
Hướng dẫn giao dịch an toàn chống lừa đảo trên chuỗi OKX Web3 mới nhất
Tuyển chọn TechFlowTuyển chọn TechFlow

Hướng dẫn giao dịch an toàn chống lừa đảo trên chuỗi OKX Web3 mới nhất
Khám phá thế giới trên chuỗi, an toàn là ưu tiên hàng đầu. Người dùng cần ghi nhớ 3 quy tắc an toàn sau: không điền cụm từ khôi phục/mã riêng tư trên bất kỳ trang web nào, cẩn trọng khi nhấn nút xác nhận trong giao diện giao dịch ví, và các liên kết thu thập được từ Twitter/Discord/công cụ tìm kiếm có thể là liên kết lừa đảo.
Bước vào chu kỳ mới, rủi ro tương tác trên chuỗi ngày càng bộc lộ rõ khi mức độ hoạt động của người dùng gia tăng. Các đối tượng lừa đảo thường sử dụng các hình thức như tạo trang web ví giả mạo, đánh cắp tài khoản mạng xã hội, phát triển tiện ích mở rộng trình duyệt độc hại, gửi email và tin nhắn lừa đảo, hoặc phát hành ứng dụng giả để dụ dỗ người dùng tiết lộ thông tin nhạy cảm, dẫn đến mất tài sản. Các hình thức lừa đảo này mang đặc điểm đa dạng, phức tạp và tinh vi.
Ví dụ, kẻ lừa đảo thường tạo ra các trang web ví giả trông giống hệt trang chính thống nhằm dụ người dùng nhập khóa riêng tư hoặc cụm từ khôi phục (seed phrase). Những trang web giả này thường được quảng bá qua mạng xã hội, email hay quảng cáo, khiến người dùng lầm tưởng đang truy cập dịch vụ ví hợp pháp, từ đó đánh cắp tài sản. Ngoài ra, một số kẻ lừa đảo còn giả danh nhân viên hỗ trợ kỹ thuật hoặc quản trị viên cộng đồng trên nền tảng mạng xã hội, diễn đàn hoặc ứng dụng nhắn tin tức thời, gửi tin nhắn giả yêu cầu người dùng cung cấp thông tin ví hoặc khóa riêng tư – hình thức này lợi dụng sự tin tưởng của người dùng vào đội ngũ chính thức để chiếm đoạt thông tin cá nhân.
Tóm lại, những trường hợp trên cho thấy mối đe dọa nghiêm trọng mà hành vi lừa đảo gây ra cho người dùng ví Web3. Để giúp người dùng nâng cao nhận thức về an toàn khi sử dụng ví Web3 và bảo vệ tài sản khỏi thất thoát, OKX Web3 đã tiến hành khảo sát sâu trong cộng đồng và thu thập nhiều sự việc người dùng ví Web3 từng gặp phải, từ đó tổng hợp thành 4 tình huống lừa đảo điển hình nhất, đồng thời biên soạn hướng dẫn mới nhất về cách giao dịch an toàn trên Web3 dưới dạng minh họa kết hợp ví dụ cụ thể, để mọi người tham khảo học tập.
Nguồn thông tin độc hại
1. Bình luận trên bài viết Twitter của dự án nổi bật
Việc lợi dụng bình luận dưới bài viết Twitter của các dự án nổi bật là một trong những phương thức phổ biến nhất để phát tán thông tin độc hại. Tài khoản Twitter lừa đảo có thể sao chép logo, tên, biểu tượng xác thực giống hệt tài khoản chính thức, thậm chí số lượng người theo dõi cũng lên tới hàng chục nghìn. Điểm khác biệt duy nhất giữa hai tài khoản chính là handle Twitter (lưu ý các ký tự dễ nhầm lẫn), người dùng cần hết sức cảnh giác.

Hơn nữa, nhiều tài khoản giả thường cố tình trả lời dưới bài viết chính thức, nhưng nội dung chứa liên kết lừa đảo, khiến người dùng dễ dàng nhầm tưởng đây là đường link chính thống và bị lừa. Hiện nay, một số tài khoản chính thức đã thêm dòng "End of Tweet" vào tweet nhằm nhắc nhở người dùng cảnh giác với các phản hồi sau đó có thể chứa liên kết độc hại.

