Honeypot là một chiêu trò lừa đảo tiền điện tử? Hướng dẫn về hợp đồng thông minh Ethereum.
Hãy hình dung một cửa hàng. Một cửa hàng nhỏ. Nó nhận tiền của bạn, đưa cho bạn một biên lai, mỉm cười. Sau đó, nó lặng lẽ khóa cửa ra. Về mặt kỹ thuật, mọi thứ trên kệ đều thuộc về bạn. Bạn chỉ không thể mang bất cứ thứ gì ra khỏi đó. Đó chính là một hình ảnh về lừa đảo tiền điện tử kiểu "bẫy mật ong". Và vào năm 2025, hàng chục nghìn hệ thống lừa đảo này đang hoạt động trên chuỗi khối bất cứ lúc nào, rải rác trên các sàn giao dịch phi tập trung, ẩn mình trong mã hợp đồng thông minh độc hại mà không ai đọc.
Có thể bạn chưa từng nghe đến thuật ngữ này trước đây. Không sao cả. Một khi bạn biết đến nó, bạn sẽ thấy nó ở khắp mọi nơi. Token tăng giá 400% vào một ngày thứ Tư ngẫu nhiên với 2.000 người mua và không có người bán nào. Ví điện tử mà ai đó nhắn tin riêng cho bạn với nội dung "bạn có thể giúp tôi chuyển số tiền này ra không?". Đồng tiền mà một người nổi tiếng vừa đăng tweet về nó 10 giây trước khi biểu đồ tăng vọt. Một số trong số đó là bẫy (honeypot). Một số thì không. Mục tiêu của hướng dẫn này là dạy bạn cách phân biệt chúng, mà không cần phải có kiến thức chuyên môn về lập trình.
Trước tiên hãy kiểm tra quy mô. Báo cáo Tội phạm tiền điện tử năm 2026 của Chainalysis cho biết các địa chỉ tiền điện tử bất hợp pháp đã thu về 154 tỷ đô la vào năm 2025, tăng 162% so với năm trước. Báo cáo Tội phạm Internet năm 2025 của FBI ước tính gian lận tiền điện tử lên tới 11,366 tỷ đô la, trong đó 7,2 tỷ đô la đến từ các vụ lừa đảo đầu tư. Bẫy mật (honeypot) chiếm một phần đáng kể trong cả hai con số này. Trên Ethereum, Base và BNB Chain, chúng xuất hiện hàng ngày. Vì vậy, hãy để tôi hướng dẫn bạn cách tìm ra vị trí thực sự của cái bẫy và những bước kiểm tra cơ bản nào giúp bạn tránh bị mắc bẫy.
Honeypot trong tiền điện tử là gì? Cái nhìn tổng quan dành cho người mới bắt đầu.
Honeypot là bất kỳ cái bẫy tiền điện tử nào trông giống như một cơ hội bình thường nhưng được thiết kế để bạn không thể rút tiền ra. Tên gọi này xuất phát từ ý tưởng về thứ gì đó ngọt ngào được đặt ở nơi dễ thấy để thu hút ruồi. Trong tiền điện tử, thứ ngọt ngào đó thường là một token nóng, một ví điện tử có vẻ như chứa tiền miễn phí, hoặc một trang web hứa hẹn lợi nhuận khổng lồ.
Đây là điểm khác biệt quan trọng. Bẫy mật không đánh cắp tiền của bạn bằng cách hack. Nó không rút tiền từ ví của bạn từ bên ngoài. Nó cho phép bạn tự tay gửi một lượng tiền điện tử nhất định đến hợp đồng mà không có đường thoát. Một khi tiền đã đến nơi, kẻ lừa đảo sẽ kiểm soát nó. Bạn thì không.
Một bẫy mật điển hình trên chuỗi trông như thế này: một token mới xuất hiện trên Uniswap hoặc PancakeSwap, hoặc một sàn giao dịch tài chính phi tập trung khác hứa hẹn sẽ phi tập trung hóa giao dịch token. Biểu đồ cho thấy giá của nó đang tăng. Mọi người mua token. Bạn cũng mua token. Ví của bạn giờ hiển thị số dư. Bạn thử bán. Giao dịch bị hủy, thất bại hoặc hoàn tất với phí bán cao 100% khiến bạn trắng tay. Số dư của bạn vẫn còn đó. Nó chỉ không thể di chuyển được. Bạn bị bỏ lại với những token vô giá trị và chờ đợi một cánh cửa sẽ không bao giờ mở, khiến cho việc phân loại nó là một vụ hack trở nên khó khăn vì không có lỗ hổng nào được khai thác trực tiếp chống lại bạn.
