Một người dùng tiền điện tử đã mất gần 1 triệu USD Coin (USDC) do ký nhầm hợp đồng độc hại cách đây 458 ngày, cho thấy thủ đoạn khai thác hợp đồng chờ đợi dài ngày đang ngày càng phổ biến.
Các chuyên gia cảnh báo việc không thường xuyên xem lại và thu hồi phê duyệt hợp đồng cũ trên ví điện tử dễ tạo lỗ hổng, cho phép hacker chờ thời cơ rút hết tài sản của nạn nhân sau nhiều tháng hoặc năm.
- Tấn công khai thác hợp đồng cũ khiến người dùng mất 908,551 USD USDC sau hơn 15 tháng xảy ra phê duyệt.
- Xu hướng scam ký hợp đồng rồi chờ thời điểm tấn công đang gia tăng, đánh lừa cả những người dùng có kinh nghiệm.
- Chuyên gia khuyến nghị cần kiểm tra và thu hồi các phê duyệt cũ của ví để bảo vệ tài sản trước các hình thức lừa đảo ngày càng tinh vi.
Người dùng này đã bị mất 908,551 USD USDC như thế nào?
Một người dùng tiền điện tử đã mất một khoản tổng cộng 908,551 USD USDC sau khi bị hacker lợi dụng phê duyệt hợp đồng độc hại đã ký từ hơn 15 tháng trước. Vụ việc này phơi bày nguy cơ tiềm ẩn từ việc không kiểm soát các phê duyệt hợp đồng cũ trên ví điện tử.
Dữ liệu on-chain cho thấy, nạn nhân đã ký phê duyệt cho một Smart Contract độc hại vào ngày 30 tháng 4 năm 2024, có khả năng thông qua chương trình Airdrop giả hoặc truy cập trang lừa đảo giả mạo sàn giao dịch uy tín. Đến sáng ngày 2 tháng 8 năm 2025, hacker đã rút hết gần như toàn bộ số dư USDC của nạn nhân sau gần 16 tháng chờ đợi.
Điều đáng nói là hacker không thực hiện tấn công ngay sau khi nạn nhân ký hợp đồng mà âm thầm chờ đợi một thời gian dài để đánh lừa sự cảnh giác, đồng thời theo dõi các động thái chuyển quỹ lớn trên ví mục tiêu. Chiến lược này ngày càng phổ biến khi tội phạm mạng trong lĩnh vực tiền điện tử áp dụng kỹ thuật kiên nhẫn, nghiên cứu hành vi người dùng trước khi ra tay.
“Việc thường xuyên kiểm tra và thu hồi các phê duyệt cũ là cực kỳ quan trọng đối với bảo mật ví của bạn!”
Scam Sniffer, đội ngũ phát hiện scam trên X, tháng 8 – 2025 (nguồn: X/@realScamSniffer)
Vì sao các phê duyệt hợp đồng cũ lại nguy hiểm?
Phân tích on-chain cho thấy vụ tấn công xuất phát từ một phê duyệt chuẩn ERC-20 cho phép địa chỉ ví scammer (0x67E5Ae, liên kết với pink-drainer.eth) toàn quyền truy xuất Token mà không cần xác nhận lại từ nạn nhân.
Nguy cơ lớn nằm ở chỗ Smart Contract độc hại này cấp quyền kiểm soát Token mãi mãi, cho đến khi bị thu hồi thủ công trên ví. Theo báo cáo của Scam Sniffer, hacker đã kiên nhẫn chờ tận 458 ngày kể từ thời điểm nạn nhân ký phê duyệt mới thực hiện lệnh rút USDC.
Đáng chú ý, trước khi bị tấn công, ví nạn nhân chỉ có những giao dịch nhỏ giá trị thấp nhằm tránh bị chú ý bởi các hệ thống phát hiện scam tự động, cho thấy chiêu trò ẩn mình tinh vi của hacker.
Bước ngoặt nào dẫn đến cuộc tấn công lớn này?
Diễn biến đáng chú ý xảy ra vào ngày 2 tháng 7, khi nạn nhân chuyển 762,397 USD USDC từ MetaMask sang ví mới (0x6c0eB6) lúc 20:41 theo giờ Việt Nam, sau đó bổ sung thêm 146,154 USD USDC chỉ 10 phút sau từ tài khoản Kraken.
