Lừa đảo tiền điện tử Honeypot. Làm thế nào để tránh nó?

Trong thế giới tiền điện tử đang phát triển nhanh chóng, sức hấp dẫn của lợi nhuận nhanh chóng đôi khi có thể khiến ngay cả những nhà đầu tư thận trọng nhất cũng không nhận ra những rủi ro ẩn chứa bên dưới. Trong số các mối đe dọa khác nhau, các vụ lừa đảo tiền điện tử honeypot đã nổi lên như một chiến thuật đặc biệt lừa đảo được những kẻ lừa đảo sử dụng để đánh cắp tài sản và thông tin nhạy cảm từ những người dùng không nghi ngờ. Những vụ lừa đảo này thường liên quan đến ví giả, mã thông báo hoặc hợp đồng thông minh có vẻ hợp pháp nhưng thực chất là những cái bẫy được thiết kế để khai thác lòng tin và lòng tham của nạn nhân. Việc hiểu cách thức hoạt động của những vụ lừa đảo này và học cách tránh chúng là điều vô cùng quan trọng đối với bất kỳ ai đang điều hướng bối cảnh tiền điện tử.

Lừa đảo tiền điện tử Honeypot là gì?

Lừa đảo tiền điện tử honeypot là một chiến thuật lừa đảo trong thế giới tiền điện tử, nơi những kẻ lừa đảo dụ những cá nhân nhẹ dạ cả tin vào một cái bẫy được thiết kế để đánh cắp tài sản hoặc thông tin nhạy cảm của họ. Lừa đảo thường liên quan đến việc thiết lập một ví tiền điện tử, mã thông báo hoặc hợp đồng thông minh gian lận có vẻ như là thật nhưng thực chất là một cái bẫy được tạo ra một cách cẩn thận.

Những kẻ lừa đảo thường sử dụng các nền tảng truyền thông xã hội như X (trước đây là Twitter), Discord hoặc Reddit để tiếp cận các nạn nhân tiềm năng. Chúng đóng giả là những người dùng thiếu kinh nghiệm cần trợ giúp để chuyển hoặc rút tiền mà chúng cho là khoản thanh toán tiền điện tử đáng kể. Để đổi lại sự trợ giúp, chúng đưa ra phần thưởng hậu hĩnh, khiến lời đề nghị trở nên hấp dẫn.

Để xây dựng lòng tin, kẻ lừa đảo cung cấp cho nạn nhân khóa riêng tư vào ví tiền điện tử có vẻ như đang nắm giữ một lượng lớn token. Các token này thường là các loại tiền điện tử ít được biết đến, mặc dù có vẻ có giá trị, nhưng không thể sử dụng để trang trải phí giao dịch. Sau đó, nạn nhân được yêu cầu gửi một lượng tiền điện tử nhỏ để trang trải các khoản phí này, thường là với lý do giúp đỡ một 'nhà giao dịch gặp khó khăn'.

Khi nạn nhân chuyển tiền mã hóa của họ để trang trải các khoản phí, số tiền sẽ tự động được chuyển hướng đến một ví không thể truy cập được do kẻ lừa đảo kiểm soát. Điều này đạt được bằng cách sử dụng các tập lệnh tự động được gọi là 'bot quét'. Mặc dù số tiền bị đánh cắp trong mỗi trường hợp có thể nhỏ, nhưng kẻ lừa đảo lặp lại quá trình này nhiều lần, dẫn đến lợi nhuận tích lũy đáng kể.

Sự hấp dẫn của các vụ lừa đảo honeypot nằm ở khả năng tỏ ra hợp pháp và hấp dẫn, lợi dụng lòng tham hoặc thiện chí của các nạn nhân tiềm năng. Trang web, ví hoặc hợp đồng thông minh giả mạo—'honeypot'—được thiết kế để đánh lừa người dùng nghĩ rằng họ đang tương tác với một nền tảng đáng tin cậy, nhưng trên thực tế, đó là một cái bẫy được đặt cẩn thận.