Nguồn gốc của thuật ngữ "honeypot" (bẫy mật ong)
Từ này còn lâu đời hơn cả mật mã học. Lâu đời hơn nhiều. "Honeypot" (bẫy mật) được nhắc đến trong cuốn sách "The Cuckoo's Egg" (Trứng chim cúc cu ) năm 1989 của Clifford Stoll. Stoll là một quản trị viên hệ thống tại Phòng thí nghiệm Berkeley. Ông phát hiện ra một lỗi kế toán 75 xu, đã tìm hiểu kỹ và cuối cùng truy đuổi một hacker liên kết với KGB trên các mạng lưới quân sự. Những tập tin giả mà ông thiết lập để giữ chân hacker? Đó chính là những honeypot đầu tiên. Công nghệ của người tốt.
Trong thế giới tiền điện tử, thuật ngữ này đã được sử dụng và đảo ngược mục tiêu. Bốn mươi năm sau, "mồi nhử" lại nhắm vào những người dùng tiền điện tử thông thường, chứ không phải những kẻ xâm nhập. Giờ đây, bạn chính là con ruồi. Cấu trúc bẫy vẫn vậy, nhưng đạo đức thì ngược lại. Khi ai đó trong giới tiền điện tử nói "token đó là một cái bẫy mật", họ muốn nói rằng mã nguồn đã được thiết kế để chống lại bất kỳ ai mua nó, thường là thông qua các hạn chế ẩn giấu trong logic hợp đồng mà không ai đọc.
Cách thức hoạt động của chiêu trò lừa đảo "bẫy mật" từng bước một
Hầu hết các vụ lừa đảo "bẫy mật" đều theo cùng một kịch bản. Một khi đã thấy một lần, bạn sẽ nhận ra các biến thể mới chỉ trong vài phút.
Mọi chuyện bắt đầu khi một kẻ lừa đảo viết một hợp đồng thông minh. Thoạt nhìn, nó trông giống như một token tiêu chuẩn. Chức năng mua hoạt động bình thường. Triển khai nó trên Ethereum, Base, BNB Chain hoặc Solana. Cho đến lúc đó, mọi thứ vẫn diễn ra bình thường.
Rồi đến cái bẫy. Đâu đó trong logic bán hàng, có một sự hạn chế. Có thể là một danh sách đen tự động thêm mọi người mua mới. Có thể là thuế bán hàng 100%. Có thể là một hàm mà chỉ chủ sở hữu mới được phép gọi. Có thể là một hợp đồng hỗ trợ riêng biệt thực sự kiểm soát việc chuyển khoản. Người mua có thể gửi token vào, chỉ kẻ lừa đảo mới có thể gửi chúng ra. Kết quả như nhau, nhưng dưới nhiều hình thức.
Tiếp theo là giai đoạn dàn dựng. Kẻ lừa đảo tạo ra một nhóm thanh khoản trên một sàn giao dịch phi tập trung. Token trông có vẻ dễ giao dịch. Chúng thực hiện giao dịch giả bằng ví của chính mình và một hoặc hai ví khác để tạo ra biểu đồ trông có vẻ sống động. Nến xanh xuất hiện, khối lượng giao dịch tăng cao. Telegram bắt đầu tràn ngập các câu hỏi "làm thế nào để mua?".
Sau đó là quảng bá trên các nền tảng mạng xã hội. Đôi khi là những người có ảnh hưởng được trả tiền. Đôi khi là một dự án nổi tiếng bị mạo danh. Đôi khi là một sự kiện tin tức, giống như cách $SQUID tận dụng sự nổi tiếng của bộ phim Squid Game của Netflix năm 2021. Telegram, X, TikTok. Luôn luôn với sự khẩn trương: "chỉ có 1000 ví có thể tạo token", "token sẽ ra mắt trong 2 giờ nữa", "giá đã tăng 300%".
