Chiêu trò lừa đảo đánh cắp địa chỉ: Cách thức hoạt động và cách phòng tránh
Hãy tưởng tượng bạn gửi tiền điện tử như thường lệ. Bạn mở ví, xem lịch sử giao dịch, sao chép địa chỉ bạn đã dùng hàng chục lần, dán vào và nhấn gửi. Giao dịch được xác nhận trong vài giây. Vấn đề duy nhất là tiền vừa rơi vào tay một người lạ, kẻ đã dùng sức mạnh tính toán thực sự để tạo ra một địa chỉ trông gần giống hệt địa chỉ của bạn, và chuỗi khối đã làm chính xác những gì bạn yêu cầu. Nói tóm lại, đó là tấn công đầu độc địa chỉ: không có khóa bị đánh cắp, không có phần mềm độc hại, chỉ là một phiên bản giả mạo của bạn được cài đặt vào chính hồ sơ của bạn. Hướng dẫn này giải thích cách thức hoạt động của trò lừa đảo, ba hình thức mà nó thể hiện, số tiền mà mọi người thực sự mất và một số thói quen giúp ngăn chặn các vụ lừa đảo đầu độc địa chỉ trước khi bạn gửi tiền đến nhầm người.
Việc đầu độc địa chỉ thực chất là gì?
Tấn công đánh cắp địa chỉ là một hình thức lừa đảo nhắm vào trí nhớ và màn hình của bạn, chứ không phải vào thuật toán mã hóa bên dưới. Khóa riêng tư của bạn không bao giờ bị xâm phạm. Không có gì bị đánh cắp, giải mã hay hack. Thay vào đó, chiêu trò này dựa vào một thói quen lười biếng của con người: địa chỉ blockchain là một chuỗi ký tự và số dài, khó đọc (ví dụ như 0x4a3f...c91d), và hầu như không ai đọc toàn bộ. Chúng ta chỉ kiểm tra bốn ký tự đầu tiên, bốn ký tự cuối cùng, rồi bỏ qua và tiếp tục.
Cái nhún vai đó chính là toàn bộ điểm yếu. Tạo ra một địa chỉ có những ký tự dễ nhận biết đó, đưa nó cho người đã tin tưởng nó, và bạn có cơ hội khá cao được nhận tiền một cách vô tình. Phần tàn nhẫn nằm ở chỗ tiếp theo. Các giao dịch trên chuỗi là giao dịch cuối cùng, vì vậy không có ngân hàng nào để liên hệ và không có khoản phí nào để hoàn trả; ngay khi bạn xác nhận, tiền thuộc về người khác. Bảo hiểm và hoàn tiền, những mạng lưới an toàn giúp cứu người trong tài chính truyền thống, đơn giản là không tồn tại ở đây. Việc làm giả địa chỉ không phá vỡ blockchain. Nó đánh lạc hướng sự chú ý của bạn, sau đó cho phép chuỗi thực hiện chính xác những gì mà sự chú ý của bạn đã bỏ sót.
Cơ chế tấn công giả mạo địa chỉ trong mật mã học
Mặc dù kết quả có vẻ như là phép thuật, nhưng cơ chế lại rất bình thường. Một cuộc tấn công đầu độc địa chỉ thành công diễn ra theo ba bước mà bất kỳ ai nghiên cứu chuỗi tấn công đều có thể tái hiện.
Bước 1: Tạo địa chỉ giả mạo
Đầu tiên, kẻ tấn công chọn một mục tiêu, thường là một địa chỉ thường xuyên chuyển tiền, sau đó chạy phần mềm tạo địa chỉ ảo. Phần mềm sẽ sàng lọc các cặp khóa ứng cử viên cho đến khi tìm thấy một cặp có địa chỉ bắt đầu và kết thúc bằng các ký tự giống hệt với địa chỉ mà nạn nhân thường xuyên gửi tiền đến. Việc khớp một vài ký tự rất rẻ, đó là điều đáng lo ngại: sau khi bản nâng cấp Fusaka của Ethereum giảm phí, một phân tích cho thấy kẻ tấn công đã thực hiện ba triệu giao dịch "bụi bẩn" với tổng chi phí khoảng 5.175 đô la. Với mức giá đó, việc tấn công đánh cắp tiền diễn ra như một dây chuyền sản xuất chứ không phải một vụ cướp.
Bước 2: Làm nhiễm độc lịch sử giao dịch của bạn
Tiếp theo, kẻ tấn công sẽ cài đặt địa chỉ giả mạo đó vào hồ sơ giao dịch của bạn, khiến nó hiển thị giống như một giao dịch bạn đã từng thực hiện trước đây. Chúng có thể gửi cho bạn một lượng nhỏ token thật, hoặc thực hiện chuyển khoản không có giá trị, hoặc gửi cho bạn một token giả. Dù bằng cách nào, mục tiêu đều giống nhau: khiến địa chỉ giả mạo xuất hiện trong lịch sử giao dịch của bạn bên cạnh địa chỉ thật, với cùng các ký tự đầu và cuối.
