CZ kêu gọi toàn ngành crypto cùng loại bỏ “đầu độc địa chỉ” (address poisoning) bằng cách để ví và sàn tự động phát hiện địa chỉ độc hại và chặn giao dịch trước khi người dùng gửi tiền.
Lời kêu gọi được đưa ra sau một vụ mất gần 50 triệu USDT do nạn nhân sao chép nhầm địa chỉ giả từ lịch sử giao dịch, cho thấy chỉ kiểm tra vài ký tự đầu, cuối của địa chỉ ví là không đủ an toàn.
- CZ đề xuất ví và nền tảng crypto phải tự động nhận diện “poison address” và chặn người dùng gửi tiền.
- Một trader mất gần 50 triệu USDT vì địa chỉ giả chỉ khác ở các ký tự giữa, trông giống địa chỉ thật.
- Giải pháp gồm bỏ hiển thị spam giao dịch giá trị nhỏ, chia sẻ blacklist thời gian thực và cảnh báo trước khi chuyển.
CZ kêu gọi ví và sàn chặn “poison address” để bảo vệ người dùng
CZ muốn toàn ngành triển khai kiểm tra tự động để cảnh báo hoặc chặn chuyển tiền tới địa chỉ bị gắn cờ “đầu độc”, thay vì để người dùng tự nhận biết bằng mắt.
Trong bài đăng ngày 24/12/2025, CZ đưa ra “bản thiết kế” nhằm giảm giao dịch gian lận và thúc đẩy tiêu chuẩn an toàn chung. Theo CZ, nếu các ví và nền tảng đều kiểm tra địa chỉ nhận có phải “poison address” hay không, loại tấn công này có thể bị xóa sổ ở cấp hệ sinh thái.
Binance cho biết đã triển khai các kiểm tra tự động nhằm cảnh báo trước khi người dùng gửi tiền tới địa chỉ bị đánh dấu. CZ kêu gọi các nền tảng khác áp dụng biện pháp tương tự để tránh “điểm yếu liên kết”, nơi kẻ tấn công chỉ cần nhắm vào ví/sàn thiếu lớp bảo vệ.
“Ngành của chúng ta nên có thể xóa sổ hoàn toàn kiểu tấn công đầu độc này và bảo vệ người dùng. Mọi ví chỉ cần kiểm tra địa chỉ nhận có phải ‘poison address’ hay không và chặn người dùng.”
– Changpeng Zhao (CZ), bài đăng trên Binance Square/2025
Vụ việc ngày 19/12/2025 cho thấy rủi ro khi sao chép địa chỉ từ lịch sử giao dịch
Một trader đã mất gần 50 triệu USDT sau khi sao chép nhầm địa chỉ giả mạo từ lịch sử giao dịch, dù đã thực hiện giao dịch thử 50 USDT trước đó.
Động lực khiến CZ lên tiếng đến từ sự cố ngày 19/12/2025: nạn nhân bị lừa bằng kỹ thuật khiến địa chỉ ví giả trông “gần như giống” địa chỉ thật, đặc biệt khi người dùng chỉ kiểm tra vài ký tự đầu và cuối. Theo Web3 Antivirus, nạn nhân đã rút tiền từ Binance chưa đầy 1 giờ trước khi bị tấn công.
Nạn nhân được mô tả đã gửi giao dịch thử 50 USDT để xác nhận, sau đó vài phút chuyển tiếp 49.999.950 USDT tới một địa chỉ “có vẻ” giống hệt người nhận. Vấn đề nằm ở chỗ địa chỉ đích thực tế là địa chỉ do kẻ lừa đảo kiểm soát, được tạo để trùng 3 ký tự đầu và 4 ký tự cuối so với địa chỉ hợp lệ.
Nhà nghiên cứu bảo mật Cos, nhà sáng lập SlowMist, chỉ ra địa chỉ độc hại 0xBaFF2F13638C04B10F8119760B2D2aE86b08f8b5 có mức độ giống đánh lừa so với địa chỉ dự định 0xbaf4b1aF7E3B560d937DA0458514552B6495F8b5, trong đó khác biệt nằm ở các ký tự giữa. Theo Cos, chi tiết này đủ khiến cả người dùng chuyên nghiệp mắc bẫy nếu chỉ kiểm tra “một phần” địa chỉ.
Trong vòng 30 phút sau khi nhận tiền, kẻ tấn công được cho là đã đổi USDT sang DAI qua MetaMask Swap, tiếp đó hoán đổi thành khoảng 16.690 ETH và gửi phần lớn vào Tornado Cash để che dấu dòng tiền.
Address poisoning là gì và vì sao dễ đánh lừa người dùng crypto
Address poisoning là thủ thuật gửi các giao dịch rác để “gieo” địa chỉ giả vào lịch sử, khiến nạn nhân sao chép nhầm khi chuyển crypto lần sau.