Màn kịch cuối cùng luôn giống nhau. Các nạn nhân cố gắng bán. Các giao dịch bán đó bị hủy bỏ, thất bại hoặc chuyển toàn bộ tiền vào ví của kẻ lừa đảo. Đến khi nhóm chat Telegram phát hiện ra, kẻ lừa đảo đã rút hết tiền trong pool hoặc chuyển tiền sang một hợp đồng thứ ba. Hợp đồng bị hủy sẽ tồn tại mãi mãi trên chuỗi khối, như một minh chứng cho cái bẫy.
Các loại bẫy mật ong mà bạn thực sự sẽ gặp phải
Các loại "bẫy mật ong" có nhiều hình thức hơn hầu hết người mới bắt đầu nghĩ. Dưới đây là các loại "bẫy mật ong" chính mà mọi người thường gặp phải trong năm 2025.
- Cơ chế "bẫy không thể bán" trong hợp đồng thông minh. Hợp đồng sẽ từ chối mọi giao dịch bán từ địa chỉ không nằm trong danh sách trắng. Bạn sẽ thấy token của mình trong ví và không bao giờ có thể di chuyển chúng.
- Những cạm bẫy danh sách đen ngầm. Mỗi người mua mới đều bị âm thầm thêm vào danh sách đen ngay khi mua hàng. Mua hàng thì thành công; bán hàng thì thất bại mãi mãi về sau.
- Cạm bẫy thuế bán hàng 100%. Hợp đồng chuyển 100% số tiền bán được vào ví "kho bạc" (của kẻ lừa đảo). Về mặt kỹ thuật, bạn bán hàng, nhưng bạn không nhận được gì.
- Bẫy thanh khoản. Nhóm thanh khoản chỉ có một chiều hoặc do người triển khai kiểm soát. Lệnh bán thất bại vì không có lệnh mua hoặc kẻ lừa đảo rút thanh khoản tùy ý.
- Những cạm bẫy chức năng dành riêng cho chủ sở hữu. Các chức năng ẩn chỉ dành cho chủ sở hữu cho phép kẻ lừa đảo tạm dừng giao dịch, tạo ra nguồn cung không giới hạn hoặc thay đổi thuế sau khi ra mắt. Ngay cả một "lần ra mắt công bằng" cũng có thể trở thành một cái bẫy chỉ sau một giờ.
- Chiêu trò ví điện tử / "ETH miễn phí". Thực chất đây không phải là token. Kẻ lừa đảo đăng tải một ví có token hiển thị trên chuỗi và chia sẻ cụm từ hạt giống. Khi bạn cố gắng chuyển token ra, bạn cần phí gas. Bạn gửi gas. Một bot quét tiền sẽ quét ngay lập tức. Bạn không nhận được gì. MetaMask đã cảnh báo cụ thể về biến thể này.
- Các chiêu trò giả mạo "hỗ trợ" Etherscan. Ai đó sẽ trả lời bình luận của bạn trên Etherscan và đề nghị giúp đỡ. Họ bảo bạn gửi một lượng nhỏ ETH đến một hợp đồng "đảo ngược". Hợp đồng đó thực chất là một cái bẫy khác nhằm giữ lại ETH của bạn.
Solidus Labs đã lập danh mục 98.442 hợp đồng honeypot trên chuỗi, bao gồm các biến thể hợp đồng bên ngoài, khối thanh khoản và danh sách chặn. Token Sniffer theo dõi hơn 47,9 triệu token trên 15 chuỗi và gắn cờ hơn sáu triệu trong số đó là lừa đảo. Con số này không hề nhỏ.
Bẫy hợp đồng thông minh và thủ thuật thuế bán hàng
Trong tất cả các loại bẫy, bẫy hợp đồng thông minh trên các chuỗi kiểu Ethereum là phổ biến nhất. Hợp đồng thông minh Ethereum và các bản sao của chúng trên blockchain Ethereum cung cấp năng lượng cho hầu hết các bẫy này, và mô hình này cũng minh họa lý do tại sao "mã nguồn công khai" không phải là lá chắn an toàn mà nhiều người mới bắt đầu nghĩ.
Một hợp đồng thông minh dạng "bẫy" trông có vẻ bình thường từ bên ngoài. Nó kế thừa từ thư viện OpenZeppelin ERC-20 tiêu chuẩn. Nó có tên, ký hiệu và nguồn cung. Nếu bạn xem mã hợp đồng thông minh của nó trên một trình khám phá khối như Etherscan hoặc BscScan, bạn có thể thấy hàng trăm dòng. Hầu hết chúng đều vô hại. Cái bẫy thường ẩn bên trong hàm `_transfer`, hoặc trong một mô-đun thông minh đáng ngờ riêng biệt mà mã thông báo chính gọi thông qua một địa chỉ hỗ trợ.