2. Đánh cắp tài khoản Twitter/Discord chính thức
Để tăng tính tin cậy, các đối tượng lừa đảo còn tấn công và chiếm quyền điều khiển tài khoản Twitter/Discord chính thức của dự án hoặc KOL, sau đó đăng tải liên kết lừa đảo dưới danh nghĩa chính thức. Do đó, rất nhiều người dùng dễ bị mắc lừa. Ví dụ, tài khoản Twitter của Vitalik và tài khoản chính thức của dự án TON từng bị xâm nhập, kẻ lừa đảo đã lợi dụng để phát tán thông tin giả mạo hoặc liên kết độc hại.


3. Quảng cáo tìm kiếm Google
Kẻ lừa đảo đôi khi sử dụng quảng cáo tìm kiếm Google để phát tán liên kết độc hại. Người dùng nhìn thấy tên hiển thị trên trình duyệt là tên miền chính thức, nhưng khi nhấp vào sẽ chuyển hướng đến trang lừa đảo.

4. Ứng dụng giả mạo
Kẻ lừa đảo còn dụ dỗ người dùng thông qua ứng dụng giả mạo. Chẳng hạn khi người dùng tải và cài đặt ví giả do kẻ lừa đảo phát hành, có thể dẫn đến rò rỉ khóa riêng tư và mất tài sản. Một số đối tượng từng chỉnh sửa gói cài đặt Telegram, làm thay đổi địa chỉ chuỗi nhận và gửi token, gây thiệt hại tài sản cho người dùng.


5. Biện pháp phòng ngừa: OKX Web3 Wallet hỗ trợ phát hiện liên kết lừa đảo và cảnh báo rủi ro
Hiện tại, OKX Web3 Wallet cung cấp chức năng phát hiện liên kết lừa đảo và cảnh báo rủi ro nhằm hỗ trợ người dùng xử lý các vấn đề nêu trên. Ví dụ, khi người dùng truy cập website bằng OKX Web3 Wallet (phiên bản tiện ích mở rộng), nếu tên miền đó thuộc danh sách độc hại đã biết, hệ thống sẽ ngay lập tức gửi cảnh báo. Ngoài ra, nếu người dùng sử dụng OKX Web3 APP truy cập DApp bên thứ ba qua giao diện Discover, OKX Web3 Wallet sẽ tự động kiểm tra rủi ro tên miền; nếu phát hiện tên miền độc hại, hệ thống sẽ chặn và cảnh báo, ngăn người dùng truy cập.


An toàn khóa riêng tư ví
1. Tương tác với dự án hoặc xác minh tư cách
Khi người dùng tương tác với dự án hoặc xác minh tư cách, kẻ lừa đảo có thể giả mạo cửa sổ popup của ví hoặc bất kỳ trang web nào khác, yêu cầu người dùng điền cụm từ khôi phục/khóa riêng tư. Đây thường là các trang web độc hại, người dùng cần cảnh giác cao độ.


2. Giả danh nhân viên hỗ trợ kỹ thuật hoặc quản trị viên dự án
Kẻ lừa đảo thường xuyên giả danh nhân viên hỗ trợ kỹ thuật hoặc quản trị viên Discord của dự án, cung cấp đường link yêu cầu người dùng nhập cụm từ khôi phục hoặc khóa riêng tư. Trong trường hợp này, chắc chắn đối phương là kẻ lừa đảo.


