Dữ liệu mới từ Scam Sniffer cho thấy thiệt hại do lừa đảo phishing crypto dạng “wallet drainer” trên toàn cầu đã giảm hơn 80% trong năm qua, xuống 83,85 triệu USD và ảnh hưởng 106.106 nạn nhân.
Mức giảm này phản ánh sự thay đổi hành vi tấn công theo chu kỳ thị trường, đồng thời hé lộ các kỹ thuật chiếm đoạt phổ biến như ký “Permit/Permit2”, tấn công chuỗi cung ứng và lạm dụng hạ tầng đám mây để vượt qua kiểm tra email.
- Thiệt hại phishing crypto giảm 83% và số nạn nhân giảm 68% so với năm trước, theo Scam Sniffer.
- Quý 3 là giai đoạn rủi ro nhất, còn quý 4 yên ắng nhất về thiệt hại phishing.
- Ký “Permit/Permit2” dẫn đầu các phương thức đánh cắp, bên cạnh tấn công chuỗi cung ứng và email phishing lạm dụng Google Cloud.
Thiệt hại phishing crypto năm 2025 giảm mạnh theo báo cáo Scam Sniffer
Theo báo cáo phishing 2025 của Scam Sniffer, tổng tiền bị đánh cắp từ các cuộc tấn công wallet drainer là 83,85 triệu USD, với 106.106 nạn nhân; giảm 83% về số tiền và giảm 68% về số nạn nhân so với 2024.
Chi tiết báo cáo được công bố tại báo cáo phishing 2025 của Scam Sniffer. Báo cáo tập trung vào các chiến dịch lừa đảo dựa trên chữ ký (signature-based), nơi kẻ tấn công dụ người dùng ký xác nhận/ủy quyền độc hại để rút tài sản khỏi ví.
Scam Sniffer cho rằng mức giảm nhiều khả năng đến từ năm có cả pha tăng và giảm của thị trường: hoạt động phishing thường tăng khi thị trường sôi động và giảm khi mức độ tương tác người dùng trên các mạng blockchain đi xuống.
Chu kỳ thị trường crypto ảnh hưởng trực tiếp đến cường độ phishing
Dữ liệu theo quý cho thấy khi thị trường suy yếu, thiệt hại phishing giảm; khi thị trường hồi phục và hưng phấn, thiệt hại và số nạn nhân tăng mạnh, đặc biệt trong quý 3.
Trong quý 1, khi thị trường giảm, thiệt hại là 21,94 triệu USD và ảnh hưởng hơn 22.000 nạn nhân. Sang quý 2, khi thị trường bắt đầu hồi phục, thiệt hại phishing giảm còn 17,78 triệu USD với khoảng 21.000 nạn nhân.
Quý 3 được mô tả là giai đoạn nguy hiểm nhất cho người tham gia thị trường khi nhiều tài sản tăng mạnh. Báo cáo nêu Bitcoin từng đạt đỉnh 123.000 USD và Ethereum đạt mức cao nhất mọi thời đại 4.946 USD vào tháng 8, môi trường “bull market” kéo theo làn sóng phishing, đẩy thiệt hại lên 31,04 triệu USD và tác động 40.000 nạn nhân.
Riêng tháng 8 và tháng 9 chiếm 29% tổng thiệt hại cả năm, khiến quý 3 trở thành giai đoạn hoạt động mạnh nhất của kẻ tấn công. Đến quý 4, thiệt hại giảm còn 13,09 triệu USD, được xem là giai đoạn yên ắng nhất của năm 2025.
Ký Permit/Permit2 là thủ thuật chiếm đoạt phổ biến nhất trong phishing chữ ký
Permit/Permit2 dẫn đầu các phương thức trộm cắp dựa trên chữ ký vì cho phép kẻ tấn công ngụy trang “quyền chi tiêu token” thành yêu cầu hợp lệ, khiến nạn nhân tự ký cấp quyền, từ đó bị rút tài sản.
Vụ đánh cắp lớn nhất trong năm xảy ra vào tháng 9 với thiệt hại 6,5 triệu USD, kẻ tấn công lấy đi staked ether và các sản phẩm phái sinh wrapped bitcoin. Nhóm này sử dụng chữ ký kiểu Permit; phương thức này chiếm 38% tổng thiệt hại trong các vụ việc có giá trị vượt 1 triệu USD.
Điểm nguy hiểm của Permit/Permit2 là cơ chế cho phép “phê duyệt chi tiêu” mà không cần chuyển token ngay lập tức. Kẻ xấu lợi dụng bằng cách ngụy trang quyền cấp phép độc hại như một thao tác bình thường trong dApp, khiến người dùng chấp thuận mà không nhận ra hệ quả.