Honeypot hoạt động như thế nào

Lừa đảo Honeypot trong thế giới tiền điện tử là những hoạt động được lên kế hoạch tỉ mỉ để lừa người dùng chia tay tài sản của họ. Những vụ lừa đảo này thường diễn ra theo một loạt các bước được tính toán, mỗi bước được thiết kế để khai thác lòng tin và lòng tham của nạn nhân.

Thiết lập và sáng tạo

Quá trình bắt đầu với việc kẻ lừa đảo quyết định loại honeypot để triển khai. Đây có thể là bất kỳ thứ gì từ hợp đồng thông minh có lỗ hổng rõ ràng đến trang web giả mạo bắt chước một sàn giao dịch tiền điện tử phổ biến. Chìa khóa ở đây là làm cho honeypot trông hợp pháp, cho dù bằng cách thiết kế trang web sao chép hoàn hảo một nền tảng nổi tiếng hay bằng cách triển khai hợp đồng thông minh có vẻ như có lỗ hổng cho phép người dùng trích xuất mã thông báo.

Ví dụ, trong một honeypot hợp đồng thông minh điển hình, hợp đồng dường như chứa một lỗi cho phép bất kỳ ai rút token khỏi hợp đồng. Tuy nhiên, để khai thác 'lỗi' này, trước tiên người dùng phải gửi một số tiền điện tử nhất định vào hợp đồng.

Khuyến mại và dụ dỗ nạn nhân

Sau khi thiết lập honeypot, bước tiếp theo là thu hút nạn nhân. Những kẻ lừa đảo thường sử dụng các nền tảng truyền thông xã hội như X, Discord hoặc Reddit để tiếp cận các mục tiêu tiềm năng. Chúng cũng có thể sử dụng tối ưu hóa công cụ tìm kiếm, quảng cáo trả phí và các chiến dịch truyền thông xã hội để thu hút lưu lượng truy cập đến các nền tảng lừa đảo của chúng. Trong một số trường hợp, những kẻ lừa đảo có thể đóng giả là người dùng mới cần trợ giúp để rút hoặc chuyển một lượng tiền điện tử lớn, hứa hẹn với nạn nhân một phần tiền để đổi lấy sự trợ giúp.

Để chiếm được lòng tin của nạn nhân, kẻ lừa đảo thậm chí có thể cung cấp quyền truy cập vào thứ có vẻ như là ví tiền điện tử chứa đầy các mã thông báo có giá trị. Tuy nhiên, các mã thông báo này thường là các loại tiền điện tử ít được biết đến và không thể sử dụng để trang trải phí giao dịch, buộc nạn nhân phải gửi thêm tiền vào một loại tiền điện tử được chấp nhận rộng rãi hơn.

Khai thác và trộm cắp

Sau khi nạn nhân chuyển tiền điện tử cần thiết, họ cố gắng khai thác lỗ hổng được cho là có trong hợp đồng thông minh hoặc hoàn tất giao dịch trên nền tảng giả mạo. Tuy nhiên, đây là nơi lớp lừa đảo thứ hai phát huy tác dụng. Nạn nhân thấy rằng họ không thể rút tiền gửi ban đầu hoặc bất kỳ mã thông báo nào của hợp đồng do một lỗ hổng ẩn.

Trò lừa đảo kết thúc khi kẻ tấn công, sử dụng các tập lệnh tự động hoặc 'bot quét', nhanh chóng chuyển tiền gửi của nạn nhân và bất kỳ khoản tiền nào khác trong hợp đồng hoặc ví đến một địa chỉ không thể truy cập, thực sự đánh cắp tài sản. Sau đó, nền tảng hoặc hợp đồng gian lận sẽ nhanh chóng bị gỡ xuống để tránh bị phát hiện.

Ví dụ thực tế

Một sự cố đáng chú ý đã xảy ra vào ngày 26 tháng 2 năm 2024, khi Dechat vô tình đăng một liên kết đến hợp đồng thông minh honeypot trên nền tảng truyền thông xã hội của họ. Mặc dù lỗi đã được sửa nhanh chóng, một số người dùng tương tác với liên kết đã phải chịu tổn thất tài chính trước khi sự cố được giải quyết.

