Tội phạm “đầu độc địa chỉ” vừa lấy 4.556 ETH (12,25 triệu USD) từ một nạn nhân, cho thấy chỉ một thao tác sao chép địa chỉ sai từ lịch sử giao dịch cũng có thể khiến tài sản crypto biến mất vĩnh viễn.
Vụ việc được nền tảng bảo mật blockchain Scam Sniffer báo cáo, trong bối cảnh các cuộc tấn công “address poisoning” đang tăng nhanh trên Ethereum. Nhà giao dịch được khuyến cáo không sao chép địa chỉ từ lịch sử chuyển tiền và phải xác minh từng ký tự khi gửi.
- Kẻ xấu tạo địa chỉ ví “giống” địa chỉ thật, chèn vào lịch sử giao dịch để đánh lừa người dùng khi sao chép.
- Nạn nhân đã mất 4.556 ETH sau khi sao chép nhầm địa chỉ bị “đầu độc”, và giao dịch blockchain không thể đảo ngược.
- Các vụ trộm crypto gần đây cho thấy tấn công tự động đang diễn ra ở quy mô công nghiệp, với nhiều kịch bản chiếm đoạt tương tự.
Address poisoning là cách đánh cắp crypto bằng việc “đầu độc” lịch sử giao dịch
Address poisoning là thủ thuật khiến người dùng sao chép nhầm địa chỉ ví của kẻ tấn công từ lịch sử giao dịch, vì địa chỉ được tạo để giống địa chỉ người nhận thật ở vài ký tự đầu và cuối.
Trong vụ việc, nạn nhân dự định gửi tiền cho một liên hệ hợp pháp nhưng đã vô tình sao chép một địa chỉ “đã bị đầu độc” xuất hiện trong lịch sử chuyển khoản. Địa chỉ của kẻ gian được thiết kế để trông rất giống địa chỉ đúng, khiến người dùng khó phân biệt nếu chỉ nhìn phần rút gọn.
Các ví crypto thường hiển thị địa chỉ theo dạng rút gọn để dễ nhìn, ví dụ 0x6D90…2E48. Kẻ lừa đảo dùng phần mềm tạo hàng loạt “vanity address” cho đến khi tìm được địa chỉ trùng với vài ký tự đầu và cuối của địa chỉ mục tiêu, nhằm tăng tỷ lệ người dùng nhầm lẫn.
Sau khi có địa chỉ giống, kẻ tấn công gửi một lượng rất nhỏ crypto hoặc thậm chí là giao dịch giá trị 0 vào ví của nạn nhân. Điều này đưa địa chỉ của kẻ gian vào danh sách giao dịch gần đây, nơi nhiều người có thói quen sao chép địa chỉ để chuyển tiền nhanh.
Khi nạn nhân lần sau sao chép từ lịch sử và dán vào màn hình gửi, họ có thể chọn nhầm địa chỉ kẻ tấn công thay vì địa chỉ đúng. Một khi giao dịch được xác nhận, tiền thường “đi một chiều” vì giao dịch trên blockchain không thể hoàn tác.
Các dấu hiệu kỹ thuật khiến address poisoning đặc biệt nguy hiểm
Mức độ nguy hiểm đến từ việc địa chỉ ví dài, ví hiển thị rút gọn, và thói quen sao chép từ lịch sử khiến người dùng chỉ kiểm tra vài ký tự đầu-cuối, đúng “điểm giả mạo” mà kẻ gian nhắm tới.
Trong vụ được nêu, địa chỉ kẻ tấn công được tạo để nhìn gần giống địa chỉ hợp lệ, nhằm vượt qua thói quen kiểm tra nhanh bằng mắt. Cốt lõi của phương thức này là khai thác lỗi con người, không cần xâm nhập ví hay bẻ khóa khóa riêng.
Các chuyên gia bảo mật từ các công ty như Cyvers và Immunefi cho biết kiểu tấn công này đang diễn ra ở quy mô công nghiệp. Khi khối lượng giao dịch tăng, lượng “giao dịch mồi” được bắn ra hàng loạt cũng tăng, làm lịch sử giao dịch của người dùng trở thành kênh phát tán địa chỉ giả.
Tháng 01/2026, giao dịch Ethereum đạt mức cao nhất mọi thời đại, vượt 2,8 triệu giao dịch mỗi ngày. Các nhà phân tích từ Citi nhận định một phần đáng kể hoạt động này có thể liên quan đến việc kẻ gian gửi hàng triệu giao dịch “poison” để chờ một số ít nạn nhân mắc bẫy.
