Một người dùng crypto đã mất tổng cộng 514.000 USDT trên Ethereum sau khi dính bẫy “đầu độc địa chỉ” (address poisoning), khi vô tình sao chép và gửi tiền đến một ví giả mạo có ký tự gần giống địa chỉ thật.
Sự cố được phát hiện lúc 21:01 giờ Việt Nam và được CyversAlerts đăng cảnh báo lúc 21:34 giờ Việt Nam, trở thành một trong những ca đầu tiên được ghi nhận công khai trong năm mới về kiểu lừa đảo lợi dụng thói quen “copy/paste” địa chỉ ví.
- Nạn nhân mất 514.000 USDT vì gửi nhầm sang địa chỉ ví bị “đầu độc” trong lịch sử giao dịch.
- Kẻ lừa đảo tạo địa chỉ gần giống (khác rất nhỏ ở ký tự giữa) để đánh lừa khi người dùng sao chép từ lịch sử.
- Tiền thất thoát on-chain thường rất khó thu hồi, đặc biệt khi bị chuyển đổi và phân tán qua nhiều ví.
Vụ lừa đảo đầu độc địa chỉ 500.000+ USDT diễn ra như thế nào
Nạn nhân thử gửi 5.000 USDT, sau đó gửi tiếp 509.000 USDT đến cùng một địa chỉ nhái, khiến tổng thiệt hại lên tới 514.000 USDT.
Theo cảnh báo của CyversAlerts, nạn nhân ban đầu thực hiện một giao dịch “test” 5.000 USDT tới địa chỉ mà họ tin là của người nhận dự kiến, có hậu tố hiển thị kết thúc bằng D3E6F.
Thực tế, đây là địa chỉ giả đã bị kẻ gian “cài” sẵn để theo dõi. Địa chỉ của kẻ lừa đảo kết thúc bằng f3e6F và chỉ khác rất tinh vi ở các ký tự giữa. Trên nhiều giao diện ví, phần ký tự giữa thường bị rút gọn bằng dấu “…”, khiến người dùng càng khó nhận ra khác biệt.
Chỉ hai phút sau giao dịch thử, nạn nhân tiếp tục gửi một khoản lớn 509.000 USDT đến lại địa chỉ sai. Cộng dồn hai lần chuyển, tổng thất thoát là 514.000 USDT.
Dòng thời gian tấn công do CyversAlerts chia sẻ cho thấy kẻ lừa đảo chuẩn bị kỹ: họ gửi nhiều giao dịch nhỏ từ các địa chỉ “na ná” nhau để làm nhiễu và “đầu độc” lịch sử giao dịch. Khi nạn nhân sao chép địa chỉ từ history thay vì đối chiếu lại địa chỉ gốc, họ dễ chọn nhầm địa chỉ giả trông rất quen.
Khi giao dịch đã được xác nhận on-chain, việc thu hồi thường rất hiếm. Kiểu lừa đảo này chủ yếu khai thác sai sót con người và thói quen sao chép–dán địa chỉ mà không kiểm tra lại toàn bộ ký tự.
CyversAlerts cảnh báo sớm vụ việc
CyversAlerts công bố cảnh báo sau khi phát hiện giao dịch đáng ngờ, giúp cộng đồng nhận diện sớm một ca address poisoning ngay đầu năm.
Thông tin được chia sẻ trong bài đăng cảnh báo của CyversAlerts tại đây: cảnh báo của CyversAlerts trên X. Mốc thời gian ghi nhận gồm phát hiện lúc 14:01 UTC (21:01 giờ Việt Nam) và đăng tải lúc 14:34 UTC (21:34 giờ Việt Nam).
Một vụ address poisoning khác từng gây thiệt hại 50 triệu USDT
Trước đó, một nhà giao dịch dày dạn cũng bị lừa theo cách tương tự và mất 50 triệu USDT chỉ trong một giao dịch do sao chép địa chỉ giả từ lịch sử.
Vụ việc được ghi nhận vào tháng 12, khi nạn nhân chuyển 49.999.950 USDT tới địa chỉ do kẻ tấn công kiểm soát. Địa chỉ giả được tạo để “bắt chước” địa chỉ đích, với ba ký tự đầu và bốn ký tự cuối trùng khớp, làm tăng khả năng người dùng tin rằng đó là địa chỉ quen thuộc.