Các loại Honeypot

Các trang web giả mạo

Những kẻ lừa đảo thường thiết kế các trang web giả tinh vi bắt chước các sàn giao dịch tiền điện tử, ví hoặc nền tảng đầu tư thực sự. Các trang web này được thiết kế để trông gần giống hệt các dịch vụ hợp pháp, sử dụng tên, logo và thiết kế web tương tự để lừa người dùng. Nạn nhân được khuyến khích tạo tài khoản, liên kết thông tin chi tiết về ngân hàng của họ và gửi tiền, tất cả những thứ này sau đó kẻ lừa đảo có thể đánh cắp. Với sự gia tăng của các nền tảng tài chính phi tập trung (DeFi), kẻ lừa đảo ngày càng nhắm mục tiêu vào người dùng bằng cách tạo ra các giao thức DeFi giả hứa hẹn lợi nhuận cao, chỉ để biến mất cùng với số tiền.

Email lừa đảo

Những kẻ lừa đảo gửi email lừa đảo có vẻ như đến từ các công ty hoặc dịch vụ tiền điện tử nổi tiếng, chẳng hạn như các sàn giao dịch hoặc nhà cung cấp ví. Những email này thường có logo và nội dung trông giống như chính thức để có vẻ hợp pháp. Chúng có thể tuyên bố rằng có sự cố với tài khoản của người nhận và nhắc họ cung cấp thông tin đăng nhập để giải quyết. Trong những trường hợp khác, email hướng dẫn người dùng gửi tiền vào một địa chỉ ví giả do kẻ lừa đảo kiểm soát. Sau khi nạn nhân nhập thông tin xác thực hoặc chuyển tiền, kẻ lừa đảo sẽ kiểm soát được tài sản của họ. Gần đây, đã có sự gia tăng các nỗ lực lừa đảo nhắm vào người dùng các nền tảng blockchain mới nổi, nơi những kẻ lừa đảo lợi dụng sự thiếu hiểu biết của người dùng mới.

Lừa đảo trên mạng xã hội

Những kẻ lừa đảo sử dụng các nền tảng truyền thông xã hội để quảng bá các cơ hội đầu tư giả mạo, thường tận dụng sự chứng thực của người nổi tiếng giả mạo, quảng cáo trả phí hoặc tài khoản mạo danh. Trong một số trường hợp, chúng thậm chí có thể hack tài khoản của một người nổi tiếng để tạo độ tin cậy cho trò lừa đảo. Ví dụ, kẻ lừa đảo có thể tạo hồ sơ giả mạo của một người nổi tiếng để quảng bá cho ICO (Đợt phát hành tiền xu ban đầu) tiền điện tử. Người dùng, bị dụ dỗ bởi lời hứa về lợi nhuận cao, bị lừa gửi tiền điện tử, sau đó kẻ lừa đảo sẽ đánh cắp số tiền này. Gần đây, đã có sự gia tăng các vụ lừa đảo liên quan đến việc tặng NFT (Mã thông báo không thể thay thế) giả mạo trên các nền tảng như X (trước đây là Twitter) và Instagram.

Tiền xu bị thao túng

Tiền xu Honeypot là một chiến thuật khác mà kẻ lừa đảo tạo ra các token với các hợp đồng thông minh có vẻ sinh lợi. Các nhà đầu tư bị thu hút bởi lời hứa về lợi nhuận khổng lồ, chỉ để thấy mình không thể rút tiền do các quy tắc hợp đồng ẩn. Khi kẻ lừa đảo đã thu thập đủ số tiền đầu tư, chúng thực hiện "kéo thảm", rút hết hợp đồng và để lại cho các nhà đầu tư những token vô giá trị. Khi các dự án DeFi tiếp tục phát triển, thì sự phức tạp của các vụ lừa đảo này cũng tăng theo, với những kẻ tấn công thường xuyên khai thác các lỗ hổng trong hợp đồng thông minh để bẫy các nhà đầu tư thiếu cảnh giác.

