Cuộc tấn công đầu độc địa chỉ Ethereum nâng cấp: Sau một lần chuyển tiền, anh ta nhận được 89 email cảnh báo

Viết bài: etherscan.eth

Biên tập: AididiaoJP, Foresight News

Vài tuần trước, một người dùng Etherscan tên Nima đã chia sẻ về một trải nghiệm không vui. Sau khi chỉ thực hiện hai lần chuyển stablecoin, anh ta đã nhận được hơn 89 email cảnh báo theo dõi địa chỉ trong thời gian ngắn.

Như Nima đã chỉ ra, các cảnh báo này được kích hoạt bởi các giao dịch đầu độc địa chỉ. Kẻ tấn công tạo ra các giao dịch này với mục đích duy nhất là đưa các địa chỉ giả có độ tương tự cao vào lịch sử giao dịch của người dùng, nhằm lừa người dùng sao chép và sử dụng nhầm các địa chỉ giả trong lần chuyển tiếp theo.

Đầu độc địa chỉ đã tồn tại trên Ethereum nhiều năm. Tuy nhiên, các sự kiện này cho thấy hoạt động tấn công đã trở nên tự động hóa và quy mô hóa cao. Những thông tin rác rưởi nhỏ lẻ từng xảy ra thưa thớt trước đây nay có thể thực hiện quy mô lớn, với kẻ tấn công thường chỉ mất vài phút sau giao dịch hợp pháp để thực hiện các chuyển khoản đầu độc.

Để hiểu vì sao các cuộc tấn công này ngày càng phổ biến, ta cần phân tích từ hai góc độ: quá trình phát triển của phương pháp tấn công đầu độc địa chỉ và lý do khiến chúng dễ dàng hoạt động quy mô lớn.

Ngoài ra, bài viết sẽ nhấn mạnh một nguyên tắc phòng ngừa cốt lõi để giúp người dùng chống lại các cuộc tấn công này hiệu quả.

1. Phát triển công nghiệp hóa của đầu độc địa chỉ

Đầu độc địa chỉ từng được xem là phương thức lừa đảo nhỏ lẻ của các kẻ tấn công cơ hội. Tuy nhiên, đến nay, mô hình hoạt động của nó đã ngày càng mang đặc trưng của một ngành công nghiệp.

Một nghiên cứu công bố năm 2025 phân tích hoạt động đầu độc địa chỉ từ tháng 7 năm 2022 đến tháng 6 năm 2024 (trước khi nâng cấp Fusaka). Nghiên cứu cho thấy có khoảng 17 triệu lần cố gắng đầu độc trên Ethereum, liên quan đến khoảng 1,3 triệu người dùng, thiệt hại xác nhận ít nhất 79,3 triệu USD.

Bảng dưới dựa trên kết quả của “Nghiên cứu về đầu độc địa chỉ blockchain”, thể hiện quy mô hoạt động đầu độc trên Ethereum và BSC từ tháng 7 năm 2022 đến tháng 6 năm 2024. Dữ liệu cho thấy, trên chuỗi BSC với phí giao dịch thấp hơn nhiều, tần suất các chuyển khoản đầu độc cao hơn 1355%.

Kẻ tấn công thường theo dõi hoạt động blockchain để xác định mục tiêu tiềm năng. Khi phát hiện giao dịch của người dùng mục tiêu, hệ thống tự động sẽ tạo ra các địa chỉ giả có cùng ký tự đầu cuối gần như giống hệt địa chỉ đã tương tác trước đó. Sau đó, chúng gửi các chuyển khoản đầu độc chứa các địa chỉ giả này vào lịch sử giao dịch của mục tiêu, khiến chúng xuất hiện như các giao dịch hợp pháp.

Kẻ tấn công thường chọn các địa chỉ có khả năng sinh lợi cao làm mục tiêu. Các địa chỉ thường xuyên chuyển khoản, giữ lượng token lớn hoặc tham gia các giao dịch lớn thường sẽ nhận nhiều cố gắng đầu độc hơn.

Cơ chế cạnh tranh nâng cao hiệu quả tấn công

Nghiên cứu năm 2025 phát hiện ra một hiện tượng đáng chú ý: các nhóm tấn công thường cạnh tranh lẫn nhau. Trong nhiều hoạt động đầu độc, nhiều kẻ tấn công gần như cùng lúc gửi các chuyển khoản đầu độc tới cùng một địa chỉ mục tiêu.

Các nhóm tấn công cố gắng đưa địa chỉ giả của mình vào lịch sử giao dịch của người dùng trước, để khi người dùng sao chép địa chỉ sau này, địa chỉ giả của nhóm nào đó sẽ được ưu tiên chọn. Người thành công trong việc đầu tiên đưa địa chỉ giả vào sẽ có xác suất bị sao chép nhầm cao hơn.