Phiên bản tinh vi nhất là thủ thuật thuế bán. Hợp đồng có một biến gọi là `sellTax`. Khi ra mắt, nó là 5%, mức bình thường. Mười phút sau khi ra mắt, chủ sở hữu gọi `setSellTax(100)`. Bây giờ, mỗi lần bán sẽ gửi tất cả token vào kho bạc. Việc mua vẫn hoạt động, vì các giao dịch mua được thực hiện thông qua một hàm khác. Trừ khi bạn hiểu những gì bạn đang đọc trong mã, bạn có thể nhìn vào hợp đồng mà không thấy được cái bẫy, vì từ bên ngoài nó trông giống như bất kỳ token Web3 ERC-20 nào khác.
Đây là lý do tại sao việc tự đọc mã hợp đồng thông minh không đáng tin cậy đối với người mới bắt đầu. Bạn cần hoặc là một mô phỏng (thực hiện giao dịch thử nghiệm và xem liệu nó có thành công hay không) hoặc một công cụ đã biết các mẫu này. Honeypot.is, Token Sniffer, De.Fi Scanner, QuillCheck và GoPlus Security đều thực hiện một số hình thức phân tích này. Không có công cụ nào là hoàn hảo. Những người tạo ra Honeypot vào năm 2025 sử dụng các hợp đồng proxy có thể nâng cấp và các trình kích hoạt trì hoãn thời gian để đánh bại các trình quét tĩnh, vì vậy bất kỳ nỗ lực nào để khai thác một hợp đồng mới đều cần nhiều hơn một công cụ.
Bẫy ví tiền: bẫy cụm từ hạt giống
Biến thể ví điện tử cần được giải thích riêng vì nó không liên quan đến bất kỳ hợp đồng token nào. MetaMask đã đưa ra cảnh báo chính thức về điều này, tương tự như Trezor và Ledger.
Thoạt nhìn thì có vẻ vô hại. Một người lạ trên Telegram, Discord hoặc Twitter tự nhận là người mới tham gia vào lĩnh vực tiền điện tử và không biết cách chuyển tiền ra khỏi ví. Họ chia sẻ cụm từ khôi phục (đúng vậy, thật đấy) và giải thích rằng ví bị "khóa" vì có token trong đó nhưng không có phí gas. Họ hỏi bạn có thể giúp đỡ không và đề nghị chia sẻ số tiền bên trong.
Bạn mở ví trong MetaMask. Bạn thấy số dư thực: một ít USDT, có thể là một vài token ngẫu nhiên. Bạn thử gửi USDT cho chính mình. Bạn không thể, vì ví không có ETH nào để trả phí gas. Vì vậy, bạn gửi một ít ETH từ ví của mình để trả phí giao dịch.
Ngay khi ETH được chuyển đến, một bot quét mã được lập trình để theo dõi địa chỉ đó sẽ chuyển mọi wei đến ví thật của kẻ lừa đảo. Tiền gas của bạn coi như mất trắng. Những token mà bạn tưởng đang giúp cứu vãn thực chất không thể lấy lại được ngay từ đầu. Chúng hoặc bị khóa bởi các hạn chế của hợp đồng, hoặc là USDT bị Tether đóng băng vì địa chỉ đó đã bị gắn cờ.
Nguyên tắc để tránh bị lừa kiểu này rất đơn giản: đừng bao giờ tin tưởng vào ví điện tử mà người khác cung cấp cụm từ khôi phục (seed phrase) cho bạn. Nếu họ thực sự sở hữu ví đó, họ sẽ tự chuyển tiền cho bạn. Đây là một trong những cách đơn giản nhất mà bọn lừa đảo sử dụng để lấy cắp gas từ người mới chơi, và nó được thiết kế để bẫy bất cứ ai thiếu kinh nghiệm mà lại nghĩ rằng "tiền miễn phí" thực sự là miễn phí.
Các chiêu trò lừa đảo "bẫy mật ong" nổi tiếng: SQUID, HAWK, LIBRA
Các trường hợp thực tế giúp làm rõ điều này.
