Tấn công “độc hóa” địa chỉ Ethereum nâng cấp: Sau một giao dịch chuyển tiền, anh ấy nhận được 89 email cảnh báo
Tuyển chọn TechFlowTuyển chọn TechFlow
Tấn công “độc hóa” địa chỉ Ethereum nâng cấp: Sau một giao dịch chuyển tiền, anh ấy nhận được 89 email cảnh báo
Thế giới tiền mã hóa không có nút «hủy bỏ»; một khi vốn đã được gửi đến địa chỉ sai, khả năng thu hồi gần như bằng không.
Chuyên sâu báo cáo Web3Bài viết: etherscan.eth
Biên dịch: AididiaoJP, Foresight News
Vài tuần trước, một người dùng Etherscan tên Nima đã chia sẻ một trải nghiệm khó chịu. Chỉ sau hai giao dịch chuyển stablecoin, anh ấy đã nhận được hơn 89 email cảnh báo theo dõi địa chỉ trong thời gian ngắn.
Như Nima chỉ ra, những cảnh báo này được kích hoạt bởi các giao dịch “độc hóa địa chỉ” (address poisoning). Mục đích duy nhất của những giao dịch do tin tặc tạo ra là đưa vào lịch sử giao dịch của người dùng các địa chỉ giả rất giống với địa chỉ hợp pháp, nhằm đánh lừa người dùng sao chép và sử dụng nhầm các địa chỉ giả này trong lần chuyển tiền tiếp theo.
Hiện tượng “độc hóa địa chỉ” đã tồn tại trên Ethereum trong nhiều năm. Tuy nhiên, các sự việc như vậy cho thấy loại tấn công này đã trở nên cực kỳ tự động hóa và có quy mô lớn. Những tin rác lẻ tẻ trước đây giờ đây có thể được triển khai hàng loạt, và tin tặc thường thực hiện giao dịch “độc hóa” chỉ trong vài phút sau khi giao dịch hợp pháp diễn ra.
Để hiểu vì sao loại tấn công này ngày càng phổ biến, chúng ta cần phân tích dưới hai góc độ: quá trình tiến hóa của phương thức tấn công “độc hóa địa chỉ”, và nguyên nhân nền tảng khiến nó dễ dàng được triển khai ở quy mô lớn.
Ngoài ra, bài viết này sẽ tập trung làm rõ một nguyên tắc phòng thủ cốt lõi giúp người dùng hiệu quả chống lại loại tấn công này.
I. Sự phát triển công nghiệp hóa của “độc hóa địa chỉ”
“Độc hóa địa chỉ” từng được xem là một thủ đoạn gian lận mang tính cơ hội, do một số đối tượng ít ỏi thực hiện. Nhưng đến nay, mô hình hoạt động của nó ngày càng mang đặc trưng công nghiệp hóa.
Một nghiên cứu công bố năm 2025 đã phân tích các hoạt động “độc hóa địa chỉ” từ tháng 7/2022 đến tháng 6/2024 (tức là trước nâng cấp Fusaka). Nghiên cứu cho thấy đã có khoảng 17 triệu lần thử “độc hóa” trên Ethereum, ảnh hưởng tới khoảng 1,3 triệu người dùng, với tổn thất được xác nhận ít nhất là 79,3 triệu USD.
Bảng dưới đây, dựa trên kết quả từ “Nghiên cứu về hiện tượng độc hóa địa chỉ trên blockchain”, trình bày quy mô hoạt động “độc hóa địa chỉ” trên Ethereum và BSC trong giai đoạn từ tháng 7/2022 đến tháng 6/2024. Dữ liệu cho thấy trên chuỗi BSC – nơi phí giao dịch thấp đáng kể – tần suất giao dịch “độc hóa” cao hơn 1.355%.
Tin tặc thường theo dõi hoạt động trên blockchain để xác định mục tiêu tiềm năng. Ngay khi phát hiện giao dịch của người dùng mục tiêu, hệ thống tự động sẽ tạo ra các địa chỉ giả có ký tự đầu và cuối giống hệt với các địa chỉ hợp pháp mà người dùng đã tương tác. Sau đó, tin tặc gửi giao dịch “độc hóa” chứa các địa chỉ giả này tới địa chỉ mục tiêu, khiến chúng xuất hiện trong lịch sử giao dịch của người dùng.
