
Hướng dẫn phòng chống lừa đảo trên Solana: Cách nhận biết và phòng tránh rủi ro?
Tuyển chọn TechFlowTuyển chọn TechFlow

Hướng dẫn phòng chống lừa đảo trên Solana: Cách nhận biết và phòng tránh rủi ro?
Bài viết này tổng hợp các phương pháp lừa đảo phổ biến trên Solana, giúp người dùng hiệu quả tránh được các sự kiện lừa đảo liên quan, giảm thiểu tổn thất tài sản.
Tác giả: Go+ Security
Gần đây, vốn hóa thị trường của Solana tăng vọt, từng vượt qua BNB để xếp hạng ba toàn cầu. Hiệu ứng tài sản khổng lồ này đã thu hút lượng lớn người dùng tích cực, đồng thời cũng kéo theo nhiều nhóm Wallet Drainer (lừa đảo ví) từ các chuỗi EVM chuyển sang Solana. Các trang web lừa đảo và chiêu trò tặng thưởng (airdrop) trên Solana hiện đang được triển khai trên diện rộng, gây thiệt hại nặng nề cho nhiều người dùng. Gần đây, đội ngũ an ninh GoPlus đã phân tích nhiều vụ lừa đảo liên quan đến Solana, phát hiện các nhóm lừa đảo lợi dụng điểm yếu trong cơ sở hạ tầng bảo mật của một số ví Solana, nhanh chóng nâng cấp các chiêu thức dụ dỗ nhận airdrop và đánh cắp tài khoản mạng xã hội. Dưới đây, GoPlus tổng hợp các hình thức tấn công lừa đảo phổ biến trên Solana nhằm giúp người dùng phòng tránh hiệu quả, giảm thiểu tổn thất tài sản.
Các loại hình tấn công
Trong các sự kiện lừa đảo gần đây, GoPlus nhận thấy phần lớn nhóm lừa đảo sử dụng các hình thức như «lừa nhận airdrop», «trang web dự án giả mạo», «quay số miễn phí», «dẫn dắt vào qua NFT airdrop». Những cách thức này về cơ bản giống với các phương pháp dẫn dụ lừa đảo thường thấy trên EVM. Điểm khác biệt chính là kẻ gian tận dụng sự khác nhau giữa cơ chế Solana và EVM để thực hiện hoạt động lừa đảo dưới dạng chuyển đổi «token hoặc ủy quyền» khác nhau. Dưới đây là một số phương thức chuyển giao mà chúng tôi đã quan sát được.

Dụ dỗ chuyển SOL - token gốc
Hình thức tấn công này đơn giản nhất: sau khi người dùng kết nối ví, nhóm lừa đảo sẽ tính toán số dư $SOL hiện tại ở phía giao diện và trực tiếp hoàn tất việc chuyển token thông qua chức năng SystemProgram.transfer. Ví dụ điển hình là một trang web lừa đảo hiển thị giao diện Swap, khiến người dùng tưởng rằng họ có thể mua một loại token nào đó với giá rẻ.

Nhưng thực tế, thao tác được thực hiện chỉ đơn thuần là chuyển $SOL

Dụ dỗ chuyển nhiều loại token
Ngoài việc đánh cắp token gốc $SOL, kẻ lừa đảo còn có khả năng ăn cắp tất cả các loại token mà ví người dùng đang nắm giữ trong cùng một giao dịch ký kết. Mỗi giao dịch trên Solana có thể bao gồm nhiều Instruction, mỗi instruction thực hiện một logic riêng biệt như chuyển tiền, tương tác chương trình hay tạo Account... Điều này có nghĩa là nhóm lừa đảo hoàn toàn có thể chèn nhiều lệnh thao tác vào cùng một giao dịch. Ví dụ, nếu người dùng sở hữu ba loại token khác nhau, website lừa đảo chỉ cần chèn ba lệnh chuyển token tương ứng vào cùng một giao dịch. Như vậy, không cần phải lừa riêng từng tài sản, mà có thể tận dụng đặc điểm này để "rửa sạch" toàn bộ ví trong một lần. Tương tự hình thức đầu tiên, tin tặc cũng dùng nhiều thủ đoạn đánh lừa người dùng nhấn nút xác nhận giao dịch. Có thể thấy, loại giao dịch này sẽ rút sạch mọi tài sản, không chỉ bao gồm token gốc $SOL mà còn cả tài sản dạng NFT và các loại token khác. Ở đây, nhóm lừa đảo chủ yếu sử dụng hàm createTransferCheckedInstruction của SPL Token trên Solana để xây dựng lệnh chuyển đối với tài sản không phải token gốc.

