Cảnh báo an ninh - Nhà đầu tư thiệt hại hơn 1 triệu USD vì bẫy lừa đảo "chữ ký số"

Franky 04/01/2026 09:00
Vạch trần thủ đoạn lợi dụng cơ chế Permit rút cạn 12 aEthLBTC. Xem phân tích chuyên sâu và cách kiểm tra quyền hạn ví để tránh rủi ro mất trắng.
ftcms_9cd7d976-6cec-443c-8047-7e1eac516d59.avif
Các đối tượng lừa đảo đã tận dụng sơ hở của chữ ký Permit để tấn công vào sự cả tin của người dùng để đánh cắp tài sản số của họ.

Thị trường tài chính phi tập trung (DeFi) vừa tiếp tục gióng lên hồi chuông cảnh báo về vấn đề bảo mật ví điện tử, sau khi một nhà đầu tư đã mất trắng số tài sản trị giá hơn 1,08 triệu USD chỉ vì một thao tác phê duyệt giao dịch bất cẩn.

Sự việc đáng tiếc này không chỉ là một con số thống kê thiệt hại đơn thuần mà còn là bài học đắt giá về cơ chế hoạt động của các loại chữ ký cấp quyền trong không gian tiền mã hóa, nơi mà sự tiện lợi đôi khi đi kèm với những rủi ro khôn lường nếu người dùng thiếu cảnh giác.

Diễn biến vụ tấn công triệu đô

Theo các dữ liệu ghi nhận trên chuỗi khối (on-chain), một ví tiền mã hóa cá nhân đã bất ngờ bị rút cạn 12 aEthLBTC. Đây là một loại tài sản số có giá trị tương đương với Bitcoin được "bọc" lại trên mạng lưới Ethereum, thường được sử dụng trong các giao thức cho vay hoặc cung cấp thanh khoản. Tính theo tỷ giá tại thời điểm xảy ra sự việc, tổng thiệt hại ước tính lên tới khoảng 1,08 triệu USD.

Các chuyên gia bảo mật sau khi truy vết dòng tiền và phương thức tấn công đã xác định nguyên nhân cốt lõi không đến từ việc lộ khóa cá nhân (private key) hay lỗ hổng của nền tảng, mà xuất phát từ chính thao tác của người dùng. Nạn nhân đã vô tình ký vào một "giấy phép độc hại" (malicious permit signature), từ đó trao toàn quyền kiểm soát số token trong ví cho kẻ tấn công mà không hề hay biết. Ngay sau khi chữ ký được chấp thuận, kẻ gian đã lập tức kích hoạt lệnh chuyển tiền và tẩu tán toàn bộ số tài sản nói trên sang các địa chỉ ví khác để xóa dấu vết.

Hiểm họa khôn lường từ cơ chế "Permit"

Để hiểu rõ hơn về cách thức lừa đảo này, chúng ta cần nhìn nhận lại tính năng Permit trong các chuẩn token hiện đại như ERC-2612. Về cơ bản, tính năng này được sinh ra với mục đích tốt đẹp là giúp người dùng tiết kiệm chi phí giao dịch (gas fee) và nâng cao trải nghiệm người dùng. Thay vì phải thực hiện hai bước là phê duyệt và gửi tốn kém phí gas, người dùng chỉ cần ký một thông điệp ngoại tuyến (off-chain) để cấp quyền cho giao thức sử dụng token của mình.

permit-request.png
Giao diện quen thuộc của những ai thường sử dụng các loại ví web3 như MetaMask, Trust Wallet, Phantom,...

Tuy nhiên, chính sự tiện lợi và tốc độ của cơ chế này đã trở thành "mảnh đất màu mỡ" cho các đối tượng lừa đảo. Kẻ gian thường tạo ra các trang web giả mạo với giao diện giống hệt các sàn giao dịch hoặc dự án uy tín. Khi người dùng kết nối ví, thay vì yêu cầu một giao dịch thông thường, trang web sẽ hiển thị một yêu cầu ký Permit. Do nội dung của các chữ ký này thường là những chuỗi ký tự kỹ thuật khô khan và khó hiểu, đa phần nhà đầu tư thường có thói quen bấm xác nhận nhanh chóng mà không kiểm tra kỹ lưỡng nội dung bên trong.