Tin tặc thường chọn những địa chỉ có tiềm năng lợi nhuận cao hơn làm mục tiêu. Các địa chỉ thường xuyên thực hiện giao dịch, nắm giữ số dư token lớn hoặc tham gia các giao dịch giá trị cao thường bị nhắm tới nhiều hơn.
Cơ chế cạnh tranh nâng cao hiệu quả tấn công
Nghiên cứu năm 2025 tiết lộ một hiện tượng đáng chú ý: các nhóm tin tặc khác nhau thường cạnh tranh lẫn nhau. Trong nhiều chiến dịch “độc hóa”, nhiều tin tặc gần như đồng thời gửi giao dịch “độc hóa” tới cùng một địa chỉ mục tiêu.
Tất cả các nhóm đều cố gắng “cắm” địa chỉ giả của mình vào lịch sử giao dịch người dùng trước tiên, nhằm tăng khả năng địa chỉ giả của họ được người dùng sao chép và sử dụng trong lần gửi tiếp theo. Người nào thành công sớm hơn thì xác suất địa chỉ giả của họ bị sao chép nhầm cũng cao hơn.
Ví dụ về địa chỉ dưới đây minh họa rõ mức độ khốc liệt của cuộc cạnh tranh này. Trong trường hợp này, chỉ vài phút sau khi một giao dịch USDT hợp pháp hoàn tất, đã có tới 13 giao dịch “độc hóa” được gửi đi.
Lưu ý: Etherscan mặc định ẩn các giao dịch giá trị bằng 0; ở đây đã tắt tính năng ẩn để phục vụ minh họa
Các thủ đoạn phổ biến trong tấn công “độc hóa địa chỉ” bao gồm: giao dịch bụi (dust transaction), giao dịch token giả và giao dịch token giá trị bằng 0.
II. Nguyên nhân khiến tấn công “độc hóa địa chỉ” dễ dàng mở rộng quy mô
Ở cái nhìn ban đầu, tỷ lệ thành công của “độc hóa địa chỉ” dường như không cao. Thực tế, đa số người dùng đều không mắc lừa. Tuy nhiên, xét về góc độ kinh tế, logic đằng sau loại tấn công này lại hoàn toàn khác biệt.
Logic của trò chơi xác suất
Các nhà nghiên cứu phát hiện, trên Ethereum, tỷ lệ thành công trung bình của mỗi lần thử “độc hóa” là khoảng 0,01%. Nói cách khác, cứ khoảng 10.000 giao dịch “độc hóa”, chỉ có khoảng 1 giao dịch khiến người dùng vô tình gửi tiền nhầm cho tin tặc.
Do đó, các chiến dịch “độc hóa” không còn giới hạn ở vài địa chỉ nữa, mà hướng tới việc gửi hàng nghìn, thậm chí hàng triệu giao dịch “độc hóa”. Khi số lần thử đủ lớn, ngay cả một tỷ lệ thành công nhỏ cũng có thể tích lũy thành khoản lợi bất chính đáng đáng kể.
Chỉ một lần thành công trong giao dịch lừa đảo giá trị lớn cũng đủ để dễ dàng bù đắp chi phí cho hàng nghìn lần thất bại.
Chi phí giao dịch giảm thúc đẩy gia tăng các lần thử “độc hóa”
Nâng cấp Fusaka, được kích hoạt vào ngày 3/12/2025, đã giới thiệu các tối ưu hóa khả năng mở rộng, hiệu quả làm giảm chi phí giao dịch trên Ethereum. Thay đổi này không chỉ mang lại lợi ích cho người dùng và nhà phát triển thông thường, mà còn làm giảm đáng kể chi phí của tin tặc cho mỗi giao dịch “độc hóa”, cho phép họ triển khai các chiến dịch “độc hóa” với quy mô chưa từng có.