3. Các con đường rò rỉ cụm từ khôi phục/khóa riêng tư khác
Có nhiều con đường có thể dẫn đến việc cụm từ khôi phục và khóa riêng tư bị rò rỉ, bao gồm: máy tính bị nhiễm phần mềm virus/trojan, sử dụng trình duyệt dấu vân tay (fingerprint browser) để farm airdrop, sử dụng công cụ điều khiển từ xa hoặc proxy, chụp ảnh màn hình cụm từ khôi phục/khóa riêng tư lưu vào thư viện ảnh nhưng bị ứng dụng độc hại tải lên, sao lưu lên đám mây nhưng nền tảng bị xâm nhập, quá trình nhập cụm từ khôi phục/khóa riêng tư bị giám sát, người thân tiếp cận được file/giấy ghi cụm từ khôi phục/khóa riêng tư, hoặc nhà phát triển vô tình đẩy mã chứa khóa riêng tư lên Github, v.v.
Tóm lại, người dùng cần lưu trữ và sử dụng cụm từ khôi phục/khóa riêng tư một cách an toàn để bảo vệ tài sản tốt hơn. Hiện nay, với tư cách là ví tự lưu trữ phi tập trung, OKX Web3 Wallet cung cấp nhiều phương thức sao lưu cụm từ khôi phục/khóa riêng tư như iCloud/Google Drive, thủ công, thiết bị phần cứng,... trở thành một trong những ví hỗ trợ đầy đủ nhất về phương thức sao lưu khóa riêng tư trên thị trường, mang lại giải pháp lưu trữ an toàn cho người dùng. Về vấn đề khóa riêng tư bị đánh cắp, OKX Web3 Wallet đã tích hợp hỗ trợ đầy đủ các ví phần cứng phổ biến như Ledger, Keystone, Onekey. Khóa riêng tư được lưu trong thiết bị phần cứng, do người dùng tự kiểm soát, từ đó đảm bảo an toàn tài sản. Điều này cho phép người dùng vừa quản lý tài sản an toàn thông qua ví phần cứng, vừa tự do tham gia giao dịch token trên chuỗi, thị trường NFT và tương tác với các dự án dApp. Ngoài ra, OKX Web3 Wallet hiện đã ra mắt ví MPC không khóa riêng tư và ví hợp đồng thông minh AA, giúp người dùng đơn giản hóa vấn đề khóa riêng tư.
4 tình huống lừa đảo kinh điển
Tình huống 1: Đánh cắp token gốc của chuỗi
Kẻ lừa đảo thường đặt tên các hàm hợp đồng độc hại là Claim, SeurityUpdate (có tính chất dụ dỗ), nhưng logic thực tế của hàm thì trống rỗng, chỉ nhằm chuyển token gốc của người dùng. Hiện nay, OKX Web3 Wallet đã triển khai chức năng mô phỏng giao dịch trước khi thực thi, hiển thị thay đổi tài sản và quyền truy cập sau khi giao dịch được đưa lên chuỗi, từ đó nhắc nhở người dùng cảnh giác. Ngoài ra, nếu địa chỉ hợp đồng hoặc địa chỉ ủy quyền là địa chỉ độc hại đã biết, hệ thống sẽ phát cảnh báo an toàn màu đỏ.


Tình huống 2: Chuyển tiền đến địa chỉ tương tự
Khi phát hiện giao dịch chuyển tiền lớn, kẻ lừa đảo sẽ tạo ra địa chỉ trùng khớp một vài ký tự đầu với địa chỉ người nhận thật thông qua cơ chế va chạm địa chỉ. Sau đó, chúng sử dụng transferFrom để thực hiện giao dịch 0 giá trị, hoặc dùng USDT giả để chuyển một khoản nhỏ, nhằm làm nhiễu lịch sử giao dịch của người dùng, hy vọng rằng trong các lần chuyển tiền sau, người dùng sao chép nhầm địa chỉ từ lịch sử và hoàn tất hành vi lừa đảo.
https://www.oklink.com/cn/trx/address/TT3irZR6gVL1ncCLXH3PwQkRXUjFpa9itX/token-transfer

https://tronscan.org/#/transaction/27147fd55e85bd29af31c00e3d878bc727194a377bec98313a79c8ef42462e5f


Tình huống 3: Ủy quyền trên chuỗi
Kẻ lừa đảo thường dụ người dùng ký các giao dịch approve / increaseAllowance / decreaseAllowance / setApprovalForAll, hoặc nâng cấp bằng cách sử dụng Create2 để tạo địa chỉ mới đã tính toán trước, qua mặt các công cụ kiểm tra an toàn nhằm chiếm quyền ủy nhiệm. OKX Web3 Wallet sẽ đưa ra cảnh báo an toàn đối với các giao dịch ủy quyền, nhắc nhở người dùng rằng đây là giao dịch ủy quyền và cần thận trọng. Nếu địa chỉ được ủy quyền là địa chỉ độc hại đã biết, hệ thống sẽ phát cảnh báo màu đỏ để tránh người dùng bị lừa.


Tình huống 4: Chữ ký ngoài chuỗi (off-chain signature)
Ngoài việc ủy quyền trên chuỗi, kẻ lừa đảo còn dụ người dùng ký chữ ký ngoài chuỗi. Ví dụ, việc ủy quyền token ERC20 cho phép một địa chỉ hoặc hợp đồng khác được chuyển tài sản người dùng thông qua transferFrom. Kẻ lừa đảo tận dụng đặc điểm này để lừa đảo. Hiện nay, OKX Web3 Wallet đang phát triển chức năng cảnh báo rủi ro cho tình huống này: khi người dùng ký chữ ký ngoại tuyến, hệ thống sẽ phân tích địa chỉ được ủy quyền; nếu trùng với địa chỉ độc hại đã biết, người dùng sẽ nhận được cảnh báo rủi ro.