Bước 3: Bẫy sao chép-dán
Rồi chúng chờ đợi. Lần tới khi bạn thanh toán cho người nhận quen thuộc, bạn sẽ chọn cách tiện lợi và sao chép địa chỉ trực tiếp từ lịch sử giao dịch gần đây. Các ký tự hiển thị khớp nhau, không có gì bất thường, và bạn gửi đi. Nếu làm điều này một cách tự động, bạn có thể vô tình gửi token đến địa chỉ trông giống hệt thay vì địa chỉ bạn muốn gửi. Chuỗi khối thực hiện chuyển khoản chính xác, nhưng lại gửi đến sai người. Đây là lý do tại sao tấn công làm giả địa chỉ đôi khi được gọi là bẫy sao chép và dán, và tại sao nó hiệu quả với cả người dùng cẩn thận, có kinh nghiệm cũng như người mới bắt đầu. Điều làm cho nó hiệu quả đến vậy là thời điểm – mục nhập làm giả thường được chèn vào chỉ vài phút sau một giao dịch thực sự, vì vậy địa chỉ giả nằm chính xác ở vị trí mà mắt bạn mong đợi địa chỉ thật. Bạn không phải là bất cẩn mà là đang làm việc hiệu quả, và hiệu quả chính xác là điều mà kẻ tấn công đang trông chờ.
Ba loại tấn công giả mạo địa chỉ
Một nghiên cứu học thuật năm 2025 từ Đại học Carnegie Mellon đã phân loại các cuộc tấn công trong thế giới thực thành ba hình thức. Chúng khác nhau ở cách thức cài đặt địa chỉ giả mạo, điều này làm thay đổi những gì bạn nên nghi ngờ trong lịch sử duyệt web của mình.
| Kiểu | Cách thức tạo địa chỉ giả | Câu chuyện |
|---|---|---|
| Sự chuyển dịch nhỏ (bụi) | Một khoản tiền thật nhưng rất nhỏ được gửi từ địa chỉ giả mạo. | Một khoản tiền nhỏ, bất ngờ đến. |
| Chuyển giao giá trị bằng không | Giao dịch chuyển "0" token vẫn được ghi nhận là sự kiện Chuyển khoản trong lịch sử của bạn. | Hiển thị địa chỉ của chính bạn với tư cách người gửi, giá trị 0 |
| Mã thông báo giả | Một hợp đồng giả mạo bắt chước một token thật (USDT hoặc USDC giả mạo). | Tên token có vẻ đúng, nhưng địa chỉ hợp đồng thì không. |
Trong ba phương pháp, chuyển khoản giá trị bằng không là biến thể làm giả địa chỉ gây nhầm lẫn nhất, vì nó có thể trông như đến từ chính địa chỉ của bạn. Điều này có thể xảy ra vì một số hợp đồng token cho phép bất kỳ ai cũng có thể phát ra sự kiện "Chuyển khoản" với số token bằng không mà không cần sự cho phép của chủ sở hữu, vì vậy kẻ tấn công lập trình một mục nhập mà ví của bạn hiển thị một cách chính xác. Trong quá khứ, BNB Smart Chain đã chứng kiến nhiều nỗ lực tấn công hơn Ethereum nhờ phí thấp hơn, nhưng việc giảm phí Fusaka đã đảo ngược tình thế, đẩy phần lớn hoạt động sang Ethereum.
Việc đánh cắp địa chỉ bằng cách đầu độc đã lấy đi bao nhiêu tiền?
Tấn công đánh cắp địa chỉ nghe có vẻ như chỉ là sai số làm tròn cho đến khi bạn cộng tổng lại. Các số liệu dưới đây được ghi ngày tháng một cách có chủ đích, bởi vì trong lĩnh vực tiền điện tử này, các con số thay đổi rất nhanh và tổng số liệu năm ngoái đã đánh giá thấp mức độ nghiêm trọng của vấn đề.