Mô phỏng giao dịch trên Phantom

Mô phỏng giao dịch trên Backpack
Dụ dỗ chuyển quyền sở hữu tài khoản token
Ngoài việc chuyển trực tiếp token, GoPlus còn phát hiện một số website lừa đảo sử dụng thao tác createSetAuthorityInstruction để đưa lệnh vào giao dịch. Bản chất của thao tác này là chuyển quyền sở hữu token trên tài khoản. Mô hình tài khoản của Solana khác với EVM: mỗi địa chỉ tài khoản sẽ có một Tài khoản Token riêng biệt tương ứng với từng loại token. Tài khoản Token này có một owner – chính là tài khoản hiện tại – và ghi lại số dư cũng như thông tin liên quan đến token đó. Thao tác createSetAuthorityInstruction có thể trực tiếp chuyển quyền sở hữu token hiện tại sang một tài khoản khác, về hiệu quả cuối cùng thì tương đương với việc chuyển hết toàn bộ token cho tài khoản kia. Chúng tôi đã thử nghiệm thao tác này trên cả Phantom và Backpack. May mắn thay, cả hai ví này đều đưa ra cảnh báo đặc biệt.


Ngay cả khi người dùng nhấn chọn tùy chọn Ignore and proceed anyway, vẫn có thể xem được sự thay đổi số dư thông qua mô phỏng giao dịch

Lưu ý
Hiện nay, phần lớn các ví Solana phổ biến đã có thể sử dụng chức năng mô phỏng giao dịch để dự đoán kết quả của ba hình thức tấn công kể trên. Người dùng có thể dễ dàng thấy rõ sự thay đổi số dư sau khi nhấn xác nhận. Do đó, chỉ cần kiên nhẫn kiểm tra kỹ từng thay đổi trong giao dịch, người dùng có thể tránh được phần nào rủi ro bị lừa đảo, vì RPC JSON chính thức của Solana đã hỗ trợ chức năng «mô phỏng giao dịch». Tuy nhiên, cùng với việc nâng cấp kỹ thuật lừa đảo, chúng tôi cũng phát hiện một số thủ đoạn rất khó nhận biết.
Lừa đảo cấp quyền token
Đối với người dùng quen thuộc với EVM, việc cấp quyền token là thao tác phổ biến, nhưng trên Solana thì lại khác. Trên mạng Solana, kẻ lừa đảo lợi dụng sự hiểu lầm của người dùng về cơ chế ủy quyền EVM để thực hiện lừa đảo. Website lừa đảo dụ người dùng thực hiện các thao tác tương tác tưởng chừng bình thường, nhưng thực tế lại âm thầm thực hiện giao dịch ủy quyền Delegate thông qua createApproveCheckedInstruction. Mấu chốt của thủ đoạn này là không trực tiếp chuyển tài sản, mà trao cho kẻ tấn công quyền kiểm soát tài sản của người dùng. Loại tấn công này thường ẩn mình sau những giao diện hấp dẫn như giả làm bỏ phiếu, stake,... nhưng thực chất lại âm thầm thay đổi thiết lập ủy quyền tài khoản.
Một khi kẻ tấn công có được quyền kiểm soát tài sản của người dùng, họ có thể tùy ý thao túng tài sản đó, bao gồm chuyển hoặc giao dịch. Loại tấn công này thường khó phát hiện kịp thời vì không gây ra việc chuyển tài sản ngay lập tức. Đồng thời, ảnh hưởng của nó cũng rộng nhất, vì kẻ tấn công sẽ chờ đến khi đủ nhiều nạn nhân và số tiền lớn mới bắt đầu thực hiện việc chuyển token. Người dùng cần đặc biệt lưu ý: mọi yêu cầu thay đổi thiết lập ủy quyền đều đáng nghi ngờ, nhất là trên các trang web hoặc ứng dụng lạ. Chức năng mô phỏng giao dịch có thể cho thấy sự thay đổi về quyền hạn, do đó người dùng không chỉ cần chú ý đến sự thay đổi số dư token trực tiếp mà còn phải cảnh giác trước rủi ro lừa đảo do thay đổi quyền hạn gây ra.