Các chuyển động lớn này đều hiển thị công khai trên Blockchain, nhiều khả năng đã lọt vào tầm ngắm của hacker. Tuy nhiên, thay vì hành động ngay, kẻ tấn công tiếp tục theo dõi thêm một tháng để đảm bảo không có động thái đảo ngược giao dịch hoặc phát sinh nạp thêm tài sản.
Đến 4:57 sáng ngày 2 tháng 8 (giờ Việt Nam), hacker mới ra tay thực hiện lệnh rút toàn bộ số USDC còn lại, chuyển ngay đến ví gắn nhãn Fake_Phishing322880, sau đó bị Scam Sniffer cảnh báo là địa chỉ lừa đảo.
“Các vụ tấn công tiền điện tử ngày nay không còn mang tính bộc phát mà ngày càng tinh vi, kiên nhẫn và bám đuổi mục tiêu lâu dài.”
Báo cáo Galaxy Research, 2025 (nguồn: galaxy.com/insights)
Hacker đã tận dụng những lỗ hổng nào từ phê duyệt hợp đồng cũ?
Hacker tận dụng tính chất on-chain, khi các phê duyệt ERC-20 tồn tại vĩnh viễn trừ khi bị thu hồi thủ công bằng công cụ như Etherscan hoặc các dịch vụ quản lý phê duyệt ví. Việc nạn nhân chủ quan, không kiểm tra hợp đồng đã ký tạo ra cơ hội cho hacker truy cập ví bất kỳ lúc nào.
Trong nhiều trường hợp, nạn nhân ký phê duyệt qua các chương trình Airdrop không rõ nguồn gốc, website giả mạo, hoặc các dịch vụ yêu cầu kết nối ví rồi điều hướng đến Smart Contract nguy hiểm. Sau khi ký phê duyệt, mọi sự an toàn đều chỉ là tạm thời cho đến khi kẻ tấn công ra tay.
Các chuyên gia như Scam Sniffer khuyến nghị người dùng cần sử dụng các công cụ theo dõi phê duyệt hợp đồng để phát hiện nguy cơ và thu hồi quyền truy cập Token khỏi các dịch vụ không còn sử dụng nhằm giảm thiểu rủi ro mất tài sản.
“Kẻ tấn công ngày nay không chỉ dựa vào công cụ tự động, mà còn theo dõi sát từng động thái của nạn nhân, thậm chí cả những ví chỉ hoạt động nhỏ lẻ để tránh bị phát hiện.”
Báo cáo Scam Sniffer, tháng 8 – 2025 (nguồn: scam-sniffer.io)
Vì sao thủ đoạn lừa đảo hợp đồng độc hại ngày càng tinh vi?
Lừa đảo trong ngành tiền điện tử liên tục phát triển theo hướng khó lường hơn, tận dụng công nghệ mới, sự thiếu cảnh giác và thói quen tin tưởng các dịch vụ phổ biến của người dùng.
Nhiều vụ dùng deepfake AI mạo danh lãnh đạo các công ty lớn như Ripple, hoặc giả danh kênh YouTube với hàng trăm nghìn lượt theo dõi để phát động sự kiện tặng thưởng XRP giả đã đánh lừa không ít nhà đầu tư cả mới lẫn có kinh nghiệm.
Sự xuất hiện của vụ rò rỉ thông tin đăng nhập khổng lồ lên tới 16 tỷ bản ghi càng làm vấn đề bảo mật phức tạp hơn. Theo Galaxy Research, những cuộc tấn công phishing được dàn dựng tinh vi, kết hợp cảm giác khẩn trương, giả mạo và thao túng đa nền tảng có thể đánh lừa cả chuyên gia an ninh mạng dày dạn kinh nghiệm.
Thực tế: Ngay cả chuyên gia cũng là nạn nhân của lừa đảo mới
Nhiều trường hợp thực tế ghi nhận các nhà phân tích bảo mật, thậm chí chuyên gia an ninh như Christopher Rosa vẫn bị phishing đánh lừa bởi email giả mạo, cuộc gọi giả danh Coinbase và chiêu trò lừa đảo social phối hợp chặt chẽ.
