Tháng 8/2025, các vụ phishing tiền điện tử cướp hơn 12 triệu USD, tăng 72% so với tháng 7, với bùng nổ lừa chữ ký EIP-7702, theo Scam Sniffer.
Có 15.230 nạn nhân, tăng 67%, một người mất hơn 3 triệu USD. Riêng các vụ lợi dụng EIP-7702 hút 5,6 triệu USD qua ba đợt tấn công. Tổng thiệt hại do hoạt động ác ý trong crypto tháng 8 chạm 163 triệu USD. Bài viết phân tích và cung cấp thực hành an toàn.
- Thiệt hại phishing tháng 8/2025 vượt 12 triệu USD, nạn nhân tăng mạnh; EIP-7702 bị khai thác đáng kể (Nguồn: Scam Sniffer).
- Thủ đoạn: giả mạo sàn giao dịch, CSKH, website/URL gần giống, email/SMS/thư yêu cầu seed phrase và mật khẩu.
- Thực hành an toàn: kiểm tra URL, dùng bookmark, xác minh liên kết, tránh tệp đính kèm lạ, đọc kỹ lỗi chính tả, không chia sẻ seed phrase, dùng VPN, bật 2FA.
Vì sao tháng 8/2025 ghi nhận bùng nổ phishing?
Scam Sniffer cho biết người dùng mất hơn 12 triệu USD vì phishing trong tháng 8, tăng 72% so với tháng 7; 15.230 nạn nhân (tăng 67%) và một trường hợp mất hơn 3 triệu USD. Ngoài ra, có “leo thang mạnh” của lừa ký EIP-7702, khiến 5,6 triệu USD bị rút qua ba cuộc tấn công, trong bối cảnh tổng thiệt hại ác ý đạt 163 triệu USD.
Số liệu này phản ánh tội phạm nâng cấp kỹ thuật social và chiêu trò mạo danh, đánh vào thói quen truy cập qua quảng cáo, công cụ tìm kiếm hoặc liên kết lạ. Khi chi phí lừa đảo thấp và khả năng mở rộng cao, tỷ lệ nạn nhân tăng nhanh, đặc biệt với những chuẩn mới như EIP-7702 bị kẻ xấu tận dụng.
Nguồn: Scam Sniffer, báo cáo đăng ngày 8/2025 trên X; EIP-7702: Ethereum Improvement Proposal tại đây.
Phishing tiền điện tử là gì?
Phishing là tấn công giả dạng giao tiếp hoặc website hợp pháp để đánh cắp tiền và dữ liệu nhạy cảm như seed phrase, mật khẩu, mã 2FA. Trong tiền điện tử, kẻ gian thường giả làm sàn lớn, ví, hay đội ngũ hỗ trợ để lấy quyền truy cập ví/on-chain.
Thủ đoạn có thể gồm trang web giả với URL gần giống, email/SMS thông báo sự cố khẩn cấp, hoặc yêu cầu xác minh tài khoản. Người dùng bị dẫn dắt vào hành động gấp, cung cấp thông tin hoặc ký giao dịch có hại, từ đó thất thoát tài sản.
Khi đã mất seed phrase hoặc ký cấp quyền nguy hiểm, việc thu hồi tài sản thường rất khó khăn vì giao dịch blockchain là không thể đảo ngược.
EIP-7702 là gì?
EIP-7702 là đề xuất cải tiến Ethereum cho phép tài khoản do người dùng sở hữu (EOA) tạm thời hành xử như ví hợp đồng thông minh, có thể thực thi giao dịch và di chuyển tài sản theo logic linh hoạt. Tài liệu chính thức: EIP-7702.
Lợi ích là trải nghiệm ký giao dịch phong phú hơn, gần với account abstraction. Tuy nhiên, nếu người dùng ký nhầm yêu cầu độc hại, kẻ tấn công có thể lợi dụng hành vi hợp đồng để rút tài sản. Vì vậy, hiểu rõ nội dung chữ ký và nguồn liên kết là tối quan trọng.
Scam Sniffer ghi nhận “leo thang mạnh” các vụ lừa chữ ký EIP-7702 trong tháng 8, cho thấy tội phạm nhanh chóng thích nghi với thay đổi giao thức.
Vì sao chữ ký EIP-7702 dễ bị khai thác?
Bản chất EIP-7702 mở ra hành vi linh hoạt hơn cho tài khoản, đồng nghĩa bề mặt tấn công tăng nếu người dùng không hiểu rõ dữ liệu ký hoặc bị điều hướng bởi liên kết giả mạo. Ba vụ tấn công lợi dụng chức năng này đã rút 5,6 triệu USD trong tháng 8.
Kẻ gian thường che giấu lệnh nguy hiểm sau giao diện web giống thật, khiến người dùng ký duyệt nhanh. Khi đã cấp quyền/hành vi mở rộng, hợp đồng độc hại có thể chuyển tài sản mà nạn nhân không nhận ra ngay.