SQUID (Ngày 1 tháng 11 năm 2021). Đây là ví dụ điển hình cho người mới bắt đầu. Token này đã tận dụng sự nổi tiếng của trò chơi Squid Game trên Netflix. Việc mua vào diễn ra suôn sẻ và có vẻ bùng nổ. Giá tăng từ khoảng 0,01 đô la lên khoảng 2.861 đô la, một mức tăng ngoạn mục đến mức tờ Washington Post và BBC đã đưa tin. Những người nắm giữ đã cố gắng bán ra. Họ không thể. Sau đó, các nhà phát triển đã rút khoảng 3,38 triệu đô la từ quỹ thanh khoản và biến mất. Token này đã sụp đổ hơn 99,99% trong vòng chưa đầy năm phút. Hoàn toàn là một cái bẫy ngọt ngào, một trò lừa đảo rút tiền trắng trợn.
HAWK (ngày 4 tháng 12 năm 2024). Không phải là một "bẫy mật" hợp đồng thông minh cổ điển, nhưng phù hợp với mô hình tư duy tương tự. Được ra mắt bởi Haliey "Hawk Tuah" Welch, token này đã đạt vốn hóa thị trường 500 triệu đô la ngay trong ngày ra mắt. Phân tích trên chuỗi của Halborn cho thấy 96% nguồn cung được nắm giữ trong ví của những người nội bộ. Khi những người nội bộ bán tháo, giá đã giảm hơn 95% trong cùng ngày. Người mua chỉ còn lại những token về mặt kỹ thuật vẫn được giao dịch và về mặt kỹ thuật vẫn không có giá trị.
LIBRA (14 tháng 2 năm 2025). Tổng thống Argentina Javier Milei đã đăng bài về token này chỉ vài phút sau khi ra mắt. Giá của nó đã tăng vọt từ gần bằng 0 lên 5,20 đô la trong vòng 40 phút. Những người nội bộ nắm giữ 70% nguồn cung và đã bán tháo cho nhà đầu tư nhỏ lẻ. Khoảng 251 triệu đô la đã bị mất. Vụ việc hiện đang được điều tra cấp liên bang và là một trong những ví dụ rõ ràng nhất về cách sự ủng hộ chính trị cộng với tính thanh khoản nhanh chóng cộng với nguồn cung từ nội bộ tạo ra kết quả giống như một cái bẫy, ngay cả khi không có các hợp đồng tùy chỉnh.
Dechat (26 tháng 2 năm 2024). Một nhà điều tra đã truy tìm được khoảng 3,2 triệu đô la bị đánh cắp trên chín hợp đồng bẫy liên kết bởi một kẻ tấn công duy nhất, kẻ này đã sử dụng các kênh mạng xã hội bị xâm nhập của Dechat để phát tán liên kết độc hại. Điều này nhắc nhở rằng ngay cả các dự án thực sự cũng có thể vô tình quảng bá bẫy nếu tài khoản của họ bị chiếm đoạt.
Bẫy mật khẩu (Honeypot) so với lừa đảo rút tiền (Rub pull) so với các hình thức lừa đảo tiền điện tử khác
Người mới bắt đầu thường sử dụng các thuật ngữ này thay thế cho nhau. Chúng là những cái bẫy khác nhau. Các vụ lừa đảo "bẫy mật" trong lĩnh vực tiền điện tử tập trung cụ thể vào việc chặn lối thoát; các loại lừa đảo khác hoạt động theo cách khác nhau, mặc dù tất cả đều dựa trên cùng một đòn bẩy tâm lý cơ bản: sự khẩn cấp và cường điệu.