Kỹ thuật này khai thác thói quen phổ biến: nhiều người chỉ xác minh các ký tự đầu và cuối của địa chỉ ví thay vì đối chiếu toàn bộ. Kẻ gian tạo địa chỉ có phần đầu/cuối giống địa chỉ thật, rồi phát tán giao dịch nhằm đưa địa chỉ giả vào nơi người dùng hay sao chép (lịch sử giao dịch, danh bạ địa chỉ, giao diện ví).
Binance cho biết đã phát triển thuật toán phát hiện từ tháng 5/2024 sau một vụ tấn công address poisoning gây thiệt hại 68 triệu USD. Theo mô tả, hệ thống nhận diện các chuyển khoản đáng ngờ có giá trị gần bằng 0 hoặc token lạ, ghép chúng với các địa chỉ có khả năng là nạn nhân và gắn mốc thời gian để xác định thời điểm “bị đầu độc”.
Trong đề xuất, CZ cũng muốn ví “bỏ qua hoàn toàn” các giao dịch spam giá trị nhỏ ngay trên giao diện người dùng để giảm khả năng sao chép nhầm. Ngoài ra, ông kêu gọi các liên minh an ninh duy trì blacklist theo thời gian thực, có thể truy cập rộng rãi trên nhiều nền tảng và kênh khác nhau.
Theo Web3 Antivirus và SlowMist, address poisoning chiếm hơn 10% các vụ “wallet drain” trong năm 2025. Jameson Lopp, CSO của Casa, tại MIT Bitcoin Expo tháng 4 cho rằng phí giao dịch thấp khiến kẻ gian dễ dàng gửi hàng nghìn giao dịch giả với chi phí nhỏ, từ đó làm tăng tốc độ lan rộng của kiểu tấn công này.
Thiệt hại crypto năm 2025 làm nổi bật nhu cầu tiêu chuẩn hóa phòng chống lừa đảo
Các vụ trộm cắp crypto tăng mạnh trong năm 2025, khiến việc chuẩn hóa cảnh báo và chặn địa chỉ độc hại trở thành ưu tiên ở cấp hạ tầng.
Sự cố tháng 12 diễn ra trong bối cảnh năm 2025 được mô tả là “kỷ lục” về trộm cắp tiền điện tử. Báo cáo tội phạm crypto của Chainalysis cho biết đã có hơn 3,4 tỷ USD bị đánh cắp, trong đó hacker Triều Tiên chiếm hơn 2 tỷ USD.
Trong thực tế vận hành, các biện pháp như cảnh báo theo thời gian thực, chặn địa chỉ bị gắn cờ, lọc spam giao dịch, và chia sẻ blacklist liên nền tảng thường hiệu quả nhất khi được áp dụng đồng loạt. Nếu chỉ một số ví/sàn triển khai, kẻ tấn công vẫn có thể chuyển hướng sang các điểm yếu còn lại để “đầu độc” lịch sử giao dịch của người dùng.
Những câu hỏi thường gặp
Address poisoning là gì?
Address poisoning là hình thức lừa đảo trong đó kẻ gian gửi giao dịch rác để đưa một địa chỉ giả (có phần đầu/cuối giống địa chỉ thật) vào lịch sử giao dịch, nhằm khiến nạn nhân sao chép nhầm và chuyển crypto tới địa chỉ của kẻ lừa đảo.
Vì sao kiểm tra vài ký tự đầu và cuối của địa chỉ ví là không đủ?
Vì kẻ tấn công có thể tạo địa chỉ giả trùng 3 ký tự đầu và 4 ký tự cuối như địa chỉ thật, trong khi khác ở các ký tự giữa. Nếu người dùng chỉ kiểm tra một phần, khả năng nhầm lẫn rất cao.
CZ đề xuất giải pháp gì để chặn poison address?
CZ muốn mọi ví và nền tảng tự động kiểm tra địa chỉ nhận có phải “poison address” hay không, cảnh báo hoặc chặn giao dịch, đồng thời giảm hiển thị spam giá trị nhỏ trên giao diện và dùng blacklist thời gian thực có thể chia sẻ rộng rãi.
Binance đã làm gì để chống address poisoning?
Binance cho biết họ sử dụng các kiểm tra tự động để cảnh báo người dùng trước khi gửi tiền tới địa chỉ bị gắn cờ. Hệ thống được mô tả là nhận diện các chuyển khoản đáng ngờ (giá trị gần 0 hoặc token lạ) và đánh dấu các giao dịch liên quan để xác định thời điểm bị “đầu độc”.
Sau vụ mất gần 50 triệu USDT, kẻ tấn công đã làm gì với số tiền?
Theo mô tả, trong khoảng 30 phút kẻ tấn công đã đổi USDT sang DAI qua MetaMask Swap, sau đó hoán đổi thành khoảng 16.690 ETH và gửi phần lớn vào Tornado Cash để che dấu dòng tiền.