Phần mềm rút tiền ví là gì? Cách thức hoạt động của phần mềm rút tiền điện tử.
Bạn không cần phải giao cụm từ khôi phục (seed phrase) để mất tất cả. Với phần mềm rút tiền từ ví (wallet drainer), bạn sẽ mất nó chỉ bằng cách nhấp vào "xác nhận". Hãy tưởng tượng một trang web bóng bẩy đang cung cấp airdrop miễn phí. Bạn kết nối ví của mình, một hộp chữ ký hiện lên, bạn nhấn xác nhận vì đó là điều mà mọi dApp đều yêu cầu, và vài giây sau, tiền điện tử và NFT của bạn biến mất. Không có mật khẩu nào bị đánh cắp. Không có thiết bị nào bị hack. Chính bạn đã cho phép hành vi trộm cắp này, thường là bằng một chữ ký không tốn phí gas và trông hoàn toàn vô hại. Đó là toàn bộ mánh khóe, và nó đã hoạt động đủ hiệu quả để đánh cắp 494 triệu đô la chỉ riêng trong năm 2024.
Hướng dẫn này sẽ phân tích chi tiết thế nào là một trò lừa đảo rút tiền, thời điểm chính xác xảy ra vụ trộm, cách bọn tội phạm biến nó thành một dịch vụ có thu phí, số tiền chúng lấy đi và hai thói quen giúp ngăn chặn hầu hết các trường hợp lừa đảo này.
Khái niệm "kẻ rút tiền" và lý do tại sao nó hiệu quả
Phần mềm rút tiền ví không phải là phần mềm độc hại nằm im lặng trên máy tính của bạn. Nó là một hợp đồng thông minh hoặc kịch bản độc hại, một trong những ứng dụng phi tập trung (dApps) độc hại đang hoành hành trên Web3, được ngụy trang thành một ứng dụng thân thiện, lừa bạn cấp quyền truy cập cho nó, rồi ngay lập tức rút sạch tài sản của bạn. Phần mềm rút tiền ví hoạt động gần như hoàn toàn trong tài chính phi tập trung, hay DeFi — nơi tiền được chuyển dựa trên chữ ký thay vì đăng nhập, và tiền điện tử cùng các tài sản mã hóa khác của bạn chính là mục tiêu của chúng. Phần mềm rút tiền ví không bao giờ đoán được khóa riêng tư của bạn và không bao giờ phá vỡ bất kỳ thuật toán mã hóa nào. Nó chỉ khiến bạn ký một giao dịch hoặc phê duyệt, trao quyền cho hợp đồng thông minh của một người lạ đối với tiền của bạn.
Một khi quyền truy cập được cấp, mọi thứ còn lại sẽ diễn ra tự động. Kẻ tấn công sẽ đọc ví của bạn để tìm các token, NFT và các tài sản kỹ thuật số có giá trị nhất, tạo lệnh chuyển tiền và chuyển tất cả đến một địa chỉ do kẻ tấn công kiểm soát, thường chỉ trong một khối lệnh. Vì yêu cầu được ngụy trang dưới dạng một hành động Web3 thông thường, hầu hết nạn nhân không nhận ra điều gì đã xảy ra cho đến khi ví của họ đã trống rỗng. Mối nguy hiểm không phải là virus. Đó là một quyền truy cập mà bạn cấp mà không đọc kỹ.
Cách một kẻ hút cạn ví tiền làm rỗng ví của bạn
Mọi quy trình rút tiền đều tuân theo cùng một vòng cung: thu hút, tạo dấu ấn, rồi quét sạch. Bước giữa là nơi tiền bị mất đi, và đó lại là bước mà hầu như không ai để ý kỹ.
Mồi câu
Trước tiên, bạn phải rơi vào bẫy. Những kẻ lừa đảo gieo rắc các đợt airdrop giả, các đợt phát hành NFT và các yêu cầu token giả, sau đó đẩy mạnh việc này. Chúng chiếm đoạt các tài khoản đã được xác minh trên X và đăng các liên kết từ tài khoản mạng xã hội bị đánh cắp, chúng gửi tin nhắn trên Telegram và Discord, và chúng mua quảng cáo tìm kiếm được tài trợ để trang web giả mạo hiển thị trên trang web thật. Chiêu trò luôn là sự khẩn cấp, một đợt phát hành có giới hạn hoặc một yêu cầu sắp hết hạn, bởi vì kỹ thuật xã hội hoạt động hiệu quả nhất khi bạn không có thời gian để suy nghĩ. Không giống như lừa đảo kiểu cũ tìm kiếm mật khẩu hoặc thông tin đăng nhập, phần mềm rút tiền không cần bất kỳ thông tin bí mật nào của bạn. Nó chỉ cần lừa người dùng thực hiện một hành động: kết nối ví của họ với trang web giả mạo và chấp nhận một yêu cầu duy nhất. Rào cản thấp hơn đó chính là lý do tại sao phần mềm rút tiền lây lan nhanh chóng và tại sao ngay cả những người cẩn thận cũng bị mắc bẫy trong lúc vội vàng. Nhấp chuột vào và bạn sẽ đến một bản sao trông giống hệt như một dự án bạn tin tưởng, yêu cầu bạn kết nối ví của mình.
