Hướng dẫn an toàn cho người dùng tiền mã hóa: Bắt đầu bằng việc hiểu cách bạn có thể bị tấn công

2025.05.30

Chia sẻ đến

Tuyển chọn TechFlowTuyển chọn TechFlow

Hướng dẫn an toàn cho người dùng tiền mã hóa: Bắt đầu bằng việc hiểu cách bạn có thể bị tấn công

Bước đầu tiên trong phần lớn các cuộc tấn công tiền mã hóa vẫn là nhắm mục tiêu cá nhân theo cách thức phi kỹ thuật, và điều này cũng mang lại cho chúng ta cơ hội để phòng ngừa.

2025.05.30 - 10:06:41

安全

Chuyên sâu báo cáo Web3

Tác giả: Rick Maeda

Dịch: Golem

Một thực tế là phần lớn người dùng tiền mã hóa không bị tấn công do các lỗ hổng kỹ thuật phức tạp, mà là do nhấp chuột, ký kết hoặc tin tưởng sai đối tượng. Báo cáo này sẽ phân tích chi tiết những cuộc tấn công an ninh xảy ra hàng ngày quanh người dùng.

Từ bộ công cụ lừa đảo (phishing kit) và công cụ đánh cắp ví đến phần mềm độc hại và lừa đảo dịch vụ khách hàng giả mạo, đa số các cuộc tấn công trong ngành tiền mã hóa đều trực tiếp nhắm vào người dùng chứ không phải giao thức, khiến cho các cuộc tấn công phổ biến tập trung vào yếu tố con người thay vì mã nguồn.

Do đó, báo cáo này tổng quan về các lỗ hổng tiền mã hóa nhắm vào cá nhân người dùng, không chỉ bao gồm loạt lỗ hổng phổ biến mà còn có phân tích trường hợp thực tế và những điều cần cảnh giác hàng ngày.

Cần biết: Bạn chính là mục tiêu bị tấn công

Tiền mã hóa được thiết kế theo đặc tính tự lưu ký (self-custody). Tuy nhiên, đặc điểm nền tảng và giá trị cốt lõi của ngành này lại thường khiến bạn (người dùng) trở thành điểm lỗi đơn lẻ. Trong nhiều trường hợp mất tài sản tiền mã hóa cá nhân, vấn đề không nằm ở lỗ hổng giao thức, mà là một cú nhấp chuột, một tin nhắn riêng, hay một lần ký kết. Một nhiệm vụ hàng ngày dường như vô hại, sự tin tưởng hay lơ là nhất thời, đều có thể làm thay đổi trải nghiệm tiền mã hóa của một người.

Vì vậy, báo cáo này không tập trung vào các vấn đề logic hợp đồng thông minh, mà vào mô hình mối đe dọa cá nhân — phân tích cách người dùng bị khai thác trong thực tiễn và cách ứng phó. Báo cáo sẽ tập trung vào các hình thức tấn công lỗ hổng ở cấp độ cá nhân: lừa đảo (phishing), cấp quyền ví, kỹ thuật xã hội, phần mềm độc hại. Cuối báo cáo cũng sẽ giới thiệu ngắn gọn rủi ro ở cấp độ giao thức để khái quát các dạng khai thác lỗ hổng có thể xảy ra trong lĩnh vực tiền mã hóa.

Phân tích các hình thức tấn công lỗ hổng cá nhân

Các giao dịch diễn ra trong môi trường không cần cho phép mang tính vĩnh viễn và không thể đảo ngược, thường không có bên trung gian can thiệp, cộng thêm việc người dùng cá nhân phải tương tác với các đối thủ giao dịch ẩn danh trên thiết bị và trình duyệt đang nắm giữ tài sản tài chính, khiến tiền mã hóa trở thành mảnh đất săn mồi hấp dẫn cho tin tặc và tội phạm.

Dưới đây là các loại hình tấn công lỗ hổng cá nhân có thể gặp phải, nhưng người đọc cần lưu ý rằng dù phần này bao gồm đa số các hình thức tấn công, nó không hoàn toàn đầy đủ. Với những người mới làm quen tiền mã hóa, danh sách này có thể gây chóng mặt, nhưng phần lớn trong số đó là các hình thức tấn công "thông thường" đã tồn tại từ thời Internet, chứ không riêng gì ngành tiền mã hóa.