Các vụ trộm crypto gần đây cho thấy kịch bản “đầu độc địa chỉ” có thể lấy hàng chục triệu USD
Một nhà giao dịch khác đã mất gần 50 triệu USD bằng USDT trong một vụ poisoning tương tự, dù đã thực hiện giao dịch “thử” 50 USDT trước khi chuyển phần còn lại.
Trong trường hợp đó, nạn nhân gửi 49.999.950 USDT. Điểm đáng chú ý là kẻ gian sử dụng script tự động phát hiện giao dịch thử và nhanh chóng “đầu độc” lịch sử ngay trước khi nạn nhân gửi khoản chính, khiến nạn nhân sao chép nhầm. Sau khi chiếm đoạt, kẻ tấn công chuyển đổi sang DAI rồi ETH để giảm khả năng bị đóng băng tài sản.
Các vụ việc khác cũng phản ánh mức độ rủi ro rộng hơn của thị trường. Ngày 21/01/2026, blockchain Saga EVM phải tạm dừng sau khi bị hack và thất thoát 7 triệu USD. Trước đó trong tháng 01, giao thức Truebit bị khai thác một lỗ hổng cũ, mất 26,6 triệu USD bằng ETH và giá token giảm gần 100%.
Không chỉ cá nhân, các tổ chức cũng bị nhắm tới. Nền tảng thuế crypto của Pháp Waltio nhận yêu cầu tiền chuộc từ nhóm ShinyHunters, nhóm này tuyên bố đã lấy dữ liệu của 50.000 người dùng.
Về bức tranh vĩ mô, năm 2025 ghi nhận hơn 17 tỷ USD bị đánh cắp qua nhiều hình thức lừa đảo. Chainalysis cho biết “impersonation scams” (nhóm lừa đảo mạo danh, bao gồm address poisoning) tăng 1.400% so với năm trước.
Cách giảm rủi ro: kiểm tra địa chỉ đầy đủ và hạn chế sao chép từ lịch sử
Để giảm nguy cơ, người dùng nên xác minh toàn bộ địa chỉ người nhận (không chỉ vài ký tự đầu/cuối), ưu tiên dán từ nguồn tin cậy như danh bạ đã lưu, và cảnh giác với các giao dịch nhỏ lạ xuất hiện trong lịch sử.
Thói quen nguy hiểm nhất là sao chép địa chỉ từ danh sách giao dịch gần đây, vì đây chính là mục tiêu “đầu độc”. Nếu phải sao chép, hãy đối chiếu thêm: kiểm tra checksum (nếu ví hỗ trợ), so khớp QR từ người nhận, và xác nhận lại bằng kênh liên lạc ngoài blockchain khi chuyển số tiền lớn.
Những câu hỏi thường gặp
Address poisoning là gì?
Address poisoning là hình thức lừa đảo trong đó kẻ gian tạo địa chỉ ví trông giống địa chỉ thật, sau đó đưa địa chỉ đó vào lịch sử giao dịch của nạn nhân bằng các giao dịch nhỏ hoặc giá trị 0 để khiến nạn nhân sao chép nhầm khi chuyển crypto.
Vì sao chỉ nhìn vài ký tự đầu và cuối có thể khiến tôi mất tiền?
Nhiều ví hiển thị địa chỉ dạng rút gọn (ví dụ 0x6D90…2E48). Kẻ gian tạo địa chỉ trùng các cụm ký tự này, nên nếu bạn chỉ kiểm tra nhanh phần đầu/cuối, bạn có thể xác nhận nhầm địa chỉ giả.
Giao dịch bị gửi nhầm do address poisoning có lấy lại được không?
Thông thường không. Giao dịch blockchain không thể đảo ngược, nên khi bạn đã chuyển tài sản đến địa chỉ của kẻ tấn công và giao dịch được xác nhận, khả năng thu hồi là cực thấp.
Tôi nên làm gì để tránh bị “đầu độc” địa chỉ?
Không sao chép địa chỉ từ lịch sử giao dịch, lưu địa chỉ tin cậy vào danh bạ, kiểm tra đầy đủ địa chỉ trước khi gửi, và đặc biệt cẩn trọng khi thấy các giao dịch nhỏ lạ xuất hiện trong ví.