Sau nâng cấp Fusaka, hoạt động trên mạng Ethereum tăng mạnh. Trong 90 ngày sau nâng cấp, khối lượng giao dịch trung bình mỗi ngày tăng 30% so với 90 ngày trước nâng cấp. Cùng kỳ, số lượng địa chỉ mới được tạo ra mỗi ngày trung bình tăng khoảng 78%.
Ngoài ra, chúng tôi quan sát thấy hoạt động giao dịch bụi tăng đáng kể. Trong các giao dịch này, tin tặc gửi giao dịch có cùng loại token với các giao dịch lịch sử của người dùng, nhưng với số lượng cực kỳ nhỏ.
Dữ liệu dưới đây so sánh hoạt động giao dịch bụi trong 90 ngày trước và sau nâng cấp Fusaka đối với một số tài sản chủ chốt. Với các stablecoin như USDT, USDC và DAI, giao dịch bụi được định nghĩa là giao dịch có giá trị dưới 0,01 USD; với ETH, là giao dịch có giá trị dưới 0,00001 ETH.
USDT
- Trước nâng cấp: 4,2 triệu giao dịch
- Sau nâng cấp: 29,9 triệu giao dịch
- Tăng thêm: +25,7 triệu giao dịch (+612%)
USDC
- Trước nâng cấp: 2,6 triệu giao dịch
- Sau nâng cấp: 14,9 triệu giao dịch
- Tăng thêm: +12,3 triệu giao dịch (+473%)
DAI
- Trước nâng cấp: 142.405 giao dịch
- Sau nâng cấp: 811.029 giao dịch
- Tăng thêm: +668.624 giao dịch (+470%)
ETH
- Trước nâng cấp: 104,5 triệu giao dịch
- Sau nâng cấp: 169,7 triệu giao dịch
- Tăng thêm: +65,2 triệu giao dịch (+62%)
Dữ liệu cho thấy, ngay sau nâng cấp Fusaka, hoạt động giao dịch bụi (dưới 0,01 USD) tăng vọt, đạt đỉnh rồi giảm nhẹ, nhưng vẫn duy trì ở mức cao hơn đáng kể so với trước nâng cấp. Trong khi đó, hoạt động giao dịch trên 0,01 USD trong cùng giai đoạn lại tương đối ổn định.
Biểu đồ: So sánh xu hướng giao dịch bụi (<0,01 USD) của USDT, USDC và DAI trong 90 ngày trước và sau nâng cấp Fusaka
Biểu đồ: So sánh xu hướng giao dịch thông thường (>0,01 USD) của USDT, USDC và DAI trong 90 ngày trước và sau nâng cấp Fusaka
Trong nhiều chiến dịch tấn công, tin tặc đầu tiên phân phối hàng loạt token và ETH tới các địa chỉ giả mới được tạo, sau đó các địa chỉ giả này lần lượt gửi giao dịch bụi tới địa chỉ mục tiêu. Vì số tiền trong giao dịch bụi cực kỳ nhỏ, nên khi chi phí giao dịch giảm, tin tặc có thể thực hiện hành vi quy mô lớn với chi phí cực thấp.
Hình minh họa: Địa chỉ Fake_Phishing1688433 gửi hàng loạt token và ETH tới nhiều địa chỉ giả khác nhau trong một giao dịch duy nhất
Cần lưu ý rõ ràng rằng không phải mọi giao dịch bụi đều là hành vi “độc hóa”. Giao dịch bụi cũng có thể bắt nguồn từ các hoạt động hợp pháp, ví dụ như hoán đổi token hoặc tương tác nhỏ giữa các địa chỉ. Tuy nhiên, sau khi kiểm tra kỹ lưỡng một lượng lớn giao dịch bụi, có thể kết luận rằng phần lớn trong số đó rất có khả năng là các nỗ lực “độc hóa”.
III. Nguyên tắc phòng thủ cốt lõi
Trước khi gửi bất kỳ khoản tiền nào, hãy luôn kiểm tra cẩn thận địa chỉ đích.