Lừa chữ ký giao dịch bằng Durable Nonce
Durable Nonce là một tính năng trên blockchain Solana, cho phép tạo một tài khoản đặc biệt để lưu trữ giá trị nonce bền vững, không bao giờ hết hạn. Trên Solana, mỗi giao dịch cần một recent blockhash (mã băm khối gần đây) làm một phần để đảm bảo tính thời điểm và duy nhất. Thông thường, mã băm khối này sẽ hết hạn sau khoảng 150 khối, khiến giao dịch không thể xử lý. Cơ chế Durable Nonce cung cấp một giá trị nonce không bao giờ hết hạn, cho phép tạo các giao dịch có hiệu lực lâu dài hơn.
Trong các vụ lừa đảo, kẻ xấu có thể lạm dụng cơ chế Durable Nonce, dụ người dùng ký vào một giao dịch tưởng chừng bình thường nhưng thực chất chứa thao tác độc hại. Vì sử dụng Durable Nonce, các giao dịch này sẽ không bị vô hiệu do hết hạn blockhash, tạo điều kiện cho kẻ lừa đảo có thêm thời gian để thực thi. Ví dụ, chúng có thể thiết kế một giao dịch giả làm thao tác hợp pháp như tham gia airdrop hay sự kiện, nhưng bên trong lại chứa lệnh chuyển tài sản của người dùng sang ví của chúng. Người dùng ký giao dịch trong vô thức, nhưng sau đó không thấy giao dịch xuất hiện trên blockchain, bởi vì kẻ tấn công chỉ lấy chữ ký chứ chưa gửi giao dịch lên mạng. Chúng có thể phát sóng giao dịch bất cứ lúc nào sau đó. Tuy nhiên, dù giao dịch có xảy ra hay không, chúng tôi nhận thấy kiểu chữ ký này không ảnh hưởng đến kết quả mô phỏng giao dịch — các ví chính vẫn có thể mô phỏng và phân tích giao dịch để thông báo kết quả. Do đó, phương pháp luận dựa trên mô phỏng giao dịch trước đó vẫn là cách thức hiệu quả.
Tuy nhiên, chúng tôi vẫn phát hiện một phương pháp tấn công cực kỳ tinh vi và phức tạp có thể «qua mặt» hệ thống bảo vệ
Nâng cấp hợp đồng để né tránh kiểm tra mô phỏng giao dịch
Phương pháp này kết hợp Durable Nonce và đặc tính riêng của hợp đồng Solana — tính nâng cấp được. Nguy cơ tiềm tàng của hình thức tấn công này được khuếch đại thêm nhờ tính năng nâng cấp hợp đồng. Cơ chế Durable Nonce tạo ra một tài khoản giữ giá trị nonce có hiệu lực lâu dài, cho phép giao dịch có hiệu lực trong thời gian dài. Nghĩa là dù người dùng chưa gửi giao dịch lên blockchain ngay khi ký, giao dịch vẫn có thể được phát sóng và thực thi bất cứ lúc nào trong tương lai. Kẻ tấn công có thể lợi dụng điều này để trước tiên dụ người dùng ký một giao dịch hợp đồng tưởng chừng bình thường, trông hoàn toàn vô hại lúc ký kết, và ngay cả các ví chính hay công cụ mô phỏng giao dịch cũng khó cảnh báo trước. Sau khi người dùng ký, kẻ tấn công thành công trong việc lấy được chữ ký Durable Nonce. Lúc này, chúng không vội phát sóng giao dịch, mà dùng chức năng nâng cấp hợp đồng của Solana để biến hợp đồng ban đầu thành phiên bản độc hại. Hợp đồng ác ý này có thể thực hiện các thao tác như chuyển tài sản. Sau khi nâng cấp, kẻ tấn công mới phát giao dịch đã ký lên blockchain để thực hiện hành vi xấu, đạt được mục đích. Kiểu tấn công này cực kỳ tinh vi, gây rủi ro lớn cho người dùng, bởi ngay cả người dùng giàu kinh nghiệm cũng khó nhận ra mối nguy tiềm tàng khi ký giao dịch. Để phòng tránh, người dùng cần kiểm tra kỹ uy tín và lịch sử của hợp đồng, luôn nghi ngờ trước mọi hành vi giao dịch bất thường, tránh tương tác với các hợp đồng nguồn gốc không rõ ràng hoặc mới thành lập. Đồng thời, chúng tôi mong rằng tất cả ví Solana cần lưu tâm đến phương thức tấn công này, kịp thời đưa ra cảnh báo hiệu quả và bảo vệ tài sản người dùng.
Biện pháp phòng ngừa
Khi đối mặt với các cuộc tấn công lừa đảo trên mạng Solana, dưới đây là một số biện pháp phòng ngừa tổng hợp giúp giảm thiểu rủi ro tối đa:
<Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News