Tấn công kỹ thuật xã hội

Những cuộc tấn công lợi dụng thao túng tâm lý để lừa người dùng làm tổn hại an toàn cá nhân.

Lừa đảo (phishing): Email, tin nhắn hoặc website giả mạo nền tảng thật nhằm đánh cắp thông tin đăng nhập hoặc cụm khôi phục.
Lừa đảo mạo danh: Kẻ tấn công giả làm KOL, người đứng đầu dự án hoặc nhân viên hỗ trợ để lấy lòng tin và đánh cắp tiền hoặc thông tin nhạy cảm.
Lừa đảo cụm khôi phục: Người dùng bị dụ khai báo cụm khôi phục qua công cụ khôi phục giả hoặc chương trình quà tặng.
Airdrop giả: Dùng token miễn phí dụ người dùng thực hiện tương tác ví không an toàn hoặc chia sẻ khóa riêng.
Cơ hội việc làm giả: Giả dạng cơ hội tuyển dụng nhằm cài phần mềm độc hại hoặc đánh cắp dữ liệu nhạy cảm.
Lừa đảo pump and dump: Thổi phồng qua mạng xã hội để bán token cho nhà đầu tư nhỏ lẻ thiếu cảnh giác.

Tấn công chiếm quyền SIM và tài khoản

Lợi dụng hạ tầng viễn thông hoặc lỗ hổng cấp độ tài khoản để vượt xác thực.

Đổi SIM: Kẻ tấn công chiếm số điện thoại nạn nhân để chặn mã xác thực hai lớp (2FA) và đặt lại thông tin đăng nhập tài khoản.
Điền lại thông tin đăng nhập (credential stuffing): Sử dụng lại thông tin đăng nhập bị rò rỉ để truy cập ví hoặc tài khoản sàn giao dịch.
Vượt xác thực hai lớp: Khai thác xác thực yếu hoặc xác thực bằng SMS để truy cập trái phép.
Đánh cắp phiên (session hijacking): Đánh cắp phiên trình duyệt qua phần mềm độc hại hoặc mạng không an toàn, từ đó chiếm quyền tài khoản đã đăng nhập.

Hacker từng dùng đổi SIM để chiếm Twitter của SEC Mỹ và đăng tweet giả

Phần mềm độc hại và lỗ hổng thiết bị

Xâm nhập thiết bị người dùng để truy cập ví hoặc thao túng giao dịch.

Keylogger: Ghi lại bàn phím để đánh cắp mật khẩu, PIN và cụm khôi phục.
Chương trình đánh cắp clipboard: Thay thế địa chỉ ví khi dán bằng địa chỉ do kẻ tấn công kiểm soát.
Remote Access Trojan (RAT): Cho phép kẻ tấn công kiểm soát hoàn toàn thiết bị nạn nhân, bao gồm cả ví.
Phần mở rộng trình duyệt độc hại: Các tiện ích bị xâm nhập hoặc giả mạo sẽ đánh cắp dữ liệu hoặc thao túng giao dịch.
Ví giả hoặc ứng dụng giả: Ứng dụng (App hoặc trình duyệt) giả mạo hoạt động nhằm ăn cắp tiền.
Tấn công Man-in-the-Middle (MITM): Chặn và sửa đổi giao tiếp giữa người dùng và nhà cung cấp, đặc biệt trên mạng không an toàn.
Tấn công WiFi không an toàn: WiFi công cộng hoặc bị nhiễm có thể chặn dữ liệu nhạy cảm trong quá trình đăng nhập hoặc truyền tải.

Ví giả là trò lừa phổ biến nhắm vào người mới dùng tiền mã hóa

Lỗ hổng cấp độ ví

Các cuộc tấn công nhắm vào cách người dùng quản lý, tương tác với ví và ký kết.

Đánh cắp tài sản qua cấp quyền độc hại: Hợp đồng thông minh độc hại tận dụng quyền cấp trước để rút sạch token.
Tấn công ký mù (blind signing): Người dùng ký giao dịch với điều kiện mơ hồ, dẫn đến mất tiền (ví dụ: từ ví phần cứng).
Đánh cắp cụm khôi phục: Cụm khôi phục bị lộ do phần mềm độc hại, phishing hoặc thói quen lưu trữ kém.
Rò rỉ khóa riêng: Lưu trữ không an toàn (ví dụ: trên ổ đám mây hoặc ghi chú văn bản thuần) khiến khóa bị lộ.
Thiết bị ví phần cứng bị rò rỉ: Thiết bị bị thay đổi hoặc giả mạo sẽ gửi khóa riêng cho kẻ tấn công.