Tấn công phần mềm độc hại

Các cuộc tấn công phần mềm độc hại là một phương pháp phổ biến mà những kẻ lừa đảo sử dụng để xâm nhập vào thiết bị của nạn nhân. Thông thường, phần mềm độc hại được tải xuống thông qua các liên kết lừa đảo hoặc tệp đính kèm email và sau đó chạy ở chế độ nền mà người dùng không biết. Phần mềm độc hại này có thể đánh cắp khóa riêng tư của ví, mật khẩu và các dữ liệu nhạy cảm khác, cho phép kẻ tấn công rút tiền điện tử. Mặc dù phần mềm chống vi-rút đôi khi có thể phát hiện và xóa phần mềm độc hại, nhưng nhiều cuộc tấn công rất tinh vi, khiến chúng khó bị phát hiện cho đến khi quá muộn. Gần đây, đã có sự gia tăng phần mềm độc hại nhắm vào ví di động và các ứng dụng phi tập trung (dApp), vì ngày càng có nhiều người dùng quản lý tài sản tiền điện tử của họ thông qua điện thoại thông minh.

Airdrop giả

Trong các chương trình airdrop giả mạo, kẻ lừa đảo dụ dỗ người dùng bằng lời hứa về tiền điện tử miễn phí. Chúng hướng dẫn người nhận cung cấp địa chỉ ví của họ hoặc, nguy hiểm hơn, là khóa riêng của họ để nhận airdrop. Tuy nhiên, điều này cho phép kẻ lừa đảo truy cập vào ví của người dùng, cho phép chúng đánh cắp bất kỳ loại tiền điện tử nào được lưu trữ trong đó. Điều quan trọng cần lưu ý là các airdrop hợp pháp không bao giờ yêu cầu thông tin chi tiết nhạy cảm về ví. Khi airdrop ngày càng phổ biến, đặc biệt là trong không gian NFT và DeFi, người dùng nên thận trọng hơn và xác minh tính hợp pháp của ưu đãi trước khi tham gia.

Làm thế nào để tránh Honeypot

Để tránh bị lừa đảo honeypot cần phải cảnh giác và thực hành cẩn thận. Sau đây là một số chiến lược chính giúp bạn luôn an toàn:

Nghiên cứu trước khi đầu tư

Trước khi cam kết bất kỳ khoản tiền nào hoặc cung cấp thông tin cá nhân, hãy tiến hành nghiên cứu kỹ lưỡng về nền tảng hoặc cơ hội. Tìm kiếm các đánh giá từ các nguồn đáng tin cậy, kiểm tra khiếu nại và xác nhận rằng nền tảng đã được đăng ký hợp pháp và tuân thủ các quy định có liên quan. Trong thế giới tài chính phi tập trung (DeFi) đang phát triển nhanh chóng, việc xem xét sách trắng của dự án và kiểm tra nhóm đứng sau dự án cũng rất quan trọng để đảm bảo tính hợp pháp.

Kiểm tra tính hợp lệ của chứng chỉ

Luôn xác minh chứng chỉ SSL của các trang web bạn truy cập, đặc biệt là khi chúng liên quan đến giao dịch tài chính. Các trang web gian lận thường sử dụng chứng chỉ không hợp lệ hoặc tự ký, đây có thể là dấu hiệu cảnh báo. Các công cụ như trình kiểm tra SSL có thể giúp bạn xác định xem chứng chỉ của trang web có phải là chính hãng hay không. Ngoài ra, hãy đảm bảo rằng URL bắt đầu bằng "https" chứ không phải "http" vì điều này biểu thị kết nối an toàn.

Giám sát thanh khoản

Hãy cảnh giác với các token hoặc coin không đủ thanh khoản hoặc khó rút tiền. Tài sản không thanh khoản có thể là dấu hiệu của honeypot, nơi kẻ lừa đảo khóa tiền, khiến các nhà đầu tư không thể bán hoặc rút tiền đầu tư của họ. Kiểm tra khối lượng giao dịch của token và sự hiện diện của nó trên các sàn giao dịch đã thành lập có thể cung cấp thông tin chi tiết về tính thanh khoản của nó.