Hệ quả là ngay khi chữ ký điện tử này được tạo ra, nó giống như một tấm séc khống đã được ký tên. Kẻ tấn công có thể sử dụng chữ ký đó để gửi lên mạng lưới blockchain bất cứ lúc nào và thực hiện lệnh rút tiền hợp lệ mà không cần nạn nhân phải thao tác thêm bất kỳ lần nào nữa.

Bài học cảnh giác cho cộng đồng đầu tư

Vụ việc mất 12 aEthLBTC lần này tiếp tục là minh chứng rõ ràng cho thấy sự tinh vi ngày càng tăng của tội phạm công nghệ cao. Trong bối cảnh các giao dịch DeFi diễn ra liên tục và phức tạp, việc giữ an toàn cho tài sản cá nhân đòi hỏi sự thận trọng tối đa từ phía người dùng.

Các chuyên gia khuyến cáo nhà đầu tư cần rèn luyện thói quen kiểm tra kỹ lưỡng mọi địa chỉ website trước khi kết nối ví, tuyệt đối không bấm vào các đường dẫn lạ được gửi qua tin nhắn hoặc email. Quan trọng hơn, trước khi đặt bút ký bất kỳ lệnh phê duyệt nào trên ví điện tử, người dùng cần đọc kỹ thông tin hiển thị, đặc biệt là các thông số về hạn mức chi tiêu và địa chỉ được cấp quyền. Việc sử dụng các công cụ hỗ trợ kiểm tra độ an toàn của giao dịch hoặc thường xuyên rà soát, thu hồi quyền truy cập của các ứng dụng cũ cũng là những biện pháp cần thiết để giảm thiểu rủi ro trong môi trường tài chính số đầy biến động này.

Bình luận
Xem thêm ý kiến
Tin mới nhất
Tin tức1 giờ trước
Sự tham gia của các tổ chức tài chính lớn cùng hành lang pháp lý ngày càng chặt chẽ đang thúc đẩy người tham gia thay đổi chiến lược để quản trị rủi ro.
Dự án2 giờ trước
BNB Chain vừa hoàn tất đợt đốt BNB quý II/2026 với hơn 1,61 triệu BNB, tương đương khoảng 931,7 triệu USD, bị loại bỏ vĩnh viễn khỏi nguồn cung lưu hành thông qua một giao dịch duy nhất.
Kinh tế xã hội8 giờ trước
Mỹ tiếp tục mở rộng trừng phạt nhằm vào mạng lưới tài chính Iran, phong tỏa các ví tiền điện tử và siết những kênh bị cáo buộc giúp Tehran né tránh hạn chế quốc tế.
Kinh tế xã hội9 giờ trước
Tỷ phú Warren Buffett chấm dứt việc quyên góp cho Quỹ Gates sau gần 20 năm, chuyển toàn bộ khoản tài trợ thường niên năm nay cho các quỹ từ thiện do ba người con quản lý, đánh dấu sự kết thúc của mối quan hệ từ thiện kéo dài gần 2 thập niên giữa ông và tổ chức do tỷ phú Bill Gates đồng sáng lập.
Thị trường9 giờ trước
Tỷ giá hôm nay 15/7 ghi nhận USD tại ngân hàng đi ngang, trong khi tỷ giá trung tâm tăng 8 đồng. Đồng USD quốc tế suy yếu sau dữ liệu lạm phát Mỹ.
Thị trường9 giờ trước
Diễn biến mới của lạm phát Mỹ và đồng USD đang tạo động lực hỗ trợ giá vàng sau chuỗi phiên biến động mạnh.
BTC Bitcoin (BTC)
$65.45K
2.17%
Cap $1.31T Vol 24h $28.70B