Rủi ro hợp đồng thông minh và cấp độ giao thức

Xuất phát từ việc tương tác với mã trên chuỗi độc hại hoặc dễ bị tấn công.

Hợp đồng thông minh xấu: Tương tác kích hoạt logic mã độc ẩn, dẫn đến mất tiền.
Tấn công khoản vay chớp nhoáng (flash loan): Sử dụng khoản vay không cần thế chấp để thao túng giá hoặc logic giao thức.
Thao túng oracle: Kẻ tấn công làm sai lệch thông tin giá, lợi dụng các giao thức phụ thuộc dữ liệu sai.
Lừa đảo rút thanh khoản: Người tạo thiết kế token/bể chỉ họ mới rút được, khiến người dùng mắc kẹt.
Tấn công Sybil: Sử dụng nhiều danh tính giả làm rối hệ thống phi tập trung, đặc biệt trong bỏ phiếu quản trị hoặc nhận airdrop.

Lừa đảo thao túng dự án và thị trường

Các vụ lừa liên quan đến token, dự án DeFi hoặc NFT.

Lừa đảo rug pull: Người sáng lập biến mất sau khi huy động vốn, để lại token vô giá trị.
Dự án giả: Bộ sưu tập NFT giả dụ người dùng lừa đảo hoặc ký giao dịch nguy hiểm.
Tấn công bụi (dust attack): Dùng token nhỏ để làm mất ẩn danh ví, định danh mục tiêu lừa đảo.

Tấn công mạng và hạ tầng

Khai thác hạ tầng cấp giao diện người dùng (frontend) hoặc DNS mà người dùng dựa vào.

Đánh cắp frontend / lừa DNS: Kẻ tấn công chuyển hướng người dùng đến giao diện độc hại để đánh cắp thông tin hoặc kích hoạt giao dịch không an toàn.
Lỗ hổng cầu nối chéo chuỗi (cross-chain bridge): Đánh cắp tiền người dùng trong quá trình chuyển đổi chuỗi.

Đe dọa vật lý

Rủi ro ngoài đời thực, bao gồm ép buộc, trộm cắp hoặc theo dõi.

Tấn công cá nhân: Nạn nhân bị ép chuyển tiền hoặc tiết lộ cụm khôi phục.
Trộm cắp vật lý: Đánh cắp thiết bị hoặc bản sao lưu (ví dụ: ví phần cứng, sổ tay) để lấy quyền truy cập.
Quan sát vai (shoulder surfing): Quan sát hoặc chụp ảnh người dùng nhập dữ liệu nhạy cảm nơi công cộng hoặc riêng tư.

Các lỗ hổng quan trọng cần lưu ý

Dù có nhiều cách người dùng bị tấn công, một số lỗ hổng phổ biến hơn. Dưới đây là ba hình thức tấn công mà cá nhân sở hữu hoặc sử dụng tiền mã hóa cần hiểu rõ nhất, cùng cách phòng tránh.

Lừa đảo (bao gồm ví giả và airdrop)

Lừa đảo xuất hiện trước tiền mã hóa cả vài thập kỷ, thuật ngữ này ra đời những năm 1990 để mô tả việc kẻ tấn công dùng email và website giả để "câu" thông tin nhạy cảm (thường là thông tin đăng nhập). Khi tiền mã hóa trở thành hệ thống tài chính song song, lừa đảo tự nhiên tiến hóa để nhắm vào cụm khôi phục, khóa riêng và cấp quyền ví.

Lừa đảo tiền mã hóa đặc biệt nguy hiểm vì không có quyền đòi lại: không hoàn tiền, không bảo vệ gian lận, không có nhân viên hỗ trợ nào hủy giao dịch. Một khi khóa của bạn bị đánh cắp, tiền coi như mất. Cũng cần nhớ rằng lừa đảo đôi khi chỉ là bước đầu tiên của một cuộc tấn công quy mô lớn hơn, rủi ro thực sự không phải là tổn thất ban đầu, mà là chuỗi thiệt hại tiếp theo — ví dụ, thông tin đăng nhập bị đánh cắp có thể giúp kẻ tấn công mạo danh nạn nhân để lừa người khác.