Bản chất của các vụ tấn công này là đánh vào tâm lý chủ quan, tự tin quá mức và sự phức tạp của các nền tảng DeFi và tập trung hiện nay. Do đó, quan điểm cốt lõi là các phê duyệt cũ trên ví không bao giờ tự hết hạn, còn hacker thì chưa bao giờ quên “con mồi”.
“Phê duyệt cũ không tự hết hạn. Và hacker không bao giờ bỏ quên mục tiêu giá trị lớn dù đã lâu.”
Chuyên gia an ninh Christopher Rosa, tháng 8 – 2025 (nguồn: Galaxy/AMBcrypto)
Làm thế nào để phòng tránh các scam hợp đồng thông minh độc hại?
Để giảm thiểu nguy cơ trở thành nạn nhân của các cuộc tấn công hợp đồng độc hại, chuyên gia khuyến cáo người dùng cần thường xuyên kiểm tra, rà soát và thu hồi các phê duyệt cấp quyền truy cập Token trên ví.
Có thể sử dụng các công cụ như Revokecash, Etherscan Token Approval Checker hoặc ứng dụng quản lý phê duyệt của các ví lớn để kiểm soát quyền truy cập và loại bỏ các hợp đồng nguy hiểm. Đồng thời, nên tăng cường cảnh giác khi nhận các đề nghị Airdrop, truy cập website/sàn giao dịch chưa xác thực nguồn gốc.
Việc lưu trữ số tiền lớn trong ví lạnh, tránh lưu hết tài sản trên ví nóng cũng giúp phòng ngừa nguy cơ bị rút sạch số dư trong quá trình hacker chờ thời cơ thực hiện lệnh rút tiền trên các hợp đồng đã được phê duyệt.
So sánh mức rủi ro giữa các kênh lưu trữ và giao dịch tiền điện tử
Hình thức lưu trữ/giao dịch | Nguy cơ bị khai thác hợp đồng cũ | Tiềm năng bảo mật |
---|---|---|
Ví nóng (MetaMask, Trust Wallet…) | Cao, do thường xuyên ký phê duyệt và dễ bị phishing | Phụ thuộc ý thức người dùng, cần kiểm tra hợp đồng định kỳ |
Ví lạnh (Ledger, Trezor…) | Thấp, gần như không thể bị khai thác nếu không online | Rất cao, trừ khi bị tấn công vật lý hoặc để lộ Private Key |
Sàn giao dịch CEX | Trung bình, chủ yếu rủi ro nếu để lộ thông tin truy cập | Bảo mật ở mức sàn, nhưng rủi ro từ chính sàn hoặc scam nội bộ |
DApp/DeFi | Cao, nguy cơ từ các hợp đồng chưa kiểm toán, giao diện giả mạo | Phụ thuộc kỹ năng người dùng và độ tin cậy dự án |
Rủi ro khi lạm dụng các chương trình Airdrop, trang web giả mạo
Một trong những nguồn gốc khiến nạn nhân ký nhầm hợp đồng độc hại là do tham gia các Airdrop không xác thực hoặc đăng nhập vào website giống sàn giao dịch nổi tiếng. Các trang giả thường yêu cầu người dùng kết nối ví, cấp quyền “Approve” Token hoặc ký thông điệp – đây chính là cửa ngõ cho hacker cài bẫy.
Scam Sniffer khuyến cáo luôn kiểm tra tính hợp lệ của chương trình, xác thực các đường dẫn, kiểm tra kỹ hợp đồng smart contract trước khi ký trên ví. Không nên để tài sản lớn lên các ví đã từng đăng ký nhiều dịch vụ airdrop hoặc project mời gọi “miễn phí”.
Ngoài ra, các vụ rò rỉ dữ liệu cá nhân, thông tin đăng nhập… cũng là nguồn thông tin giúp hacker dễ nhận diện ví, email để lừa đảo đa tầng.
Tác động thực tiễn của các vụ scam hợp đồng cũ tới cộng đồng
Những sự cố như trường hợp mất 908,551 USD USDC nói trên còn làm gia tăng sự mất lòng tin vào các nền tảng DeFi, đồng thời đòi hỏi ngành phải tăng cường công cụ bảo vệ và cảnh báo người dùng.