Dưới đây là một số gợi ý thực tiễn giúp giảm thiểu rủi ro khi sử dụng Etherscan:
Sử dụng nhãn nhận dạng địa chỉ
Đặt nhãn tên riêng tư cho các địa chỉ bạn thường xuyên tương tác trên Etherscan. Việc này giúp phân biệt rõ ràng địa chỉ hợp pháp giữa hàng loạt địa chỉ trông rất giống nhau.
Việc sử dụng các dịch vụ tên miền như ENS cũng giúp tăng khả năng nhận diện địa chỉ trên toàn bộ trình duyệt.
Đồng thời, bạn nên tận dụng chức năng sổ địa chỉ (address book) của ví để thêm các địa chỉ thường dùng vào danh sách trắng, đảm bảo tiền luôn được gửi đúng tới đích mong muốn.
Kích hoạt chức năng làm nổi bật địa chỉ
Chức năng làm nổi bật địa chỉ của Etherscan giúp người dùng trực quan phân biệt các địa chỉ có ngoại hình tương tự. Nếu hai địa chỉ trông gần như giống hệt nhau nhưng cách làm nổi bật lại khác nhau, thì một trong hai rất có thể là địa chỉ “độc hóa”.
Xác nhận kép trước khi sao chép địa chỉ
Etherscan sẽ chủ động hiển thị cửa sổ cảnh báo khi người dùng sao chép một địa chỉ có liên quan đến các hoạt động khả nghi. Các hoạt động khả nghi bao gồm:
- Giao dịch token giá trị thấp
- Giao dịch token giả
- Token có uy tín kém
- Token thiếu thông tin cập nhật
Khi bạn thấy cảnh báo như vậy, hãy tạm dừng thao tác và kiểm tra kỹ lưỡng xem địa chỉ bạn đang sao chép có thực sự là địa chỉ đích bạn muốn tương tác hay không.
Hãy luôn ghi nhớ: thế giới tiền mã hóa không có nút “hủy bỏ”. Một khi tiền đã được gửi tới địa chỉ sai, khả năng thu hồi là gần như bằng không.
Tổng kết
Khi chi phí giao dịch giảm, các chiến lược tấn công quy mô lớn trở nên khả thi về mặt kinh tế hơn, dẫn đến hiện tượng “độc hóa địa chỉ” trên Ethereum ngày càng lan rộng. Loại tấn công này cũng gây ảnh hưởng tiêu cực đến trải nghiệm người dùng, khi một lượng lớn tin rác “độc hóa” tràn ngập các giao diện lịch sử giao dịch dành cho người dùng.
Việc phòng chống hiệu quả tấn công “độc hóa địa chỉ” đòi hỏi cả hai yếu tố: người dùng nâng cao ý thức an ninh cá nhân, và thiết kế giao diện thân thiện, hỗ trợ tốt hơn. Đối với người dùng, thói quen cốt lõi nhất cần rèn luyện là: luôn kiểm tra kỹ lưỡng địa chỉ đích trước khi gửi tiền.
Đồng thời, các công cụ và giao diện người dùng cũng cần đóng vai trò quan trọng hơn trong việc hỗ trợ người dùng nhanh chóng nhận diện các hoạt động khả nghi.
Nhãn địa chỉ “độc hóa” trên Etherscan (https://etherscan.io/accounts/label/poisoning-address)
Etherscan đang không ngừng cải tiến giao diện trình duyệt và dịch vụ API nhằm hỗ trợ người dùng dễ dàng nhận diện loại tấn công này hơn. Chúng tôi chủ động gắn nhãn các địa chỉ giả, xác định và ẩn các giao dịch token giá trị bằng 0, đồng thời gắn nhãn các token giả. Nhờ cung cấp dữ liệu đã được xử lý sẵn như vậy, người dùng không cần phải tự sàng lọc hàng loạt giao dịch, từ đó dễ dàng phát hiện các nỗ lực “độc hóa địa chỉ” tiềm tàng hơn.
Khi các cuộc tấn công “độc hóa” ngày càng được nâng cấp nhờ tự động hóa và các chiến dịch giao dịch bụi quy mô lớn, việc thể hiện rõ ràng các tín hiệu rủi ro này trở nên then chốt để giúp người dùng phân biệt giữa các hoạt động khả nghi và các giao dịch hợp pháp.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
@etherscan