Lừa đảo hoạt động như thế nào?

Lõi của lừa đảo là lợi dụng sự tin tưởng của con người, qua việc tạo giao diện đáng tin giả hoặc mạo danh người có thẩm quyền để dụ người dùng tự nguyện tiết lộ thông tin nhạy cảm hoặc phê duyệt hành động độc hại. Các kênh truyền chính gồm:

Website lừa đảo
Bản sao giả của ví (ví dụ: MetaMask, Phantom), sàn giao dịch (ví dụ: Binance) hoặc dApp
Thường được quảng bá qua quảng cáo Google hoặc chia sẻ trong nhóm Discord/X, nhằm khiến chúng trông giống hệt trang thật
Người dùng có thể bị nhắc "nhập khẩu ví" hoặc "khôi phục tiền", từ đó đánh cắp cụm khôi phục hoặc khóa riêng
Email và tin nhắn lừa đảo
Thông báo giả mạo (ví dụ: "cập nhật bảo mật khẩn cấp" hoặc "tài khoản bị hack")
Chứa liên kết đến cổng đăng nhập giả hoặc dẫn đến tương tác với token độc hại/hợp đồng thông minh
Một số trang lừa thậm chí cho phép bạn nạp tiền, nhưng vài phút sau tiền bị đánh cắp
Lừa đảo airdrop: Gửi token airdrop giả vào ví (đặc biệt trên chuỗi EVM)
Nhấp vào token hoặc cố gắng giao dịch kích hoạt tương tác hợp đồng độc hại
Yêu cầu bí mật phê duyệt token vô hạn, hoặc đánh cắp token gốc người dùng qua nội dung chữ ký hợp lệ

Ví dụ về lừa đảo

Tháng 6/2023, nhóm Lazarus của Triều Tiên tấn công Atomic Wallet — một trong những cuộc tấn công lừa đảo tinh vi nhất trong lịch sử tiền mã hóa. Cuộc tấn công xâm nhập hơn 5.500 ví không giám sát, khiến hơn 100 triệu USD tiền mã hóa bị đánh cắp, mà không cần người dùng ký bất kỳ giao dịch độc hại hay tương tác hợp đồng thông minh nào. Cuộc tấn công này chỉ dùng giao diện lừa đảo và phần mềm độc hại để trích xuất cụm khôi phục và khóa riêng — một ví dụ điển hình về đánh cắp thông tin đăng nhập kiểu lừa đảo.

Atomic Wallet là một ví không giám sát đa chuỗi, hỗ trợ hơn 500 loại tiền mã hóa. Trong sự kiện này, kẻ tấn công triển khai chiến dịch lừa đảo đồng bộ, lợi dụng niềm tin của người dùng vào hạ tầng hỗ trợ, quy trình cập nhật và hình ảnh thương hiệu của ví. Nạn nhân bị dụ bởi email, website giả và bản cập nhật chứa virus, tất cả đều nhằm bắt chước thông điệp hợp pháp của Atomic Wallet.

Các hình thức lừa đảo mà hacker sử dụng bao gồm:

Email giả mạo hỗ trợ khách hàng hoặc cảnh báo bảo mật của Atomic Wallet, thúc giục người dùng hành động khẩn cấp
Website giả mạo giao diện khôi phục ví hoặc nhận airdrop (ví dụ: `atomic-wallet[.]co`)
Phát tán bản cập nhật độc hại qua Discord, email và diễn đàn bị nhiễm, dẫn người dùng đến trang lừa hoặc trích xuất thông tin đăng nhập qua phần mềm độc hại cục bộ

Một khi người dùng nhập cụm khôi phục 12 hoặc 24 từ vào các giao diện gian lận này, kẻ tấn công có toàn quyền truy cập ví của họ. Lỗ hổng này không yêu cầu nạn nhân thực hiện bất kỳ tương tác trên chuỗi nào: không kết nối ví, không yêu cầu ký, không có sự tham gia của hợp đồng thông minh. Thay vào đó, nó hoàn toàn dựa vào kỹ thuật xã hội và mong muốn của người dùng khi khôi phục hoặc xác minh ví trên nền tảng dường như đáng tin.