Ví dụ dưới đây thể hiện mức độ cạnh tranh khốc liệt này. Trong một trường hợp, sau khi một giao dịch hợp pháp USDT hoàn tất, chỉ trong vài phút đã có 13 giao dịch đầu độc được chèn vào.

Lưu ý: Etherscan mặc định ẩn các giao dịch có giá trị bằng 0; ở đây đã bỏ ẩn để minh họa

Các phương pháp phổ biến trong tấn công đầu độc địa chỉ gồm: chuyển dust, giả mạo chuyển token, và chuyển token giá trị 0.

2. Lý do hoạt động quy mô lớn của tấn công đầu độc địa chỉ dễ dàng

Ban đầu, thành công của đầu độc địa chỉ có vẻ không cao. Hầu hết người dùng không dễ bị lừa. Tuy nhiên, xét về mặt kinh tế, logic của loại tấn công này lại khác biệt hoàn toàn.

Chơi xác suất

Các nhà nghiên cứu phát hiện rằng, trên Ethereum, tỷ lệ thành công của một lần cố gắng đầu độc khoảng 0,01%. Nói cách khác, trung bình cứ 10.000 lần chuyển khoản đầu độc thì chỉ có khoảng 1 lần khiến người dùng gửi nhầm tiền cho kẻ tấn công.

Vì vậy, hoạt động đầu độc không còn giới hạn ở một số địa chỉ nhỏ lẻ nữa, mà sẽ gửi hàng nghìn, thậm chí hàng triệu lần. Khi số lượng cố gắng đủ lớn, dù tỷ lệ thành công nhỏ cũng có thể tích lũy thành lợi nhuận đáng kể.

Một vụ lừa đảo chuyển khoản lớn thành công đủ để bù đắp chi phí của hàng nghìn lần thất bại.

Chi phí giao dịch thấp hơn thúc đẩy cố gắng đầu độc nhiều hơn

Nâng cấp Fusaka kích hoạt ngày 3 tháng 12 năm 2025 đã giới thiệu các tối ưu về khả năng mở rộng, giảm đáng kể chi phí giao dịch trên Ethereum. Thay đổi này không chỉ mang lại lợi ích cho người dùng và nhà phát triển, mà còn giảm mạnh chi phí gửi các chuyển khoản đầu độc của kẻ tấn công, cho phép họ gửi hàng triệu cố gắng đầu độc với chi phí thấp chưa từng có.

Sau nâng cấp Fusaka, hoạt động trên mạng Ethereum tăng rõ rệt. Trong 90 ngày sau nâng cấp, trung bình mỗi ngày xử lý giao dịch tăng 30% so với 90 ngày trước đó. Số địa chỉ mới tạo mỗi ngày cũng tăng trung bình khoảng 78%.

Ngoài ra, hoạt động dust cũng tăng rõ rệt. Các chuyển khoản dust này là các giao dịch của kẻ tấn công gửi token hoặc ETH có giá trị cực nhỏ, giống với các giao dịch lịch sử của người dùng.

Dưới đây là so sánh hoạt động dust của các loại tài sản chính trong 90 ngày trước và sau nâng cấp Fusaka. Với các stablecoin như USDT, USDC, DAI, dust là các giao dịch có giá trị dưới 0,01 USD; còn ETH là các giao dịch dưới 0,00001 ETH.

USDT

Trước nâng cấp: 4,2 triệu lần

Sau nâng cấp: 29,9 triệu lần

Tăng trưởng: +25,7 triệu lần (+612%)

USDC

Trước nâng cấp: 2,6 triệu lần

Sau nâng cấp: 14,9 triệu lần

Tăng trưởng: +12,3 triệu lần (+473%)

DAI

Trước nâng cấp: 142,405 lần

Sau nâng cấp: 811,029 lần

Tăng trưởng: +668,624 lần (+470%)

ETH

Trước nâng cấp: 104,5 triệu lần

Sau nâng cấp: 169,7 triệu lần

Tăng trưởng: +65,2 triệu lần (+62%)

Dữ liệu cho thấy, sau nâng cấp Fusaka, hoạt động dust (dưới 0,01 USD) tăng đột biến, đạt đỉnh rồi giảm nhưng vẫn cao hơn nhiều so với trước đó. Trong khi đó, các giao dịch có giá trị lớn hơn 0,01 USD vẫn duy trì ổn định.