Đừng tin vào sự chứng thực của người nổi tiếng

Sự chứng thực của người nổi tiếng, đặc biệt là trong lĩnh vực tiền điện tử, thường được bịa đặt để quảng bá cho các đồng tiền hoặc dự án lừa đảo. Luôn xác minh tính xác thực của sự chứng thực trước khi đưa ra bất kỳ quyết định đầu tư nào. Điều quan trọng cần lưu ý là ngay cả các tài khoản người nổi tiếng hợp pháp cũng có thể bị hack tạm thời, với những kẻ lừa đảo sử dụng chúng để lừa người theo dõi đầu tư vào các chương trình gian lận. Hãy nghi ngờ bất kỳ chương trình khuyến mãi nổi tiếng nào và kiểm tra chéo với các nguồn đáng tin cậy.

Tắt Quyền Tự động

Khi kết nối các ứng dụng hoặc dịch vụ với ví tiền điện tử của bạn, sẽ an toàn hơn nếu bật quyền thủ công thay vì cho phép truy cập tự động vào tất cả các tính năng. Kẻ lừa đảo thường khai thác quyền tự động để kiểm soát trái phép tài sản của bạn. Thường xuyên xem xét và thu hồi các quyền không cần thiết để giảm thiểu rủi ro truy cập trái phép.

Sử dụng kho lạnh

Để bảo vệ tài sản tiền điện tử của bạn, hãy lưu trữ phần lớn tài sản của bạn trong kho lạnh—ví ngoại tuyến không được kết nối với internet. Điều này làm giảm đáng kể nguy cơ tiền của bạn bị xâm phạm trong trường hợp lừa đảo hoặc tấn công mạng. Chỉ giữ một lượng nhỏ tiền điện tử trong ví trực tuyến để giao dịch hàng ngày.

Bật Xác thực hai yếu tố (2FA)

Thêm xác thực hai yếu tố (2FA) vào tài khoản và ví của bạn sẽ cung cấp thêm một lớp bảo mật. Ngay cả khi mật khẩu của bạn bị xâm phạm, 2FA vẫn khiến kẻ tấn công khó có thể truy cập vào tài sản của bạn hơn. Sử dụng các ứng dụng 2FA như Google Authenticator hoặc mã thông báo phần cứng để tăng thêm khả năng bảo vệ và tránh 2FA dựa trên SMS, có thể dễ bị tấn công hoán đổi SIM.

Phần kết luận

Khi ngành công nghiệp tiền điện tử tiếp tục phát triển, thì các phương pháp mà những kẻ lừa đảo sử dụng để khai thác những người dùng không nghi ngờ cũng tăng theo. Các vụ lừa đảo Honeypot, với những trò lừa đảo phức tạp và những cái bẫy được tạo ra cẩn thận, là lời nhắc nhở mạnh mẽ về tầm quan trọng của sự cảnh giác và thẩm định. Bằng cách luôn cập nhật thông tin, tiến hành nghiên cứu kỹ lưỡng và áp dụng các biện pháp bảo mật mạnh mẽ, chẳng hạn như sử dụng kho lạnh và cho phép xác thực hai yếu tố, các nhà đầu tư có thể tự bảo vệ mình khỏi việc trở thành nạn nhân của những âm mưu độc hại này. Trong thế giới tài sản kỹ thuật số, sự hoài nghi và thận trọng là chìa khóa để bảo vệ khoản đầu tư và thông tin cá nhân của bạn

Xin lưu ý rằng Plisio cũng cung cấp cho bạn:

Tạo hóa đơn tiền điện tử sau 2 lần nhấp and Chấp nhận quyên góp tiền điện tử

12 tích hợp

6 thư viện cho các ngôn ngữ lập trình phổ biến nhất

19 tiền điện tử và 12 chuỗi khối