| Loại hình lừa đảo | Chuyện gì sẽ xảy ra? | Có thể phát hiện trước khi mua không? |
|---|---|---|
| Bẫy mật ong (hợp đồng thông minh) | Các khối nhà xây theo hợp đồng được thiết kế để bán chạy ngay từ ngày đầu tiên. | Vâng, hãy mô phỏng một giao dịch bán hàng. |
| Kéo thảm | Nhóm này huy động vốn hoặc cung cấp thanh khoản ban đầu, rồi sau đó rút lại. | Một phần, hãy theo dõi trạng thái khóa LP và tính minh bạch của nhóm. |
| Thao túng giá cổ phiếu rồi bán tháo | Các nhà đầu tư nội bộ bán tháo cổ phiếu cho nhà đầu tư cá nhân sau một làn sóng thổi phồng. | Khó, đòi hỏi phân tích chuỗi cung ứng. |
| Lừa đảo qua mạng | Liên kết độc hại thu thập khóa riêng tư hoặc cụm từ hạt giống của bạn. | Có, kiểm tra URL, ví phần cứng, không chia sẻ cụm từ khôi phục. |
| Trao đổi giả mạo | Trang web chấp nhận nạp tiền nhưng chặn rút tiền. | Có, thông tin về thực thể đã đăng ký, tuổi đời tên miền, đánh giá từ cộng đồng. |
| Máy quét ví | Kẻ lừa đảo cung cấp cho bạn một cụm từ hạt giống; lượng khí bạn nạp vào đã bị đánh cắp. | Đúng vậy, đừng bao giờ sử dụng ví có cụm từ khôi phục do người khác cung cấp. |
Honeypot là loại bẫy được tích hợp sẵn trong mã lập trình trước khi bạn kịp can thiệp. Còn các vụ lừa đảo "rug pull" thì yêu cầu nhóm phát hiện phải thực hiện một số thao tác sau đó. Honeypot hoạt động tự động, đó là lý do tại sao chúng dễ dàng mở rộng quy mô; sau khi triển khai, kẻ lừa đảo hầu như không cần phải xuất hiện.
Cách thức hoạt động của chiêu trò lừa đảo "bẫy mật" thay đổi cùng với sự xuất hiện của meme coins.
Các đồng tiền meme, đặc biệt là trên Solana, là nơi các chiến thuật tương tự như bẫy mật (honeypot) bùng nổ. Một báo cáo của Solidus Labs từ tháng 1 năm 2024 đến tháng 3 năm 2025 đã chỉ ra rằng 98,6% tất cả các token Pump.fun là các vụ bơm thổi giá (pump-and-dump) hoặc rút tiền bất ngờ (rug pull). Chỉ riêng Pump.fun đã phát hành hơn 11,9 triệu token và thường chiếm khoảng 71% tổng số token được ra mắt trên Solana mỗi ngày. Những vụ lừa đảo này sử dụng cùng các thủ đoạn kỹ thuật xã hội như các bẫy mật cổ điển, được đóng gói lại cho đối tượng người dùng của các đồng tiền meme. Nỗi sợ bỏ lỡ cơ hội (FOMO) sẽ làm nốt phần việc còn lại.
Lý do nằm ở cấu trúc. Pump.fun cho phép bất kỳ ai tạo ra token chỉ trong vài giây với gần như không cần vốn. Ra mắt token, tự mua vài trăm đô la đầu tiên, quảng bá rầm rộ trên X, và chờ đợi. Nếu có người mua, hãy bán tháo. Nếu không, bạn bỏ token đó và tiếp tục. Nhân điều đó lên trên hàng triệu ví và bạn sẽ có một hệ sinh thái mà việc mua bất kỳ đồng tiền meme mới nào giống như kéo cần số máy đánh bạc hơn là đầu tư.
Không phải mọi đồng tiền meme đều là "bẫy mật" theo đúng nghĩa "không thể bán được". Nhưng cấu trúc chi phí lại ưu tiên số lượng hơn chất lượng. Nghiên cứu tương tự của Solidus Labs cho thấy 93% trong số 388.000 nhóm thanh khoản Raydium mà họ phân tích đã thể hiện hành vi "rút thảm nhẹ". Trong số khoảng 7 triệu token meme Solana có lịch sử giao dịch, chỉ có khoảng 97.000 token duy trì được thanh khoản trên 1.000 đô la. Những con số như vậy sẽ giúp bạn xem xét lại các giả định về rủi ro.
Kiểm tra hợp đồng thông minh và phát hiện bẫy mật
Kiểm toán hợp đồng giống như một người lớn nhàm chán trong phòng. Một cuộc kiểm toán hợp đồng thông minh đúng chuẩn do các công ty như Halborn, CertiK, PeckShield, Trail of Bits hoặc SlowMist thực hiện sẽ đọc từng dòng mã, mô phỏng các trường hợp ngoại lệ và chứng nhận (hoặc bác bỏ) hợp đồng. Kiểm toán không đảm bảo an toàn tuyệt đối, nhưng những cuộc kiểm toán hợp đồng này sẽ nhanh chóng lọc ra những "bẫy mật" thô sơ nhất.
