Tấn công lừa đảo "Chúc mừng năm mới" giả mạo MetaMask trong kỳ nghỉ: Làm thế nào để rút sạch hàng trăm ví?

Nổi tiếng là một nhà nghiên cứu an ninh chuỗi khối ZachXBT gần đây đã tiết lộ rằng một cuộc tấn công lừa đảo nhằm vào người dùng ví MetaMask đã gây thiệt hại cho hàng trăm ví, tổng thiệt hại vượt quá 10.7 nghìn USD và vẫn đang tiếp tục gia tăng. Kẻ tấn công lợi dụng kỳ nghỉ Tết Nguyên Đán, giả danh gửi email lừa đảo “cập nhật bắt buộc”, dụ người dùng ký ủy quyền hợp đồng độc hại.

Sự kiện này cùng với vụ lỗ ít nhất 8.5 triệu USD do lỗ hổng tiện ích mở rộng Trust Wallet gần đây một lần nữa làm nổi bật tính cực kỳ mong manh của an ninh phía người dùng trong thế giới tiền mã hóa. Bài viết sẽ phân tích sâu phương thức tấn công này, cung cấp hướng dẫn xử lý khẩn cấp tức thì, và xây dựng một hệ thống phòng thủ sâu hướng tới tương lai.

Toàn cảnh cuộc tấn công: săn mồi chính xác trong kỳ nghỉ

Đầu năm mới, khi các nhà phát triển toàn cầu và nhóm hỗ trợ dự án đang trong kỳ nghỉ, nhân lực vận hành tối thiểu, một cuộc tấn công phối hợp nhằm vào ví tiền mã hóa đã âm thầm bắt đầu. Nhà nghiên cứu an ninh ZachXBT đã theo dõi trên chuỗi, thấy hàng trăm địa chỉ ví trên nhiều chuỗi EVM tương thích, tài sản của họ liên tục bị lấy đi theo từng khoản nhỏ, phân tán. Mỗi nạn nhân thường mất dưới 2.000 USD, và tất cả số tiền bị trộm cuối cùng đều đổ vào một địa chỉ khả nghi duy nhất. Tại thời điểm viết bài, tổng số tiền bị mất đã vượt quá 10.7 nghìn USD và con số này vẫn tiếp tục tăng.

Dù nguyên nhân chính của cuộc tấn công vẫn đang được điều tra, nhiều báo cáo của người dùng đã tiết lộ điểm vào của cuộc tấn công: một email lừa đảo giả danh gửi từ chính MetaMask với nội dung “cập nhật bắt buộc”. Email này được thiết kế tinh vi, không chỉ sử dụng biểu tượng cáo đặc trưng của MetaMask mà còn đội mũ dự tiệc, chủ đề email còn ghi “Chúc mừng năm mới!”, tận dụng không khí lễ hội để giảm cảnh giác của người dùng. Kẻ tấn công chọn thời điểm này để phát động, chính là thời điểm phản ứng chậm, tâm lý cảnh giác lỏng lẻo.

Mô hình trộm “nhiều khoản nhỏ” này mang tính chiến lược cao. Nó ám chỉ rằng, trong nhiều trường hợp, kẻ tấn công không hoàn toàn kiểm soát ví bằng cách lấy cắp Seed Phrase (từ khóa khởi tạo), mà tận dụng việc người dùng đã ký ủy quyền hợp đồng độc hại trước đó. Theo mặc định, nhiều quyền ủy quyền token là “vô hạn”, nhưng kẻ tấn công không xóa sạch ví một lần mà kiểm soát số tiền trộm trong mỗi lần nhỏ. Cách làm này vừa tránh gây chú ý ngay lập tức của nạn nhân, vừa cho phép mở rộng quy mô tấn công ra hàng trăm ví, cuối cùng tích lũy thành số lượng lớn.

ZachXBT tiết lộ dữ liệu chính của vụ lừa đảo

Thời gian kéo dài của cuộc tấn công: Trong kỳ nghỉ Tết, thời gian cụ thể còn đang xác nhận

Số lượng ví bị ảnh hưởng: Hàng trăm (chưa rõ chính xác)

Trung bình thiệt hại mỗi ví: Thường dưới 2.000 USD

Tổng thiệt hại đã xác nhận: Hơn 10.7 nghìn USD

Mạng lưới liên quan: Nhiều chuỗi EVM như Ethereum, Polygon, Arbitrum, v.v.