Các tình huống lừa đảo khác
Tình huống 5: Quyền tài khoản TRON
Tình huống này khá trừu tượng, thường là kẻ lừa đảo chiếm quyền kiểm soát tài khoản TRON của người dùng để điều khiển tài sản. Cấu hình quyền tài khoản TRON tương tự như EOS, chia thành quyền Owner và Active, có thể thiết lập kiểm soát quyền tương tự dạng đa chữ ký. Ví dụ: ngưỡng quyền Owner là 2, hai địa chỉ có trọng số lần lượt là 1 và 2, địa chỉ đầu tiên là địa chỉ người dùng, trọng số 1 nên không thể thao tác tài khoản một mình.
https://tronscan.org/#/wallet/permissions
https://www.oklink.com/trx/tx/1fe56345873425cf93e6d9a1f0bf2b91846d30ca7a93080a2ad69de77de5e45f


Tình huống 6: Quyền token và tài khoản Solana
Kẻ lừa đảo sử dụng SetAuthority để thay đổi quyền sở hữu tài khoản ATA của token, tương đương với việc chuyển token sang địa chỉ Owner mới. Sau khi bị lừa bằng cách này, tài sản người dùng sẽ bị chuyển cho đối tượng lừa đảo. Ngoài ra, nếu người dùng ký giao dịch Assign, Owner tài khoản bình thường sẽ bị thay đổi từ System Program sang hợp đồng độc hại.



Tình huống 7: Gọi queueWithdrawal trên EigenLayer
Do bản thân thiết kế giao thức có lỗ hổng, tình huống này rất dễ bị kẻ lừa đảo lợi dụng. Giao thức trung gian EigenLayer trên Ethereum có chức năng queueWithdrawal cho phép chỉ định địa chỉ khác làm withdrawer. Nếu người dùng bị lừa ký giao dịch này, sau 7 ngày, địa chỉ được chỉ định có thể dùng completeQueuedWithdrawal để lấy tài sản stake của người dùng.
Khám phá thế giới trên chuỗi, an toàn là ưu tiên hàng đầu
Sử dụng ví Web3 một cách an toàn là biện pháp then chốt để bảo vệ tài sản. Người dùng cần chủ động thực hiện các biện pháp phòng ngừa nhằm đối phó với các rủi ro và mối đe dọa tiềm tàng. Có thể lựa chọn OKX Web3 Wallet – ví uy tín trong ngành, đã qua kiểm toán an toàn – để khám phá thế giới trên chuỗi một cách an toàn và thuận tiện hơn.
Là ví tiên tiến và đầy đủ tính năng nhất trong ngành, OKX Web3 Wallet hoàn toàn phi tập trung và tự lưu trữ, hỗ trợ người dùng trải nghiệm toàn diện các ứng dụng trên chuỗi. Hiện nay, ví đã hỗ trợ hơn 85 chuỗi công khai, đồng bộ trên ba nền tảng App, tiện ích mở rộng và trình duyệt, tích hợp 5 lĩnh vực chính gồm ví, DEX, DeFi, thị trường NFT và khám phá DApp, đồng thời hỗ trợ thị trường Ordinals, ví MPC, ví hợp đồng thông minh AA, đổi Gas, kết nối ví phần cứng, v.v. Ngoài ra, người dùng cũng có thể tăng cường bảo mật bằng cách bảo vệ an toàn khóa riêng tư và cụm từ khôi phục, cập nhật thường xuyên ứng dụng ví và hệ điều hành, xử lý cẩn trọng các liên kết và tin nhắn, cũng như bật xác thực đa yếu tố.
Tóm lại, trong thế giới trên chuỗi, an toàn tài sản là trên hết.
Người dùng cần ghi nhớ 3 nguyên tắc an toàn Web3 sau: Không điền cụm từ khôi phục/khóa riêng tư trên bất kỳ trang web nào, cẩn trọng khi nhấn nút Xác nhận trong giao diện giao dịch ví, và các liên kết nhận được từ Twitter/Discord/công cụ tìm kiếm có thể là liên kết lừa đảo.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News