Do đó, bất kỳ đề xuất chữ ký nào từ nguồn không chắc chắn đều phải bị từ chối, đặc biệt khi trình duyệt cảnh báo hoặc nội dung hiển thị mơ hồ.
Phishing hoạt động như thế nào trong thực tế?
Kẻ xấu mạo danh sàn giao dịch, ví, hay dịch vụ nổi tiếng bằng website có URL gần giống, gửi email, tin nhắn, thậm chí thư giấy, thông báo tài khoản gặp rủi ro và yêu cầu xác minh. Mục tiêu là chiếm đoạt seed phrase, mật khẩu, hoặc lừa người dùng ký giao dịch độc hại.
Chúng đóng giả nhân viên hỗ trợ, đưa ra thời hạn gấp hoặc hậu quả nghiêm trọng để tạo áp lực. Một cú nhấp liên kết sai, tải tệp đính kèm, hay phản hồi sai kịch bản hỗ trợ là đủ để mất quyền kiểm soát ví.
Dấu hiệu thường thấy: lỗi chính tả, ngữ pháp, domain lạ, đường dẫn rút gọn, yêu cầu cung cấp seed phrase. Hãy luôn nghi ngờ và xác minh lại bằng kênh chính thức.
Những thực hành tốt để tránh phishing là gì?
Hãy ưu tiên phòng ngừa: kiểm tra kỹ URL, bookmark trang chuẩn, truy cập trực tiếp thay vì tìm kiếm; xác minh liên kết qua nguồn chính thức; không tải tệp đính kèm hay nhấp link từ nguồn lạ; không cung cấp seed phrase hoặc mật khẩu cho bất kỳ ai.
Bật xác thực hai yếu tố (2FA) cho tài khoản nhạy cảm, sử dụng VPN để che IP/vị trí, đọc kỹ thông báo để phát hiện lỗi chính tả. Khi có nghi ngờ, dừng thao tác và xác nhận lại với kênh hỗ trợ chính thức trên trang chủ.
Dấu hiệu nhận diện sớm email/website lừa đảo
Những lỗi đánh máy, ngữ pháp, định dạng cẩu thả, hoặc lời kêu gọi khẩn cấp là tín hiệu đỏ. Domain gần giống (ví dụ thay chữ, thêm ký tự) và chứng chỉ bảo mật mơ hồ càng đáng nghi.
Đừng tin yêu cầu cung cấp seed phrase, private key hay mã 2FA. Các sàn/ ví hợp pháp không bao giờ hỏi những thông tin này. Nếu không chắc chắn, hãy đóng trang và truy cập lại bằng bookmark chính chủ.
Bức tranh rủi ro an ninh mạng crypto: vẫn đáng lo
Nửa đầu 2025, thiệt hại vì hack và lừa đảo vượt 3,1 tỷ USD, cho thấy mức độ tinh vi và bền bỉ của tội phạm. Riêng tháng 8, hoạt động ác ý đánh cắp 163 triệu USD, trong đó phishing chiếm phần đáng kể.
Người dùng cần duy trì cảnh giác dài hạn: cập nhật kiến thức, quy trình xác minh nhiều bước, và kỷ luật vận hành tài khoản/ví. Một thói quen tốt giúp giảm rủi ro đáng kể so với việc chỉ phản ứng khi đã muộn.
Câu hỏi thường gặp
Phishing trong tiền điện tử là gì?
Đó là chiêu giả mạo website hoặc giao tiếp hợp pháp để đánh cắp seed phrase, mật khẩu hoặc lừa ký giao dịch, dẫn tới mất tài sản. Tháng 8/2025, các vụ phishing gây thiệt hại hơn 12 triệu USD theo Scam Sniffer.
Tôi có nên cung cấp seed phrase cho bất kỳ ai không?
Không. Seed phrase là tối mật và đủ để chiếm toàn bộ ví. Sàn giao dịch, ví và đội hỗ trợ chính thống không bao giờ yêu cầu bạn cung cấp seed phrase.
Làm sao kiểm tra một liên kết có an toàn?
Gõ địa chỉ trực tiếp hoặc dùng bookmark, soát kỹ chính tả domain, tránh link rút gọn/quảng cáo. Xác minh lại trên kênh chính thức (trang chủ, tài khoản X đã xác thực) trước khi thao tác.
Những dấu hiệu email lừa đảo phổ biến là gì?
Lỗi chính tả, câu chữ hối thúc, yêu cầu xác minh khẩn, tệp đính kèm lạ, đề nghị cung cấp seed phrase/mật khẩu. Hãy xóa và báo cáo, không nhấp vào liên kết.
Tôi nên làm gì để giảm rủi ro bị phishing?
Bật 2FA, dùng VPN, kiểm tra URL, chỉ truy cập bằng bookmark, không mở tệp/nhấp link lạ, không chia sẻ seed phrase. Khi nghi ngờ, dừng thao tác và xác minh qua kênh chính thức.
