Một người dùng crypto được cho là đã mất khoảng 1,08 triệu USD giá trị Aave-wrapped Ethereum LBTC (aEthLBTC) sau khi ký “permit” độc hại, cho phép kẻ tấn công chi tiêu token mà không cần kích hoạt giao dịch on-chain ngay lập tức.
Vụ việc cho thấy xu hướng lừa đảo “permit-oriented” đang nhắm vào ví giá trị cao, trong khi thống kê tổn thất phishing toàn thị trường giảm. Song song, rủi ro tấn công cưỡng bức ngoài đời (“$5 wrench attack”) lại được các chuyên gia cảnh báo tăng.
- Nạn nhân bị rút khoảng 1,08 triệu USD aEthLBTC sau khi ký “permit” độc hại ngoài chuỗi.
- Kẻ tấn công đổi nhanh sang ETH và rửa qua Tornado Cash, khiến khả năng thu hồi gần như không có.
- Phishing giảm theo báo cáo, nhưng “$5 wrench attacks” (cưỡng bức vật lý) được cho là gia tăng.
Vụ mất 1,08 triệu USD aEthLBTC liên quan chữ ký “permit” độc hại
Một người dùng được cho là đã ký “permit” độc hại, từ đó kẻ gian có quyền chi tiêu aEthLBTC và rút sạch tài sản trị giá khoảng 1,08 triệu USD mà không cần nạn nhân tạo giao dịch on-chain ngay thời điểm ký.
Theo ScamSniffer, “permit” là cơ chế phê duyệt (approval) hoạt động ngoài chuỗi, có thể cấp quyền tiêu token để bên thứ ba thực thi chuyển token sau đó. Khi bị lợi dụng, người dùng tưởng đang ký yêu cầu thường gặp, nhưng thực chất là trao quyền rút tài sản.
ScamSniffer cũng công bố ảnh chụp liên quan các giao dịch trên X tại bài đăng này. Nhóm này nhận định nạn nhân nhiều khả năng bị dẫn dụ ký permit thông qua website phishing hoặc dApp bị sao chép, từ đó kẻ tấn công có thể “drain” ví.
Kịch bản tấn công: phishing qua dApp giả mạo và rút tiền theo cơ chế permit
Thủ đoạn thường là đưa nạn nhân vào một trang giả mạo hoặc dApp “clone”, rồi yêu cầu ký một chữ ký trông giống thao tác xác nhận bình thường, nhưng thực tế là permit cho phép kẻ tấn công chuyển token.
Trong các đợt tăng giá, tội phạm có xu hướng nhắm người nắm giữ giá trị cao bằng các yêu cầu chữ ký “quen tay”. Điểm nguy hiểm là permit không nhất thiết tạo giao dịch on-chain ngay khi ký, khiến nạn nhân ít cảnh giác vì không thấy “phí gas” hay lịch sử giao dịch tức thời.
Khi quyền đã được cấp, việc rút tài sản diễn ra on-chain và thường không thể đảo ngược. Vì vậy, ngay cả khi phát hiện sớm, khả năng thu hồi vẫn rất thấp do cơ chế giao dịch blockchain là bất biến.
Kẻ tấn công đổi sang ETH và rửa tiền qua Tornado Cash
Sau khi chiếm đoạt tài sản, kẻ gian được cho là đã chuyển đổi nhanh sang ETH và rửa tiền ngay thông qua Tornado Cash nhằm cắt đứt dấu vết dòng tiền.
Theo mô tả trong vụ việc, tốc độ xử lý là yếu tố then chốt: rút tài sản, hoán đổi, rồi đưa vào công cụ trộn (mixer) để gây khó khăn cho việc truy vết. Đây là lý do nhiều vụ “drainer” kết thúc với xác suất thu hồi thấp, kể cả khi có dữ liệu giao dịch công khai.
Nhóm tấn công nhỏ nhưng tinh vi đang nổi lên
Nhà sáng lập SlowMist, Cosine, cho biết nhóm đứng sau vụ việc không thuộc các “drainer” phổ biến, gợi ý sự xuất hiện của những tác nhân độc lập quy mô nhỏ nhưng có kỹ thuật cao.
Bình luận của Cosine được đăng tại video/bài đăng này trên X. Nhận định này phù hợp với xu hướng phân mảnh của hệ sinh thái tấn công: thay vì chỉ vài nhóm lớn, thị trường đang có thêm nhiều nhóm nhỏ tối ưu hoá “kịch bản ký” và quy trình rửa tiền.
Báo cáo ghi nhận phishing giảm, nhưng các “wallet drainer” nhắm người có tài sản lớn vẫn dày đặc
Báo cáo năm 2025 của ScamSniffer nêu tổng thiệt hại phishing crypto giảm 83%, từ 494 triệu USD xuống 84 triệu USD, nhưng các công cụ rút ví (wallet drainer) tinh vi vẫn tồn tại và tập trung vào mục tiêu giá trị cao.