Cái bẫy chính là dấu ấn đặc trưng.
Đây là phần quan trọng. Khi bạn chấp thuận, bạn không phải đang "đăng nhập" — mà là đang ký một quyền cụ thể, và một vài trong số đó có thể gây hậu quả nghiêm trọng. Một lệnh `approve()` của ERC-20 có thể cấp quyền sử dụng không giới hạn, cho phép một hợp đồng sử dụng token đó mãi mãi. Lệnh `setApprovalForAll` cấp phát tất cả NFT trong một bộ sưu tập cùng một lúc. Điều nguy hiểm nhất là chữ ký Permit hoặc Permit2 ngoại tuyến. Nó không tốn phí gas. Nó hiển thị dưới dạng một tin nhắn đơn giản, không phải là một giao dịch. Và nó vẫn cho phép chuyển khoản. Đó là cái bẫy mà hầu hết mọi người đều mắc phải: theo một phân tích của SlowMist , chữ ký kiểu Permit chiếm 56,7% các trường hợp chấp thuận lừa đảo trong năm 2024, chính xác là vì chúng trông không giống gì cả. Kẻ tấn công cũng theo dõi các bản nâng cấp, lạm dụng các lệnh gọi khó hiểu như `setOwner` và, ngay sau khi Ethereum phát hành Pectra, là ủy quyền EIP-7702 hoàn toàn mới.
Cống thoát nước
Ngay khi bạn ký, kẻ rút tiền từ ví đã có mọi thứ cần thiết, và không có xác nhận thứ hai nào để cứu bạn. Mục tiêu rất đơn giản và tàn nhẫn: đánh cắp tiền trước khi bạn kịp phản ứng. Nó đã lập bản đồ tài sản của bạn, vì vậy nó thực hiện chuyển khoản và token của bạn biến mất chỉ trong một khối. Giao dịch trên blockchain là giao dịch cuối cùng. Không cần gọi cho ngân hàng, không cần hoàn trả phí. Đến khi airdrop "không tải được", giao dịch chuyển khoản trái phép đã được ghi nhận trên chuỗi.
| Những giấy tờ bạn được yêu cầu ký | Nó trông như thế nào đối với bạn? | Nó thực sự mang lại điều gì? |
|---|---|---|
| ERC-20 `approve()` | Phê duyệt mã thông báo thông thường | Chi tiêu không giới hạn số token đó. |
| `setApprovalForAll` | "Phê duyệt việc thu thập" | Kiểm soát mọi NFT trong đó |
| Giấy phép / Giấy phép2 | Một thông điệp chữ ký không dùng khí | Chuyển nhượng quyền mà không để lại dấu vết trên chuỗi cho đến khi được sử dụng. |
| `setOwner` / EIP-7702 | Một lời nhắc không quen thuộc | Quyền sở hữu hoặc ủy quyền tài khoản của bạn |
Drainer-as-a-Service (DaaS): Tội phạm với bảng điều khiển
Các công cụ đánh cắp dữ liệu không phát triển mạnh vì tin tặc trở nên thông minh hơn. Chúng phát triển mạnh vì ai đó đã biến công cụ này thành một sản phẩm và, cùng với đó, biến hành vi đánh cắp ví điện tử thành tội phạm mạng có tổ chức với bảng giá được công khai.
Cách thức hoạt động của DaaS
Trong mô hình Drainer-as-a-Service (Dịch vụ rút tiền từ ví điện tử), một nhà phát triển xây dựng và duy trì bộ công cụ này, sau đó cho thuê lại cho bất kỳ ai muốn thực hiện chiến dịch tấn công ví tiền điện tử. Bên liên kết, thường là những kẻ tấn công có kỹ năng thấp, sẽ xử lý việc lừa đảo. Bộ công cụ sẽ xử lý việc đánh cắp tiền. Họ chia lợi nhuận, và cách chia này gần như giống hệt với kịch bản của phần mềm tống tiền: nhà phát triển giữ khoảng 20% số tiền bị đánh cắp, bên liên kết giữ 80% còn lại. Với phần lợi nhuận đó, người mua nhận được các trang lừa đảo làm sẵn, bảng điều khiển quản trị, công cụ ẩn danh và, tất nhiên, hỗ trợ khách hàng thực sự. Một thiếu niên không biết viết một dòng mã nào cũng có thể điều hành một hoạt động chuyên nghiệp ngay từ giờ ăn trưa.