Các vụ khác gồm: tháng 5 có vụ mất 3,13 triệu USD wrapped Bitcoin bằng kỹ thuật leo thang phê duyệt (approval escalation), và tháng 8 có vụ mất 3,05 triệu USD stablecoin qua khai thác chuyển trực tiếp (direct transfer). Tổng số vụ vượt 1 triệu USD trong năm chỉ có 11, giảm từ 30 vụ của năm trước.
Báo cáo cũng ghi nhận mức thiệt hại trung bình trên mỗi nạn nhân giảm còn 790 USD, thấp hơn đáng kể so với gần 1.500 USD của năm trước.
Tấn công chuỗi cung ứng và hạ tầng ứng dụng làm tăng rủi ro mất tài sản
Ngoài wallet drainer dựa trên chữ ký, tấn công chuỗi cung ứng và xâm nhập giao diện ký có thể giúp kẻ tấn công giả mạo phê duyệt hợp lệ, từ đó đánh cắp tài sản ở quy mô lớn.
Một vụ việc đáng chú ý xảy ra vào tháng 2 khi nhóm Lazarus xâm nhập máy của nhà phát triển thông qua một nhà cung cấp ví đa chữ ký trong sàn Bybit. Mã độc được chèn vào giao diện ký, cho phép kẻ tấn công giả mạo các phê duyệt hợp lệ và đánh cắp khoảng 1,46 tỷ USD.
Báo cáo cũng mô tả tấn công chuỗi cung ứng là một trong các phương thức phổ biến: kẻ xấu đánh cắp thông tin đăng nhập của nhà phát triển qua email phishing, chèn mã độc vào các gói mã nguồn mở, cài cửa hậu vào hàng trăm thư viện phần mềm, rồi đánh cắp dữ liệu riêng tư và thông tin xác thực bảo mật.
Các chiến dịch khác được nêu gồm xâm phạm giao diện front-end, chiếm quyền tài khoản mạng xã hội, và phát tán malware để lấy private key hoặc dữ liệu xác thực.
Lừa đảo email cuối năm lạm dụng thông báo Google Task để vượt kiểm tra xác thực
Tháng 12 ghi nhận chiến dịch phishing email tinh vi nhắm vào hơn 3.000 tổ chức trong lĩnh vực sản xuất bằng cách lạm dụng hạ tầng đám mây của Google, khiến email vượt qua các kiểm tra xác thực phổ biến.
Nhiều người dùng báo cáo nhận email trông như thông báo nhiệm vụ thật, yêu cầu hoàn thành gấp “All Employees Task”. Khi bấm “View task” hoặc “Mark complete”, nạn nhân bị chuyển hướng đến trang độc hại được lưu trữ trên các dịch vụ lưu trữ đám mây đáng tin cậy.
Do email được gửi bằng các công cụ tích hợp ứng dụng hợp pháp, chúng vượt qua các bước kiểm tra xác thực email lớn và có thể đi qua các cổng bảo mật mà không bị phát hiện.
Những câu hỏi thường gặp
Wallet drainer phishing trong crypto là gì?
Đây là kiểu lừa đảo dụ người dùng ký một giao dịch hoặc chữ ký cấp quyền (approval) độc hại, từ đó kẻ tấn công có thể rút token khỏi ví mà nạn nhân không nhận ra ngay, thường xảy ra qua dApp giả mạo hoặc giao diện bị xâm nhập.
Vì sao Permit/Permit2 dễ bị lợi dụng trong phishing chữ ký?
Permit/Permit2 cho phép ủy quyền chi tiêu token thông qua chữ ký mà không cần chuyển token ngay. Kẻ xấu ngụy trang yêu cầu cấp quyền như thao tác hợp lệ, khiến người dùng ký “cho phép chi tiêu”, sau đó tài sản bị rút.
Giai đoạn nào trong năm có rủi ro phishing cao nhất theo Scam Sniffer?
Theo số liệu theo quý, quý 3 là giai đoạn rủi ro nhất với thiệt hại 31,04 triệu USD và khoảng 40.000 nạn nhân, trong khi quý 4 yên ắng nhất với 13,09 triệu USD.
Tấn công chuỗi cung ứng liên quan gì đến an toàn crypto?
Tấn công chuỗi cung ứng có thể đánh cắp thông tin nhà phát triển hoặc chèn mã độc vào thư viện/gói phần mềm, từ đó xâm nhập ứng dụng, thay đổi giao diện ký hoặc đánh cắp dữ liệu xác thực, làm tăng nguy cơ phát sinh các phê duyệt giả và mất tài sản.