Vụ việc được ScamSniffer làm nổi bật ngày 3/1 trên X, không lâu sau khi công bố báo cáo năm. Điểm nhấn là dù tổng thiệt hại giảm, kiểu tấn công “permit-oriented” vẫn hiệu quả trong bối cảnh thị trường sôi động, khi người dùng thường xuyên ký nhiều yêu cầu để tương tác dApp.
“$5 wrench attacks” được cho là tăng dù phishing giảm
Dù phishing giảm theo ScamSniffer, các chuyên gia an ninh cho rằng tần suất “$5 wrench attacks” (tấn công cưỡng bức vật lý nhằm chiếm crypto) lại tăng, kéo rủi ro từ online sang ngoài đời thực.
Ari Redbord, trưởng bộ phận chính sách và quan hệ chính phủ toàn cầu tại TRM Labs, đánh giá 2025 là năm kỷ lục về “wrench attacks” với khoảng 60 vụ tấn công thể chất được báo cáo, tăng từ 41 vụ năm 2024 và 36 vụ năm 2021. Ông cũng cho rằng con số thực tế có thể cao hơn đáng kể.
“Nhiều vụ việc chỉ được ghi nhận đơn giản là cướp hoặc đột nhập, phần liên quan đến crypto bị lược bỏ, trong khi một số vụ khác không bao giờ được báo cáo do nạn nhân do dự hoặc không chắc cơ quan thực thi pháp luật sẽ xử lý tội phạm liên quan crypto ra sao.”
– Ari Redbord, Trưởng bộ phận chính sách và quan hệ chính phủ toàn cầu, TRM Labs
Vì sao “wrench attack” nguy hiểm hơn: rủi ro đến tính mạng và yêu cầu OPSEC toàn diện
“Wrench attack” nguy hiểm vì vượt qua mọi lớp bảo mật kỹ thuật bằng cưỡng ép vật lý, đe doạ trực tiếp con người, không chỉ tài sản. Do đó, ngoài quản trị ví, người dùng cần OPSEC rộng hơn để giảm khả năng bị nhắm tới.
Thuật ngữ này bắt nguồn từ ý tưởng rằng dù mã hoá hay xác thực nhiều lớp có mạnh đến đâu, vẫn có thể thất bại trước bạo lực hoặc đe doạ (“một chiếc cờ lê 5 USD”). Vì vậy, phòng vệ không chỉ là phần mềm, mà còn là giảm lộ danh tính, giảm phô trương tài sản, và quy trình an toàn khi gặp mặt/giao dịch.
“Dù bạn thực hiện bao nhiêu biện pháp kỹ thuật hay xác thực nhiều yếu tố đến đâu, không ai miễn nhiễm với các ‘vector tấn công’ nhằm vào con người.”
– Tor Bair, CEO Hybrid Minds Advisory; cựu Chủ tịch Secret Foundation
Khó thống kê nhưng mức độ đe doạ tấn công cưỡng bức đang được chú ý hơn
Số vụ “wrench attack” thật sự khó định lượng, nhưng các dấu hiệu cho thấy rủi ro bị nhắm mục tiêu có thể cao hơn, hoặc ít nhất là mức độ nhận thức của cộng đồng về mối đe doạ đang tăng.
Tháng 5 năm ngoái, Bộ trưởng Nội vụ Pháp Bruno Retailleau lên tiếng về sự gia tăng các vụ tấn công liên quan crypto tại nước này. Thời điểm đó, Pháp được mô tả là nơi xảy ra khoảng một phần ba các vụ “wrench attack” trong năm 2025, bao gồm vụ bắt cóc và tra tấn đồng sáng lập Ledger David Balland cùng vợ vào tháng 1.
Những câu hỏi thường gặp
“Permit” độc hại trong crypto là gì và vì sao nguy hiểm?
“Permit” là cơ chế phê duyệt ngoài chuỗi cho phép một địa chỉ có quyền chi tiêu token của bạn. Khi bị lừa ký permit độc hại, kẻ tấn công có thể rút token on-chain mà bạn không nhận ra ngay lúc ký, khiến thiệt hại xảy ra nhanh và khó đảo ngược.
Vì sao các vụ rút ví bằng permit thường khó thu hồi tài sản?
Sau khi được cấp quyền, kẻ gian thực hiện chuyển token on-chain và giao dịch blockchain thường không thể hoàn tác. Nếu tài sản tiếp tục bị hoán đổi và rửa qua dịch vụ như Tornado Cash, việc truy vết và thu hồi càng khó.
“$5 wrench attack” là gì trong bối cảnh tiền điện tử?
Đó là kiểu tấn công cưỡng bức vật lý nhằm buộc nạn nhân chuyển crypto hoặc tiết lộ khoá/seed phrase. Nó nguy hiểm vì bỏ qua lớp bảo mật kỹ thuật bằng bạo lực hoặc đe doạ, gây rủi ro trực tiếp đến an toàn cá nhân.