Inferno, Pink và cánh cửa xoay
Các bộ công cụ tấn công nổi bật cho thấy quy mô của vấn đề. Inferno Drainer hoạt động từ cuối năm 2022 đến cuối năm 2023 và đã đánh cắp khoảng 87 triệu đô la từ hơn 137.000 nạn nhân, trải rộng trên hơn 16.000 tên miền lừa đảo giả mạo ít nhất 100 thương hiệu tiền điện tử. Pink Drainer đã thu về khoảng 85 triệu đô la trước khi những kẻ điều hành tuyên bố ngừng hoạt động. Hãy để ý mô hình này. Một nhóm ngừng hoạt động, tội phạm mạng chuyển sang bộ công cụ tiếp theo, và chính Inferno lại quay trở lại dưới dạng "tái trang bị". Việc loại bỏ một nhà điều hành không có nghĩa là thị trường biến mất — thị trường chính là dịch vụ, chứ không phải kẻ lừa đảo.
Kẻ móc túi lấy trộm bao nhiêu tiền?
Tổng số liệu rất lớn, biến động mạnh và dễ bị hiểu sai. Một chiến dịch rút tiền từ ví tiền điện tử có thể lấy đi nhiều tiền hơn trong một giao dịch so với một vụ tấn công toàn bộ sàn giao dịch, và con số hàng năm cũng dao động thất thường.
Nguồn thông tin đáng tin cậy nhất, Scam Sniffer , thống kê theo từng năm. Thiệt hại đạt khoảng 295 triệu đô la vào năm 2023 trên 324.000 nạn nhân, tăng 67% lên 494 triệu đô la vào năm 2024, sau đó giảm mạnh xuống khoảng 84 triệu đô la vào năm 2025. Sự sụt giảm đó có vẻ như là một chiến thắng. Nhưng không phải vậy. Nó chủ yếu phản ánh hoạt động trên chuỗi giảm và sự luân chuyển thiết bị, và giai đoạn đầu của 2026 đã cho thấy sự tăng đột biến hàng tháng mạnh mẽ. Vụ mất mát lớn nhất được ghi nhận là 55,47 triệu đô la DAI từ một nạn nhân vào năm 2024. Bất kể tổng số tiền là bao nhiêu, tiền điện tử bị đánh cắp đều biến mất theo cùng một cách: được rửa sạch qua các bộ trộn và sàn giao dịch phi tập trung trong vòng vài phút, đó là lý do tại sao hầu như không có gì được trả lại.
| Năm | Bị thợ sửa ống nước lấy trộm | Nạn nhân |
|---|---|---|
| 2023 | 295,5 triệu đô la | Hơn 324.000 |
| 2024 | 494 triệu đô la | 332.000 |
| 2025 | 83,85 triệu đô la | 106,106 |
Và các nạn nhân không chỉ toàn là người mới chơi. Mark Cuban đã mất khoảng 900.000 đô la vì bị lừa đảo. Ngay cả người đồng sáng lập Ethereum, Vitalik Buterin, cũng bị chiếm đoạt tài khoản X để quảng bá một loại tiền giả, khiến ông mất khoảng 700.000 đô la từ những người theo dõi mình. Nếu điều này đến được với họ, thì ranh giới "Tôi sẽ không bao giờ mắc bẫy" mỏng manh hơn vẻ bề ngoài.
Dấu hiệu cảnh báo của một kẻ hút cạn ví tiền
Những dấu hiệu cảnh báo của một kẻ hút cạn ví tiền hầu hết đều xoay quanh một yêu cầu: ký ngay lập tức. Khi thấy những dấu hiệu này, hãy chậm lại.
Hãy cảnh giác với những lời nhắc yêu cầu cấp token không giới hạn khi bạn chỉ muốn mua một token duy nhất. Cẩn trọng hơn nữa với yêu cầu chữ ký không tính phí gas và hiển thị thông báo mà bạn không thể đọc hết. Đó là chiêu trò hút gas không cần trả phí kinh điển. Hãy coi "nhận ngay", "số lượng có hạn" và bộ đếm ngược là chiến thuật gây áp lực, chứ không phải may mắn. Không tin tưởng bất kỳ liên kết nào xuất hiện trong tin nhắn riêng hoặc nhóm Telegram. Không bao giờ truy cập dApp thông qua quảng cáo tìm kiếm được tài trợ, nơi những kẻ lừa đảo thường xuyên trả giá cao hơn dự án thật để giành vị trí hàng đầu. Và luôn kiểm tra tên miền chính xác, bởi vì một trang web giả mạo chỉ thay đổi một chữ cái là chiêu trò cũ rích và vẫn hiệu quả cho đến nay.