Trình đánh cắp ví và cấp quyền độc hại

Trình đánh cắp ví là hợp đồng thông minh độc hại hoặc dApp nhằm rút tài sản từ ví người dùng, không phải bằng cách đánh cắp khóa riêng, mà là dụ người dùng cấp quyền truy cập token hoặc ký giao dịch nguy hiểm. Khác với lừa đảo (đánh cắp thông tin đăng nhập), trình đánh cắp ví khai thác quyền truy cập — thứ chính là cốt lõi của cơ chế tin cậy Web3.

Khi DeFi và ứng dụng Web3 trở nên phổ biến, các ví như MetaMask và Phantom phổ biến khái niệm "kết nối" với dApp. Điều này mang lại tiện lợi nhưng cũng tạo ra lỗ hổng tấn công lớn. Từ 2021-2023, đúc NFT, airdrop giả và một số dApp bắt đầu nhúng hợp đồng độc hại vào giao diện người dùng quen thuộc, người dùng thường vì phấn khích hoặc mất tập trung, kết nối ví và nhấn "phê duyệt", nhưng không hề biết mình vừa cấp quyền gì.

Cơ chế tấn công

Cấp quyền độc hại lợi dụng hệ thống quyền trong chuẩn blockchain (ví dụ: ERC-20 và ERC-721/ERC-1155). Chúng dụ người dùng cấp quyền truy cập tài sản liên tục cho kẻ tấn công.

Ví dụ hàm approve(address spender, uint256 amount) trong token ERC-20 cho phép "người chi tiêu" (ví dụ: DApp hoặc kẻ tấn công) chuyển một lượng token nhất định từ ví người dùng. Hàm setApprovalForAll(address operator, bool approved) trong NFT cấp quyền cho "người vận hành" chuyển tất cả NFT trong bộ sưu tập.

Các phê duyệt này là cấu hình chuẩn cho DApp (ví dụ: Uniswap cần được phê duyệt để hoán đổi token), nhưng kẻ tấn công lại lợi dụng chúng một cách ác ý.

Cách kẻ tấn công lấy được quyền

Thông báo gian lận: Website lừa đảo hoặc DApp bị nhiễm sẽ nhắc người dùng ký giao dịch được gắn nhãn là "kết nối ví", "đổi token" hoặc "nhận NFT". Thực chất giao dịch này gọi hàm approve hoặc setApprovalForAll với địa chỉ kẻ tấn công.

Phê duyệt vô hạn: Kẻ tấn công thường yêu cầu phê duyệt token vô hạn (ví dụ: uint256.max) hoặc setApprovalForAll(true), từ đó kiểm soát hoàn toàn token hoặc NFT của người dùng.

Ký mù: Một số DApp yêu cầu người dùng ký dữ liệu mờ ám, khiến hành vi độc hại khó phát hiện. Ngay cả ví phần cứng như Ledger, thông tin hiển thị có vẻ vô hại (ví dụ: "phê duyệt token"), nhưng lại che giấu ý đồ của kẻ tấn công.

Sau khi có quyền, kẻ tấn công có thể lập tức rút token/NFT vào ví mình, hoặc chờ đợi (đôi khi vài tuần hoặc vài tháng) mới đánh cắp tài sản, nhằm giảm nghi ngờ.

Ví dụ về trình rút sạch ví / cấp quyền độc hại

Lừa đảo Monkey Drainer chủ yếu xảy ra vào năm 2022 và đầu 2023, là một bộ công cụ lừa đảo nổi tiếng kiểu "rút sạch ví như dịch vụ", chịu trách nhiệm đánh cắp hàng triệu USD tiền mã hóa (bao gồm NFT) qua website lừa đảo và hợp đồng thông minh độc hại. Khác với lừa đảo truyền thống dựa vào thu thập cụm khôi phục hoặc mật khẩu, Monkey Drainer hoạt động qua chữ ký giao dịch độc hại và lạm dụng hợp đồng thông minh, cho phép kẻ tấn công rút token và NFT mà không cần đánh cắp trực tiếp thông tin đăng nhập. Bằng cách dụ người dùng ký phê duyệt nguy hiểm trên chuỗi, Monkey Drainer đã đánh cắp hơn 4,3 triệu USD từ hàng trăm ví trước khi ngừng hoạt động vào đầu 2023.