| Trường hợp hoặc thước đo | Số lượng | Khi | Kết quả |
|---|---|---|---|
| Nghiên cứu của Đại học Carnegie Mellon / USENIX (ETH + BSC) | 270 triệu lượt thử, thiệt hại 83,8 triệu đô la, 17 triệu nạn nhân. | Tháng 7 năm 2022 đến tháng 6 năm 2024 | Nghiên cứu lớn nhất cho đến nay |
| Cá voi Bitcoin được bọc | Khoảng 68 triệu đô la đã được gửi cho người giống hệt mình. | Tháng 5 năm 2024 | Tiền đã được hoàn trả; kẻ tấn công thu về khoảng 1,49 triệu đô la. |
| Nạn nhân USDT đơn lẻ | 49,9 triệu đô la | Tháng 12 năm 2025 | Được rửa tiền thông qua Tornado Cash |
| Thiệt hại do Ethereum gây ra (ScamSniffer) | 62 triệu đô la | Tháng 12 năm 2025 đến tháng 1 năm 2026 | Tổng cộng hai tháng |
Một vài trường hợp trong số đó đáng để chúng ta xem xét kỹ. Nạn nhân của vụ lừa đảo Bitcoin, người suýt mất khoảng 68 triệu đô la vào tháng 5 năm 2024 , thực sự đã lấy lại được tiền, bởi vì kẻ tấn công (sau khi rửa tiền và thương lượng) đã trả lại phần lớn và bỏ trốn với khoảng 1,49 triệu đô la; các nhà điều tra sau đó đã liên kết chiến dịch đó với 82.031 địa chỉ giả mạo. Hầu như không ai may mắn như vậy. Nạn nhân của vụ lừa đảo USDT trị giá 49,9 triệu đô la vào tháng 12 năm 2025 đã chứng kiến số tiền của mình biến mất thẳng vào Tornado Cash, không được hoàn trả và không có cách nào lấy lại được.
Xu hướng này mới thực sự đáng lo ngại. Sau khi bản nâng cấp Fusaka giảm phí giao dịch Ethereum, số lượng các vụ tấn công đầu độc hàng tháng trên mạng đã tăng hơn năm lần, và vào tháng 1 năm 2026, Citi đã cảnh báo rằng kỷ lục 2,8 triệu giao dịch mỗi ngày của Ethereum chủ yếu là do thư rác đầu độc chứ không phải do sử dụng kinh tế thực sự. Đến đầu năm 2020, ước tính của ngành về tổng thiệt hại đã lên tới khoảng nửa tỷ đô la. Điều khiến tôi lo ngại không phải là sự tinh vi của trò lừa đảo mà là cái giá phải trả: vài nghìn đô la phí giao dịch có thể mua được hàng triệu lần tấn công, và kẻ tấn công chỉ cần một trong số đó là thành công.
Đầu độc, giả mạo và đầu độc IP
Thuật ngữ "đầu độc" được sử dụng rộng rãi trong nhiều kiểu tấn công khác nhau, vì vậy việc phân biệt chúng là rất hữu ích. Đầu độc địa chỉ, chủ đề ở đây, là một hình thức lừa đảo tiền điện tử bằng cách cài đặt một địa chỉ giả mạo vào lịch sử giao dịch của bạn. Giả mạo địa chỉ thì rộng hơn và thường có nghĩa là làm giả người gửi tin nhắn hoặc giao dịch để mạo danh người khác. Và "đầu độc IP", mà đôi khi mọi người tìm kiếm nhầm, đề cập đến các cuộc tấn công mạng như đầu độc ARP hoặc đầu độc bộ nhớ cache DNS, không liên quan gì đến ví tiền điện tử . Cùng một động từ, nhưng ba thuật ngữ không liên quan.
Cách bảo vệ bản thân khỏi bị đánh cắp địa chỉ
Hầu hết các biện pháp phòng chống giả mạo địa chỉ đều quy về một nguyên tắc: đừng bao giờ tin tưởng vào lịch sử giao dịch của chính mình, và đừng bao giờ sao chép địa chỉ trực tiếp từ đó. Địa chỉ giả mạo tồn tại ở đó chính xác là vì đó là nơi bạn tìm kiếm. Hãy hình thành một vài thói quen xung quanh ý tưởng đó và cuộc tấn công hầu như sẽ không còn hiệu quả.
Hãy xác minh toàn bộ địa chỉ, không bao giờ chỉ lấy tên và họ.
Hãy kiểm tra toàn bộ chuỗi ký tự, hoặc ít nhất là một phần lớn từ giữa cũng như hai đầu. Kẻ tấn công có thể dễ dàng khớp một vài ký tự đầu và cuối, nhưng việc khớp một chuỗi dài ở giữa khó hơn nhiều. Hầu hết các ví điện tử hiện đại đều tuân theo tiêu chuẩn kiểm tra tổng EIP-55, và các quy ước hiển thị mới hơn làm nổi bật nhiều phần hơn của địa chỉ, giúp dễ dàng phát hiện các lỗi không khớp.
Hãy sử dụng sổ địa chỉ, đừng bao giờ sao chép từ lịch sử.