Đối với người mới bắt đầu tìm hiểu về một token mới, câu hỏi thực tế không phải là "nó đã được kiểm toán chưa" mà là "nó đã được kiểm toán bởi một công ty uy tín chưa, và cuộc kiểm toán đó có bao gồm phiên bản hợp đồng hiện tại không". Rất nhiều token không đáng tin cậy liệt kê "kiểm toán" trong quảng cáo của họ và liên kết đến một tệp PDF từ một công ty mà không ai biết đến, hoặc một cuộc kiểm toán thực sự được thực hiện trên một phiên bản mã cũ hơn.
Đối với các token không có kiểm toán, mà hầu hết đều như vậy, lớp bảo mật tiếp theo tốt nhất là phát hiện honeypot tự động. Các công cụ miễn phí đáng biết:
| Dụng cụ | Chức năng của nó là gì? | Hoạt động trên |
|---|---|---|
| Honeypot.is | Mô phỏng thao tác mua và bán, đánh dấu nếu lệnh bán bị đảo ngược. | Ethereum, Chuỗi BNB, Cơ sở |
| Kẻ dò tìm token | Quét mẫu mã + cờ chức năng chủ sở hữu + điểm rủi ro | 15 chuỗi, 47,9 triệu token được theo dõi |
| Máy quét De.Fi | Phân tích tĩnh + mô phỏng | Ethereum, BSC, Polygon, Base, Solana |
| QuillCheck | Kiểm tra mã nguồn kèm theo cảnh báo thời gian thực | Ethereum, BSC, Đa giác, Arbitrum |
| API bảo mật GoPlus | Được sử dụng bởi Alchemy, 1 inch, ví; cờ bẫy mật ong sống | Đa chuỗi |
| Bình luận của Etherscan | Những cảnh báo từ cộng đồng người dùng, bao gồm cả các nạn nhân trước đó như người dùng Etherscan hoặc BscScan. | Ethereum, Base, BSC |
Luôn luôn chạy mã thông báo qua ít nhất hai công cụ, chứ không chỉ một. Không có công cụ quét nào có thể phát hiện mọi biến thể, và các tác giả của honeypot luôn điều chỉnh để đi trước bất kỳ công cụ kiểm tra nào trở nên phổ biến trong tháng trước.
Những dấu hiệu cảnh báo cho thấy đó là một cái bẫy tình dục.
Bạn không cần phải đọc sách Solidity để nhận ra hầu hết các "bẫy mật". Dưới đây là những dấu hiệu cảnh báo bạn nên cân nhắc kỹ trước khi mua.
- Token này được tạo ra chưa đầy 24 giờ trước và chỉ có chưa đến 500 người nắm giữ. Các token giai đoạn đầu thường là "bẫy" (honeypot). Kiểm tra lịch sử giao dịch của token trên Etherscan trước khi mua là một thói quen cơ bản giúp phát hiện nhiều token lừa đảo.
- Danh sách người nắm giữ cho thấy một ví duy nhất sở hữu hơn 20% tổng nguồn cung, hoặc hai hoặc ba ví nắm giữ hơn 60% tổng nguồn cung. Đó chính là dấu hiệu nhận biết của chiêu trò bơm thổi giá.
- Tính thanh khoản không bị khóa, hoặc thời gian khóa sẽ hết hạn trong vài ngày chứ không phải vài tháng. Hãy kiểm tra trên Unicrypt hoặc Team Finance.
- Những lời hứa hẹn lợi nhuận cao ngất ngưởng nghe có vẻ quá tốt để có thể là sự thật: "Gấp 100 lần vào thứ Sáu", "đảm bảo gấp 10 lần vào tuần tới", "chỉ có 1000 ví có thể tạo ra". Đây là một dấu hiệu cảnh báo nghiêm trọng. Sự gấp gáp chính là yếu tố sống còn của kẻ lừa đảo.
- Không có đội ngũ kiểm toán hay dấu hiệu xác thực nào. Một người điều hành Discord ngẫu nhiên, người triển khai ẩn danh và không có hồ sơ LinkedIn. Không hẳn là lừa đảo, nhưng đáng để xem xét kỹ lưỡng.
- Hợp đồng nắm giữ các chức năng "mint," "pause," "blacklist," hoặc "setFee" chỉ dành cho chủ sở hữu mà không có khóa thời gian. Ngay cả khi không có ý định xấu, một khóa bị xâm phạm cũng có thể lừa đảo người mua sau này.