Nhà thám tử chuỗi nổi tiếng ZachXBT phơi bày lừa đảo Monkey Drainer

Bộ công cụ này rất phổ biến trong giới tấn công nghiệp dư và được quảng bá mạnh trên các cộng đồng Telegram ngầm và dark web. Nó cho phép các đối tác sao chép website đúc giả, mạo danh dự án thật, và cấu hình backend để chuyển tiếp giao dịch đã ký đến hợp đồng rút trung tâm. Các hợp đồng này được thiết kế để lợi dụng quyền token, ký tin nhắn khi người dùng không biết, cấp quyền truy cập tài sản cho địa chỉ kẻ tấn công qua các hàm như setApprovalForAll() (NFT) hoặc permit() (token ERC-20).

Đáng chú ý, quy trình tương tác này tránh lừa đảo trực tiếp — nạn nhân không bị yêu cầu cung cấp khóa riêng hay cụm khôi phục. Thay vào đó, họ tương tác với dApp dường như hợp pháp, thường là trang đúc có đếm ngược hoặc quảng bá thương hiệu nổi bật. Sau khi kết nối, người dùng bị nhắc ký giao dịch mà họ không hiểu rõ, các giao dịch này thường bị che khuất bởi ngôn ngữ phê duyệt chung chung hoặc giao diện ví gây nhầm lẫn. Những chữ ký này không trực tiếp chuyển tiền, mà cấp quyền cho kẻ tấn công chuyển bất cứ lúc nào. Sau khi có quyền, hợp đồng rút có thể thực hiện rút hàng loạt trong một khối duy nhất.

Một đặc điểm nổi bật của phương pháp Monkey Drainer là thực thi trì hoãn — tài sản bị đánh cắp thường được rút sau vài giờ hoặc vài ngày, nhằm tránh nghi ngờ và tối đa hóa lợi nhuận. Điều này khiến nó đặc biệt hiệu quả với người dùng ví lớn hoặc hoạt động giao dịch sôi nổi, vì quyền của họ sẽ hòa vào mô hình sử dụng bình thường. Một số nạn nhân nổi bật bao gồm các nhà sưu tập NFT từ các dự án như CloneX, Bored Apes và Azuki.

Mặc dù Monkey Drainer đã ngừng hoạt động vào năm 2023, có lẽ để "giảm tiếng ồn", kỷ nguyên trình rút sạch ví vẫn tiếp tục phát triển, tạo thành mối đe dọa kéo dài với những người dùng hiểu sai hoặc đánh giá thấp sức mạnh của việc ký mù trên chuỗi.

Phần mềm độc hại và lỗ hổng thiết bị

Cuối cùng, "phần mềm độc hại và lỗ hổng thiết bị" đề cập đến các cuộc tấn công rộng rãi và đa dạng hơn, bao gồm nhiều phương tiện lan truyền, nhằm xâm nhập máy tính, điện thoại hoặc trình duyệt người dùng, cài phần mềm độc hại qua lừa đảo. Mục tiêu thường là đánh cắp thông tin nhạy cảm (ví dụ: cụm khôi phục, khóa riêng), chặn tương tác ví hoặc cho phép kẻ tấn công kiểm soát thiết bị nạn nhân từ xa. Trong lĩnh vực tiền mã hóa, các cuộc tấn công này thường bắt đầu bằng kỹ thuật xã hội, như việc làm giả, bản cập nhật ứng dụng giả hoặc tệp gửi qua Discord, nhưng nhanh chóng leo thang thành xâm nhập hệ thống toàn diện.

Phần mềm độc hại đã tồn tại từ khi máy tính cá nhân ra đời. Trước đây, nó được dùng để đánh cắp thông tin thẻ tín dụng, thu thập thông tin đăng nhập hoặc chiếm hệ thống để gửi thư rác hoặc mã hóa tống tiền. Khi tiền mã hóa nổi lên, kẻ tấn công cũng chuyển hướng, không còn nhắm vào ngân hàng trực tuyến mà nhắm vào việc đánh cắp tài sản mã hóa – thứ không thể đảo ngược giao dịch.

Phần lớn phần mềm độc hại không lan truyền ngẫu nhiên, nó cần nạn nhân bị dụ thực thi. Đây là lúc kỹ thuật xã hội phát huy tác dụng. Các phương tiện lan truyền phổ biến đã được liệt kê ở phần đầu bài viết.