Sau khi nhận tiền, kẻ lừa đảo nhanh chóng đổi tài sản sang ETH và phân tán qua nhiều ví. Một phần dòng tiền sau đó được đưa qua công cụ trộn Tornado Cash, khiến việc truy vết và khả năng thu hồi trở nên khó khăn hơn.
Theo các báo cáo, ví của nạn nhân đã hoạt động khoảng hai năm và chủ yếu dùng để chuyển USDT; số tiền bị đánh cắp được rút từ Binance ngay trước khi diễn ra giao dịch bị “đầu độc”.
Điểm đáng chú ý là nạn nhân cũng đã làm giao dịch test, nhưng lần test đó lại gửi đúng địa chỉ thật. Điều này khiến họ chủ quan và không kiểm tra kỹ khi dán lại địa chỉ từ lịch sử để chuyển khoản tiền lớn sau đó.
“Đây là cơ hội cuối cùng để bạn giải quyết vấn đề này một cách hòa bình. Nếu bạn không tuân thủ: chúng tôi sẽ leo thang vụ việc thông qua các kênh thực thi pháp luật quốc tế.”
– Thông điệp on-chain của nạn nhân, 2025
Vì sao tiền bị mất do address poisoning thường khó lấy lại
Khi tiền đã được xác nhận trên blockchain và bị chuyển đổi, phân tán hoặc đưa qua mixer, khả năng thu hồi thường rất thấp.
Cả hai vụ việc đều cho thấy mô-típ chung: kẻ tấn công tận dụng tính “không thể đảo ngược” của giao dịch on-chain. Một khi nạn nhân ký giao dịch và mạng xác nhận, không có cơ chế hoàn tiền mặc định như ngân hàng.
Trong vụ 50 triệu USDT, nạn nhân đã gửi thông điệp on-chain yêu cầu hoàn trả 98% trong 48 giờ, kèm cảnh báo sẽ liên hệ cơ quan thực thi pháp luật và đơn vị pháp lý, đồng thời đề nghị “tiền thưởng mũ trắng” 1 triệu USD nếu hoàn trả toàn bộ. Tính đến thời điểm được tường thuật, không có phản hồi từ kẻ lừa đảo và không có bằng chứng tiền đã được thu hồi.
Đáng chú ý, việc dòng tiền đi qua Tornado Cash khiến dấu vết nhanh chóng “lạnh”, làm suy giảm khả năng lần theo lộ trình tài sản, đặc biệt khi tài sản tiếp tục được chia nhỏ và luân chuyển qua nhiều ví trung gian.
Những câu hỏi thường gặp
Address poisoning là gì?
Address poisoning là thủ thuật tạo và sử dụng các địa chỉ ví giống địa chỉ thật (thường trùng phần đầu/cuối) rồi “đầu độc” lịch sử giao dịch bằng các khoản chuyển nhỏ, khiến người dùng sao chép nhầm địa chỉ giả khi gửi tiền.
Vì sao nạn nhân dễ dính bẫy dù đã gửi giao dịch test?
Giao dịch test có thể tạo cảm giác an toàn, nhưng bẫy nằm ở lần sao chép địa chỉ từ lịch sử giao dịch. Nếu lịch sử đã bị “đầu độc” bằng địa chỉ nhái, người dùng có thể dán nhầm địa chỉ ở lần chuyển khoản lớn.
Vụ mất 514.000 USDT xảy ra như thế nào?
Nạn nhân gửi 5.000 USDT tới một địa chỉ nhái, rồi hai phút sau gửi tiếp 509.000 USDT tới cùng địa chỉ sai. Tổng cộng thất thoát 514.000 USDT trên Ethereum.
Khi tiền đã chuyển nhầm on-chain có lấy lại được không?
Thường rất khó. Một khi giao dịch được xác nhận trên blockchain, việc thu hồi phụ thuộc vào thiện chí của bên nhận hoặc can thiệp pháp lý, trong khi kẻ tấn công thường chuyển đổi, phân tán tài sản và có thể dùng mixer để che dấu vết.