại cho thấy hacker sở hữu hạ tầng kỹ thuật mạnh mẽ và các công cụ tự động hóa. Việc tạo ra số lượng lớn địa chỉ giả chính xác phù hợp đặc điểm mục tiêu đòi hỏi nhiều tài nguyên tính toán và tối ưu thuật toán. Khả năng tấn công quy mô công nghiệp này cho thấy, đằng sau có thể là các tổ chức tội phạm chuyên nghiệp, chứ không chỉ là hacker đơn lẻ.
Đối với các nhà cung cấp ví tiền điện tử, loại tấn công quy mô lớn này đặt ra thách thức an ninh mới. Các biện pháp an toàn truyền thống như xác thực hai yếu tố (2FA) và lưu trữ ví lạnh gần như vô hiệu đối với các tấn công đầu độc địa chỉ và lừa đảo ký tên, vì chúng lợi dụng cơ chế giao dịch hợp pháp và thao tác của người dùng. Phòng tránh cần bắt đầu từ thiết kế giao diện người dùng, quy trình xác nhận giao dịch và giáo dục người dùng ở nhiều cấp độ.
Các biện pháp phòng chống lừa đảo qua mạng và đầu độc địa chỉ
Đối mặt với các mối đe dọa ngày càng nghiêm trọng, Safe Labs và các chuyên gia an ninh đề xuất nhiều khuyến nghị phòng ngừa. Quan trọng nhất là trước khi thực hiện chuyển khoản lớn, cần xác minh đầy đủ chuỗi ký tự của địa chỉ nhận, chứ không chỉ kiểm tra phần đầu/cuối.
Thực hành an toàn ví tiền điện tử tốt nhất
Xác minh đầy đủ địa chỉ: so sánh từng ký tự của địa chỉ 42 ký tự, đặc biệt phần giữa
Sử dụng danh bạ địa chỉ: lưu trữ các địa chỉ thường dùng làm liên lạc, tránh sao chép từ lịch sử giao dịch
Chuyển thử nhỏ: trước khi gửi số tiền lớn, gửi thử một khoản nhỏ để xác nhận địa chỉ chính xác
Kiểm tra quyền cấp phép: định kỳ rà soát và thu hồi các quyền token không cần thiết
Kích hoạt chế độ xem trước giao dịch: dùng ví hỗ trợ xem trước, kiểm tra kết quả trước khi ký
Bảo vệ bằng đa chữ ký: ví có giá trị cao nên dùng đa chữ ký để tăng độ khó cho hacker
Ngoài ra, người dùng cần cảnh giác với các trang lừa đảo, nhập URL trực tiếp vào trình duyệt thay vì nhấp vào liên kết, và cẩn thận đọc rõ các yêu cầu quyền trước khi ký bất kỳ giao dịch nào. Đối với các nhà quản lý tài sản lớn, sử dụng ví phần cứng và các giải pháp đa chữ ký có thể nâng cao đáng kể mức độ an toàn.