Theo ghi nhận của Galaxy Research, năm 2025 số vụ scam hợp đồng cũ, phishing liên quan các ví lớn tăng mạnh, giá trị thiệt hại nhiều vụ lên tới hàng triệu USD. Nạn nhân ngày càng đa dạng cả về kinh nghiệm, thậm chí nhà phát triển và quản trị nền tảng cũng lọt tầm ngắm tội phạm mạng.
Việc giáo dục cộng đồng về an toàn hợp đồng, kỹ năng cá nhân kiểm soát phê duyệt đang là giải pháp chủ động được khuyến khích nhất hiện nay để phòng ngừa nạn rút ví sau nhiều tháng/ năm “ngủ đông”.
Các biện pháp nâng cao phòng ngừa scam hợp đồng độc hại
Bên cạnh việc theo dõi và thu hồi phê duyệt, chuyên gia bảo mật khuyến nghị người dùng nên dùng ví riêng biệt cho trade và lưu trữ, chỉ kết nối ví khối lượng nhỏ vào các DApp/website mới hoặc dự án chưa rõ nguồn gốc.
Nên áp dụng các lớp bảo vệ bổ sung như xác thực đa yếu tố (2FA), cảnh báo phishing từ ví, kiểm tra hợp đồng trên các trình explorer trước khi ký lệnh. Ngoài ra, việc chia nhỏ tài sản trên nhiều ví, không để “tất cả trứng vào một rổ” vẫn là chiến lược quản trị rủi ro cơ bản nhưng hiệu quả.
Các dự án DeFi cũng cần đẩy mạnh kiểm toán hợp đồng, minh bạch rủi ro và cập nhật giao diện cảnh báo người dùng ngay khi kết nối ví hoặc ký lệnh approve.
Các câu hỏi thường gặp
Làm thế nào để kiểm tra và thu hồi phê duyệt hợp đồng trên ví?
Dùng công cụ như Revoke.cash, Etherscan Approval Checker hoặc các ứng dụng quản lý của ví lớn để rà soát và thu hồi các hợp đồng không còn sử dụng. Nên thực hiện định kỳ mỗi tháng hoặc sau khi tham gia các dự án mới.
Tại sao phê duyệt hợp đồng cũ lại tiềm ẩn rủi ro lớn?
Phê duyệt ERC-20 tồn tại vô thời hạn cho đến khi bị thu hồi, hacker có thể đợi lâu để quan sát ví chuyển nhiều tài sản rồi mới rút toàn bộ khi bạn lơ là cảnh giác.
Tôi có thể an toàn nếu chỉ dùng ví lạnh lưu trữ?
Ví lạnh có độ an toàn rất cao, miễn là không kết nối trực tuyến hoặc chia sẻ Private Key. Tuy nhiên, vẫn cần đảm bảo không cấp quyền khi chuyển tài sản từ ví lạnh sang ví nóng.
Làm gì khi đã phát hiện tài sản rò rỉ qua hợp đồng độc hại?
Lập tức thu hồi phê duyệt trên tất cả Token, chuyển tài sản còn lại sang ví mới, đổi Private Key nếu có dấu hiệu lộ thông tin và báo cáo đến các đội ngũ phát hiện scam uy tín.
Hợp đồng của các dự án lớn có an toàn tuyệt đối không?
Không, ngay cả các dự án lớn cũng có thể bị lỗi hoặc bị khai thác nếu người dùng chủ quan, ký approve từ kênh hoặc trang giả mạo. Luôn kiểm tra kỹ nguồn gốc trước khi phê duyệt.
Bằng cách nào hacker biết lúc nào nên rút tiền?
Hacker theo dõi on-chain, lượng chuyển quỹ lớn, hoạt động ví bất thường trên Blockchain để chọn thời cơ hợp lý, tránh bị phát hiện khi hành động.
Đâu là giải pháp phòng ngừa hiệu quả nhất hiện nay?
Kiểm tra và thu hồi phê duyệt định kỳ, không kết nối ví trên trang chưa được xác thực, chia nhỏ tài sản, dùng ví lạnh và cập nhật các cảnh báo bảo mật mới từ chuyên gia là các giải pháp tốt nhất.