Biểu đồ: So sánh xu hướng dust (<0,01 USD) của USDT, USDC, DAI trong 90 ngày trước và sau nâng cấp Fusaka

Biểu đồ: So sánh xu hướng giao dịch bình thường (>0,01 USD) của USDT, USDC, DAI trong cùng khoảng thời gian

Trong nhiều hoạt động tấn công, kẻ tấn công ban đầu phân phối token và ETH hàng loạt đến các địa chỉ giả mới tạo, sau đó các địa chỉ này sẽ lần lượt gửi dust đến mục tiêu. Do dust có giá trị cực nhỏ, khi chi phí giao dịch giảm, kẻ tấn công có thể thực hiện quy mô lớn với chi phí cực thấp.

Hình minh họa: Địa chỉ Fake_Phishing1688433 gửi token và ETH hàng loạt đến nhiều địa chỉ giả khác nhau trong một giao dịch

Cần làm rõ rằng, không phải tất cả các chuyển dust đều là hành vi đầu độc. Dust cũng có thể xuất phát từ hoạt động hợp pháp như đổi token hoặc giao dịch nhỏ giữa các địa chỉ. Tuy nhiên, sau khi xem xét hàng loạt các bản ghi dust, phần lớn trong số này có khả năng là các cố gắng đầu độc.

3. Nguyên tắc phòng ngừa cốt lõi

Trước khi gửi bất kỳ khoản tiền nào, hãy kiểm tra kỹ địa chỉ mục tiêu.

Dưới đây là một số lời khuyên thực tế khi sử dụng Etherscan để giảm thiểu rủi ro:

Sử dụng nhãn địa chỉ dễ nhận biết

Đặt tên riêng tư cho các địa chỉ thường xuyên tương tác trên Etherscan. Điều này giúp phân biệt rõ các địa chỉ hợp lệ trong hàng nghìn địa chỉ tương tự.

Sử dụng dịch vụ tên miền như ENS để nâng cao khả năng nhận diện địa chỉ trong trình duyệt.

Ngoài ra, nên dùng chức năng danh bạ của ví để thêm các địa chỉ thường dùng vào danh sách trắng, đảm bảo gửi tiền đúng mục tiêu dự kiến.

Bật chức năng làm nổi bật địa chỉ

Chức năng làm nổi bật địa chỉ của Etherscan giúp người dùng dễ phân biệt các địa chỉ có vẻ giống nhau. Nếu hai địa chỉ trông gần như giống hệt nhau nhưng cách hiển thị khác nhau, thì một trong hai khả năng cao là địa chỉ đầu độc.

Xác nhận kỹ địa chỉ trước khi sao chép

Etherscan sẽ cảnh báo khi người dùng sao chép địa chỉ có thể liên quan đến hoạt động đáng ngờ, như:

Chuyển token giá trị thấp

Chuyển token giả mạo

Token có uy tín kém

Token chưa cập nhật thông tin

Khi thấy cảnh báo này, hãy tạm dừng thao tác và kiểm tra kỹ xem địa chỉ bạn sao chép có đúng là mục tiêu bạn muốn tương tác hay không.

Nhớ rằng, thế giới tiền mã hóa không có nút “Hoàn tác”. Một khi gửi tiền sai địa chỉ, khả năng lấy lại là rất thấp.

Tổng kết

Khi chi phí giao dịch giảm, các chiến lược tấn công quy mô lớn trở nên kinh tế hơn, đầu độc địa chỉ ngày càng phổ biến trên Ethereum. Loại hình tấn công này cũng gây ảnh hưởng tiêu cực đến trải nghiệm người dùng, khi hàng loạt thông tin rác đầu độc tràn lan trong các lịch sử giao dịch hiển thị cho người dùng.

Để phòng tránh hiệu quả, cần nâng cao ý thức bảo vệ của người dùng và cải thiện thiết kế giao diện. Người dùng cần hình thành thói quen: trước khi gửi tiền, phải kiểm tra kỹ địa chỉ mục tiêu.

Các công cụ và giao diện liên quan cũng cần phát huy vai trò giúp người dùng nhanh chóng nhận diện hoạt động đáng ngờ.

Nhãn địa chỉ đầu độc trên Etherscan ()

Etherscan liên tục cải tiến giao diện trình duyệt và dịch vụ API để hỗ trợ người dùng dễ dàng nhận diện các hoạt động tấn công này. Chúng tôi chủ động gắn nhãn các địa chỉ giả, nhận diện và ẩn các chuyển token có giá trị 0, đánh dấu token giả mạo. Nhờ các dữ liệu đã được xử lý này, người dùng không cần phải tự lọc hàng loạt giao dịch mà vẫn dễ dàng phát hiện các cố gắng đầu độc địa chỉ tiềm năng.

Khi các cuộc tấn công đầu độc ngày càng nâng cao về tự động hóa và quy mô lớn nhờ các phương pháp dust tự động, rõ ràng các tín hiệu rủi ro này đóng vai trò quan trọng trong việc giúp người dùng phân biệt hoạt động đáng ngờ với giao dịch hợp pháp.