Phương thức tấn công: Email lừa đảo dụ ký ủy quyền hợp đồng độc hại

Phân tích 4 điểm yếu của email lừa đảo “hiệu quả”

Tại sao nhiều người dùng tiền mã hóa dày dạn kinh nghiệm lại mắc bẫy? Email lừa đảo giả danh MetaMask này là một ví dụ “giáo trình” về kỹ thuật xã hội, thành công của nó chính là thể hiện điểm yếu chung trong thói quen an ninh của người dùng phổ thông. Tuy nhiên, dù giả mạo tinh vi đến đâu, các cuộc tấn công kiểu này luôn để lộ điểm yếu ở chi tiết. Nhận diện 4 tín hiệu quan trọng sau có thể giúp ngăn chặn mối đe dọa trước khi thiệt hại xảy ra.

Thứ nhất, và rõ ràng nhất, là “Thương hiệu và người gửi không phù hợp nghiêm trọng”. Trong vụ này, email gửi từ “MetaLiveChain” — một tên nghe có vẻ liên quan đến tài chính phi tập trung (DeFi), nhưng thực tế không liên quan gì đến MetaMask. Đây thường là bằng chứng kẻ tấn công mạo danh dùng mẫu email marketing hợp pháp. Phần đầu email còn chứa liên kết hủy đăng ký, dẫn đến “reviews@yotpo .com”, càng làm rõ bản chất spam của nó.

Thứ hai, “Cảm giác cấp bách do con người tạo ra” là thủ đoạn quen thuộc của email lừa đảo. Nội dung email nhấn mạnh lần cập nhật này là “bắt buộc”, yêu cầu người dùng hành động ngay lập tức, nếu không sẽ ảnh hưởng đến sử dụng ví. Điều này hoàn toàn trái ngược với các hướng dẫn an toàn chính thức của MetaMask. MetaMask khẳng định rõ ràng, “sẽ KHÔNG” yêu cầu xác minh hoặc nâng cấp qua email không mong muốn. Bất kỳ yêu cầu nâng cấp khẩn cấp nào từ chính thức đều phải coi là cảnh báo đỏ.

Thứ ba, “Liên kết gây hiểu lầm”. Các nút hoặc liên kết trong email lừa đảo thường có nội dung như “Cập nhật ngay”, nhưng tên miền đích thường không phù hợp với tổ chức giả mạo. Người dùng chỉ cần để ý di chuột (trên desktop) để xem URL thực sự của liên kết. Bất kỳ liên kết nào không phải metamask.io hoặc tên miền phụ chính thức đều cần cảnh giác cao.

Thứ tư, “Yêu cầu thông tin nhạy cảm hoặc quyền truy cập” là giới hạn đỏ cuối cùng. MetaMask và các đại diện hợp pháp của nó sẽ KHÔNG bao giờ yêu cầu qua email, tin nhắn hoặc điện thoại để lấy Seed Phrase (từ khóa khôi phục bí mật). Đồng thời, yêu cầu ký một tin nhắn off-chain hoặc giao dịch không rõ nội dung, mục đích cũng rất có thể là bẫy. Trong vụ ZachXBT tiết lộ, nạn nhân có thể đã bị dụ ký một hợp đồng ủy quyền token độc hại, tương đương mở cổng chuyển tài sản cho kẻ tấn công.

Hướng dẫn xử lý khẩn cấp: thu hồi ủy quyền và giảm thiểu thiệt hại

Ngay khi nhận thức được mình có thể đã nhấp vào liên kết lừa đảo hoặc ký ủy quyền đáng ngờ, đừng hoảng loạn, hãy hành động để kiểm soát thiệt hại. Nhiệm vụ hàng đầu là “cắt đứt quyền truy cập của kẻ tấn công”. May mắn, hiện có nhiều công cụ giúp quản lý và thu hồi ủy quyền hợp đồng một cách dễ dàng.