Cách bảo vệ ví tiền của bạn khỏi những kẻ hút cạn tiền
Bạn không cần phải theo dõi mọi lỗ hổng bảo mật mới. Hai thói quen nhàm chán này tự chúng đã giúp ngăn chặn hầu hết mọi lỗ hổng.
Sử dụng ví phần cứng và thiết bị ghi dữ liệu.
Hãy giữ phần lớn tiền điện tử của bạn trên ví phần cứng. Khóa ví luôn được lưu trữ ngoại tuyến, và mỗi giao dịch đều cần chạm vật lý vào thiết bị, vì vậy một trang web độc hại không thể lấy bất cứ thứ gì nếu không có phần cứng trong tay bạn. Sau đó, hãy tạo một ví "dùng một lần" thứ hai, gần như trống rỗng, để dùng cho việc tạo tiền điện tử, nhận airdrop và bất kỳ dApp nào bạn không biết. Nếu ví dùng một lần bị mất hết tiền, bạn chỉ mất tiền ăn trưa chứ không phải tiền tiết kiệm. Việc kết nối ví chính của bạn với một trang web Web3 ngẫu nhiên là thói quen duy nhất khiến toàn bộ tội phạm này vẫn sinh lời.
Đọc kỹ từng chữ ký và hủy bỏ những chữ ký cũ.
Thói quen thứ hai đơn giản là đọc kỹ những gì bạn ký. Ví điện tử hiện đại và các công cụ mô phỏng sẽ giải thích rõ ràng chữ ký cho phép những gì trước khi bạn xác nhận. Hãy sử dụng chúng và đừng bao giờ ký một cách mù quáng vào một tin nhắn mà bạn không thể thực hiện theo. Sau đó, hãy dọn dẹp và thu hồi các phê duyệt mà bạn không còn cần nữa. Một công cụ thu hồi sẽ hiển thị mọi hợp đồng vẫn có thể chi tiêu token của bạn và cho phép bạn hủy những hợp đồng mà bạn đã quên, đóng lại những cánh cửa mà kẻ tấn công có thể dễ dàng xâm nhập sau nhiều tháng. Nếu một trang web trông không quen thuộc, hãy xem qua hợp đồng của nó trên trình khám phá khối trước, bởi vì một hợp đồng hoàn toàn mới với lịch sử bằng không là một thiết lập điển hình. Phê duyệt không giới hạn mà bạn đã nhấp vào năm 2021? Vẫn còn hiệu lực cho đến khi bạn hủy bỏ nó.
Bạn nên làm gì nếu bị kẻ hút cạn ví tiền?
Nếu điều đó xảy ra, tốc độ là tất cả. Hãy làm việc theo trình tự. Chuyển ngay lập tức tất cả những gì kẻ tấn công chưa lấy được sang một ví mới, an toàn hơn, vì chúng thường quay lại để lấy phần còn lại. Sau đó, thu hồi mọi quyền truy cập trên địa chỉ bị xâm phạm để không còn quyền nào có thể được sử dụng lại. Coi ví đó như đã bị mất và ngừng sử dụng nó vĩnh viễn. Ghi lại mã băm giao dịch và báo cáo các địa chỉ cho các dịch vụ như Chainabuse hoặc Scam Sniffer, những dịch vụ này sẽ lập bản đồ cơ sở hạ tầng đó. Và hãy thành thật với chính mình về khả năng phục hồi. Các giao dịch trên chuỗi là không thể đảo ngược và tiền bị đánh cắp hiếm khi được hoàn trả, vì vậy chiến thắng thực sự là ngăn chặn sự thất thoát nhanh chóng.
Kẻ hút ví cần chữ ký của bạn, chứ không phải chìa khóa.
Hãy loại bỏ bảng điều khiển và tên bộ công cụ, và phần mềm rút tiền điện tử chỉ có một vũ khí duy nhất: chữ ký mà bạn chấp thuận. Nó không thể lấy khóa riêng tư của bạn, không thể phá vỡ chuỗi bảo mật, và không thể di chuyển một xu nào cho đến khi bạn nhấp vào xác nhận. Đó cũng là tin tốt – cách đối phó cũng đơn giản như vậy. Hãy giữ phần lớn tiền của bạn trong kho lưu trữ ngoại tuyến, coi mỗi lời nhắc "kết nối ví" như một người lạ đang yêu cầu khóa của bạn, và đọc kỹ điều khoản trước khi ký. Làm như vậy, một ngành công nghiệp trị giá hàng tỷ đô la sẽ đâm thẳng vào tường ngay trên màn hình của bạn. Vì vậy, lần tới khi một phần mềm tạo tiền điện tử miễn phí yêu cầu bạn ký, hãy tự hỏi mình câu hỏi duy nhất quan trọng: chính xác thì tôi đang cho phép điều gì?