- Kênh Telegram có hàng nghìn thành viên nhưng các cuộc trò chuyện lại có vẻ như được dàn dựng sẵn. Các trang trại bot thường lặp lại những lời hứa giống hệt nhau trên nhiều tài khoản. Hãy để ý những cụm từ được lặp đi lặp lại.
- Biểu đồ token cho thấy rất nhiều giao dịch mua và hầu như không có giao dịch bán. Token thật thì có cả hai. Việc thiếu giao dịch bán thường là dấu hiệu rõ ràng nhất cho thấy bạn đang xem một "bẫy token" trong thời gian thực, vì trò lừa đảo này được thiết kế để ngăn người dùng bán token.
Những dấu hiệu cảnh báo này giúp bạn nhận diện các token tiềm năng gây hại và tránh trở thành nạn nhân khi một đồng tiền mới trở nên phổ biến.
Hầu hết người mua mất tiền khi mua hàng qua các chiêu trò lừa đảo không phải vì dấu hiệu quá rõ ràng mà vì nỗi sợ bỏ lỡ cơ hội (FOMO) đã lấn át trực giác. Khi kẻ lừa đảo có thể bán và không ai khác có thể, quyết định nhanh chóng luôn nghiêng về phía kẻ lừa đảo.
Nếu bạn rơi vào bẫy tiền điện tử: phải làm gì?
Câu đầu tiên thẳng thắn ở đây là: khả năng thu hồi tiền của bạn rất thấp. Đối với các bẫy hợp đồng thông minh thuần túy, khả năng thu hồi gần như bằng không vì những trò lừa đảo này được thiết kế để ngăn chặn mọi dấu vết hoàn tiền thông thường. Đối với các vụ lừa đảo rút tiền hàng loạt, báo cáo năm 2024 của SlowMist cho thấy chỉ có 8,25% trong số 2,013 tỷ đô la từ tất cả các sự cố bảo mật được hoàn trả. Khả năng thu hồi tiền từ bẫy hợp đồng thông thường thậm chí còn thấp hơn con số đó.
Tuy vậy, vẫn có những bước thực tế đáng để thực hiện.
Hãy ngừng tương tác với hợp đồng. Đừng ký bất kỳ giao dịch nào liên quan đến nó nữa, ngay cả những giao dịch tuyên bố "mở khóa" token của bạn. Đó hầu như luôn là những trò lừa đảo tiếp theo.
Thu hồi mọi quyền sử dụng token mà bạn đã cấp. Sử dụng Revoke.cash hoặc công cụ Kiểm tra Quyền Sử dụng Token của Etherscan để tìm bất kỳ hợp đồng nào vẫn còn quyền chi tiêu token từ ví của bạn. Thu hồi quyền đó.
Hãy ghi chép lại mọi thứ. Lưu lại địa chỉ hợp đồng, mã giao dịch, trang web hoặc Telegram nơi bạn tìm thấy token, bất kỳ tin nhắn nào bạn nhận được. Ảnh chụp màn hình rất quan trọng.
Hãy báo cáo sự việc. FBI IC3 tiếp nhận các khiếu nại về gian lận tiền điện tử tại Mỹ. FTC chấp nhận báo cáo lừa đảo tại reportfraud.ftc.gov. Tại Anh, có Action Fraud. Mỗi quốc gia đều có cơ quan riêng. Ngoài ra, hãy báo cáo chính token đó trên Etherscan hoặc BscScan để người dùng khác thấy cảnh báo, và trên Token Sniffer nếu nó chưa được liệt kê. Hầu hết các sàn giao dịch tiền điện tử cũng sẽ gắn cờ địa chỉ theo yêu cầu nếu số tiền bị đánh cắp cuối cùng được chuyển đến nền tảng của họ.
Đừng thuê dịch vụ khôi phục dữ liệu nào nhắn tin cho bạn qua Telegram, Twitter, Instagram hoặc email. Đây là loại hình lừa đảo tiếp theo và nó rất phổ biến. Việc khôi phục dữ liệu hợp pháp, nếu có, thường được thực hiện bởi các cơ quan thực thi pháp luật và các công ty pháp y blockchain chuyên nghiệp (Chainalysis, TRM Labs, Elliptic), và những công ty này không quảng cáo trong tin nhắn riêng của bạn.
Hãy công khai địa chỉ hợp đồng. Nếu token là một honeypot đã được xác nhận, việc công khai thông tin đó sẽ giúp bảo vệ người tiếp theo.