Hãy lưu địa chỉ của mỗi người nhận một lần, sau khi đã xác minh từ nguồn đáng tin cậy, và từ đó trở đi hãy gửi tiền từ địa chỉ liên lạc đã lưu thay vì sao chép địa chỉ từ các giao dịch gần đây. Các ví điện tử như MetaMask gọi đây là Danh bạ; nguyên tắc này áp dụng cho mọi ví. Mục đã lưu không thể bị thay đổi bởi một giao dịch chuyển tiền đến, đó chính là điểm mấu chốt.
Kiểm tra giao dịch, màn hình phần cứng và danh sách cho phép thanh toán.
Đối với những giao dịch lớn, hãy gửi thử một khoản nhỏ trước và xác nhận địa chỉ người nhận chính xác trước khi gửi phần còn lại; vài xu phí giao dịch là khoản bảo hiểm rẻ tiền chống lại sai sót lớn. Ví phần cứng cũng hữu ích trong trường hợp này, vì chúng hiển thị địa chỉ đích thực trên một màn hình riêng biệt mà phần mềm độc hại trên máy tính của bạn không thể âm thầm ghi đè. Các doanh nghiệp thường xuyên thực hiện thanh toán tiền điện tử đặc biệt dễ bị tổn thương, vì họ sao chép và dán địa chỉ cả ngày và thường giao nhiệm vụ này cho nhân viên, những người có thể chưa bao giờ nghe nói về việc đánh cắp thông tin, vì vậy việc khóa các khoản thanh toán theo danh sách cho phép đã được phê duyệt trước (một tập hợp cố định các địa chỉ đích đã được kiểm duyệt mà hệ thống sẽ không thay đổi) sẽ loại bỏ hoàn toàn khả năng xảy ra lỗi do con người. Nếu bạn chấp nhận thanh toán tiền điện tử thông qua cổng thanh toán, hãy kiểm tra xem nó đã ghim địa chỉ rút tiền hay chưa vì lý do này.
Ví điện tử và sàn giao dịch đang làm gì?
Các công cụ đang dần được cải tiến, tuy nhiên không công cụ nào thay thế được những thói quen đã nêu ở trên. Các trình khám phá khối như Etherscan hiện nay ẩn hoặc gắn cờ các giao dịch có giá trị bằng không để chúng không làm lộn xộn lịch sử giao dịch của bạn. Ledger Live và Trezor Suite lọc các mục đáng ngờ, và vào tháng 3 năm 2026, Trust Wallet đã triển khai tính năng bảo vệ tự động chống lại việc đầu độc địa chỉ trên 32 chuỗi khối . Các sàn giao dịch tập trung cũng tiềm ẩn rủi ro riêng, vì người dùng thường xuyên sử dụng lại cùng một địa chỉ gửi tiền, do đó một mục bị đầu độc ở đó cũng có thể gây thiệt hại tương tự. Tuy nhiên, không có gì là hoàn hảo – một kẻ tấn công quyết tâm vẫn có thể đưa một giao dịch giả mạo mới vượt qua bộ lọc chưa từng gặp phải – vì vậy các công cụ này giúp bạn có thêm biên độ an toàn chứ không phải là sự miễn nhiễm. Hãy coi mỗi tính năng này như một tấm lưới an toàn được mở rộng dựa trên sự thận trọng của chính bạn, chứ không bao giờ là sự thay thế cho sự thận trọng đó.
Ai là mục tiêu và bài học rút ra là gì?
Thật dễ dàng để cho rằng chỉ những người mới thiếu kinh nghiệm mới mắc phải chiêu trò này, nhưng dữ liệu lại cho thấy điều ngược lại. Những người gửi tiền chuyên nghiệp, giàu kinh nghiệm và các doanh nghiệp thường xuyên chuyển tiền, chính là những người đã quen với việc sao chép nhanh chóng mà không cần kiểm tra kỹ, lại là nạn nhân của những chiêu trò đánh cắp địa chỉ. Đánh cắp địa chỉ có chi phí thấp, hiệu quả lâu dài và hoàn toàn dựa trên một thói quen mà hầu hết chúng ta đều có, đó là lý do tại sao nó lại khó bị phát hiện đến vậy. Nhận thức chính là yếu tố quan trọng nhất để giải quyết vấn đề này, bởi vì một khi bạn biết bẫy tồn tại, chỉ cần xác minh đầy đủ địa chỉ là có thể vô hiệu hóa nó. Câu hỏi thực sự không phải là bạn có hiểu về chiêu trò này hay không, mà là liệu bạn có còn bị mắc bẫy vào lúc hai giờ sáng, trên điện thoại của mình, khi đang trả tiền cho người mà bạn đã trả tiền hàng trăm lần trước đó hay không.