Ví dụ về phần mềm độc hại và lỗ hổng thiết bị: Lừa đảo tuyển dụng Axie Infinity năm 2022

Lừa đảo tuyển dụng Axie Infinity năm 2022 dẫn đến vụ tấn công Ronin Bridge quy mô lớn, là ví dụ điển hình về lợi dụng phần mềm độc hại và lỗ hổng thiết bị trong lĩnh vực tiền mã hóa, đằng sau là các thủ đoạn kỹ thuật xã hội phức tạp. Vụ tấn công này được cho là do nhóm tin tặc Triều Tiên Lazarus gây ra, khiến khoảng 620 triệu USD tiền mã hóa bị đánh cắp, trở thành một trong những vụ tấn công vào tài chính phi tập trung (DeFi) lớn nhất từ trước đến nay.

Lỗ hổng Axie Infinity được truyền thông tài chính truyền thống đưa tin

Vụ tấn công này là một hành động đa giai đoạn, kết hợp kỹ thuật xã hội, triển khai phần mềm độc hại và khai thác lỗ hổng hạ tầng blockchain.

Kẻ tấn công giả làm nhân viên tuyển dụng của một công ty hư cấu, tiếp cận nhân viên Sky Mavis qua LinkedIn. Sky Mavis là công ty vận hành Ronin Network — một sidechain liên kết Ethereum, hỗ trợ trò chơi blockchain "chơi để kiếm tiền" nổi bật Axie Infinity. Thời điểm đó, vốn hóa Ronin và Axie Infinity lần lượt khoảng 300 triệu USD và 4 tỷ USD.

Kẻ tấn công tiếp cận nhiều nhân viên, nhưng mục tiêu chính là một kỹ sư cấp cao. Để xây dựng lòng tin, chúng tổ chức nhiều vòng phỏng vấn giả và đưa ra mức lương cực kỳ hấp dẫn để thu hút kỹ sư này. Chúng gửi cho kỹ sư một tài liệu PDF giả dạng thư mời làm việc chính thức. Kỹ sư nghĩ đây là một phần quy trình tuyển dụng, nên tải và mở file trên máy công ty. Tài liệu PDF này chứa RAT (virus trojan điều khiển từ xa), khi mở sẽ xâm nhập hệ thống kỹ sư, cho phép hacker truy cập hệ thống nội bộ Sky Mavis. Cuộc xâm nhập này tạo điều kiện để tấn công hạ tầng mạng Ronin.

Vụ tấn công khiến 620 triệu USD bị đánh cắp (173.600 ETH và 25,5 triệu USDC), cuối cùng chỉ thu hồi được 30 triệu USD.

Chúng ta nên tự bảo vệ mình như thế nào

Dù các cuộc tấn công ngày càng tinh vi, chúng vẫn dựa vào một số dấu hiệu rõ ràng. Các cảnh báo phổ biến bao gồm:

"Nhập khẩu ví của bạn để nhận X": Không có dịch vụ hợp pháp nào yêu cầu bạn cung cấp cụm khôi phục.
Tin nhắn riêng không được yêu cầu: Đặc biệt là những tin声称 cung cấp hỗ trợ, tiền hoặc giải quyết vấn đề bạn chưa từng hỏi.
Tên miền sai chính tả nhẹ: Ví dụ, metamusk.io so với metarnask.io.
Quảng cáo Google: Liên kết lừa đảo thường xuất hiện phía trên các liên kết thật trong kết quả tìm kiếm.
Ưu đãi tốt đến mức không thể tin được: Ví dụ "nhận 5 ETH" hoặc sự kiện "nhân đôi thưởng token".
Chiêu trò khẩn cấp hoặc đe dọa: "Tài khoản của bạn đã bị khóa", "nhận ngay nếu không sẽ mất tiền".
Phê duyệt token vô hạn: Người dùng nên tự đặt số lượng token.
Yêu cầu ký mù: Nội dung hex không có giải thích dễ đọc.
Hợp đồng chưa được xác minh hoặc mơ hồ: Nếu token hoặc dApp mới, hãy kiểm tra nội dung bạn đang phê duyệt.
Thông báo UI khẩn cấp: Chiêu gây áp lực điển hình, ví dụ "bạn phải ký ngay nếu không sẽ bỏ lỡ cơ hội".
Cửa sổ ký MetaMask xuất hiện bất ngờ: Đặc biệt khi yêu cầu không rõ ràng, giao dịch không gas hoặc chứa lời gọi hàm bạn không hiểu.

Luật bảo vệ cá nhân

Để tự bảo vệ, chúng ta có thể tuân theo những nguyên tắc vàng sau:

Không bao giờ chia sẻ cụm khôi phục với bất kỳ ai dưới bất kỳ lý do gì.
Lưu trang web chính thức vào dấu trang: Luôn truy cập trực tiếp, không dùng công cụ tìm kiếm để tìm ví hoặc sàn giao dịch.
Không nhấp vào token airdrop ngẫu nhiên: Đặc biệt với các dự án bạn chưa từng tham gia.
Tránh tin nhắn riêng chưa được xác minh: Dự án hợp pháp hiếm khi chủ động nhắn riêng... (trừ khi họ thực sự làm vậy).
Sử dụng ví phần cứng: Giúp giảm rủi ro ký mù và ngăn rò rỉ khóa.
Kích hoạt công cụ chống lừa đảo: Sử dụng tiện ích mở rộng như PhishFort, Revoke.cash và trình chặn quảng cáo.
Sử dụng trình duyệt chỉ đọc: Các công cụ như Etherscan Token Approvals hoặc Revoke.cash có thể hiển thị quyền mà ví bạn đang có.
Sử dụng ví dùng một lần: Tạo ví mới với số dư bằng không hoặc rất ít để thử đúc hoặc kết nối trước. Điều này giảm thiểu tổn thất.
Phân tán tài sản: Không để tất cả tài sản trong một ví.

Nếu bạn đã là người dùng tiền mã hóa giàu kinh nghiệm, có thể tuân theo những nguyên tắc nâng cao hơn:

Sử dụng thiết bị chuyên dụng hoặc hồ sơ trình duyệt riêng cho hoạt động tiền mã hóa, và dùng thiết bị riêng để mở liên kết và tin nhắn riêng.
Xem nhãn cảnh báo token trên Etherscan, nhiều token lừa đảo đã được đánh dấu.
Kiểm tra chéo địa chỉ hợp đồng với thông báo chính thức của dự án.
Kiểm tra kỹ URL: Đặc biệt trong email và tin nhắn, lỗi chính tả nhỏ rất phổ biến. Nhiều ứng dụng nhắn tin, tất nhiên cả website, cho phép dùng siêu liên kết — khiến người dùng có thể trực tiếp nhấp vào link như www.google.com.
Chú ý đến chữ ký: Trước khi xác nhận, luôn giải mã giao dịch (ví dụ: qua MetaMask, Rabby hoặc trình mô phỏng).

Kết luận

Đa số người dùng cho rằng các lỗ hổng trong tiền mã hóa là vấn đề kỹ thuật, không thể tránh khỏi, đặc biệt là những người mới vào ngành. Mặc dù các phương pháp tấn công phức tạp có thể đúng như vậy, nhưng nhiều khi bước khởi đầu lại là nhắm vào cá nhân theo cách phi kỹ thuật, khiến các cuộc tấn công sau đó có thể phòng ngừa được.

Phần lớn tổn thất cá nhân trong lĩnh vực này không đến từ các lỗ hổng mã mới lạ hay lỗ hổng giao thức khó hiểu, mà đến từ việc người ta ký mà không đọc, nhập khẩu ví vào ứng dụng giả, hoặc tin tưởng một tin nhắn riêng (DM) có vẻ hợp lý. Công cụ có thể mới, nhưng mánh khóe thì đã cũ: lừa dối, thúc giục, đánh lạc hướng.

Đặc tính tự lưu ký và không cần cho phép là ưu điểm của tiền mã hóa, nhưng người dùng cần nhớ rằng đặc tính này cũng làm tăng rủi ro. Trong lĩnh vực tài chính truyền thống, bạn bị lừa thì có thể gọi ngân hàng; còn trong tiền mã hóa, bạn bị lừa thì trò chơi gần như đã kết thúc.

Chào mừng tham gia cộng đồng chính thức TechFlow

Nhóm Telegram:https://t.me/TechFlowDaily

Tài khoản Twitter chính thức:https://x.com/TechFlowPost

Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News

Liên kết gốc

Thêm vào mục ưa thích

Chia sẻ lên mạng xã hội

Tác giả

Presto

@presto_labs