Với người dùng MetaMask, bạn có thể trực tiếp xem và quản lý tất cả các quyền ủy quyền token trong Giao diện Portfolio của MetaMask. Ngoài ra, các trang web chuyên dụng như Revoke.cash cung cấp quy trình cực kỳ đơn giản: kết nối ví, chọn mạng phù hợp, nó sẽ hiển thị rõ các quyền ủy quyền của ví đối với các hợp đồng thông minh. Người dùng có thể kiểm tra từng hợp đồng, gửi lệnh “Thu hồi” (Revoke) cho bất kỳ hợp đồng nào không tin tưởng hoặc không còn sử dụng. Tương tự, các trình duyệt blockchain như Etherscan cũng cung cấp trang Token Approvals, hỗ trợ thủ công thu hồi quyền ủy quyền ERC-20, ERC-721, v.v. Việc hành động nhanh là chìa khóa, giúp bạn giữ lại phần còn lại của tài sản trước khi kẻ tấn công rút sạch ví.

Tuy nhiên, để hành động đúng, cần xác định chính xác mức độ xâm nhập. Ở đây có một sự khác biệt căn bản: “Ủy quyền hợp đồng bị đánh cắp” và “Seed Phrase bị lộ hoàn toàn”. Nếu là trường hợp đầu, kẻ tấn công chỉ có quyền chuyển token nhất định, thu hồi quyền ủy quyền kịp thời có thể giữ được quyền kiểm soát ví, sau đó tăng cường an ninh để tiếp tục sử dụng. Nhưng nếu là trường hợp thứ hai, nghĩa là kẻ tấn công đã kiểm soát hoàn toàn ví của bạn, mọi thao tác (kể cả thu hồi quyền) đều có thể bị chặn hoặc bị trộm lại.

Hướng dẫn an toàn chính thức của MetaMask đã rõ ràng: khi nghi ngờ Seed Phrase đã bị lộ, hãy ngừng sử dụng ví đó ngay lập tức. Phải tạo một ví mới hoàn toàn, sạch sẽ, trên thiết bị sạch, không nhiễm virus, rồi chuyển toàn bộ tài sản chưa bị mất sang địa chỉ mới. Seed Phrase cũ phải coi như “đốt cháy vĩnh viễn”, không bao giờ dùng lại. Quyết định “cắt bỏ” này là cách duy nhất để đối phó với tình huống tồi tệ nhất.

Xây dựng hệ thống phòng thủ sâu: từ phòng thủ điểm đơn đến hệ thống an ninh toàn diện

Dù là cuộc tấn công lừa đảo lần này hay vụ lỗ 8.5 triệu USD do lỗ hổng tiện ích mở rộng Trust Wallet trước đó, đều chỉ ra một kết luận: dựa vào một biện pháp phòng thủ duy nhất là rất nguy hiểm. Đối mặt với các mối đe dọa ngày càng tinh vi, người dùng bình thường cần xây dựng “Hệ thống phòng thủ sâu” (Defense-in-Depth), đặt nhiều lớp phòng ngự, hạn chế thiệt hại trong phạm vi có thể chấp nhận được.

Lớp 1: Cấu hình ví và thói quen hàng ngày. Các nhà cung cấp ví đang tích hợp ngày càng nhiều tính năng an toàn. Ví dụ, MetaMask khuyến khích người dùng khi ủy quyền, thiết lập giới hạn chi tiêu thay vì chọn “vô hạn” mặc định. Đồng thời, nên thường xuyên kiểm tra và thu hồi các quyền đã cấp cũ, coi đó như một phần quan trọng của việc duy trì an toàn. Các cảnh báo an ninh như Blockaid của MetaMask cũng là một lớp phòng thủ bị đánh giá thấp.

Lớp 2: Phân loại rủi ro tài sản và cách ly ví. Đây là một trong những biện pháp hiệu quả nhất để đối phó các cuộc tấn công. Áp dụng mô hình ví “cold-warm-hot”:

• Ví lạnh (dài hạn): Dùng ví phần cứng (Ledger, Trezor) để lưu trữ tài sản lớn, ít di chuyển.
• Ví ấm (giao dịch hàng ngày): Ví phần mềm như MetaMask để giao dịch, staking, v.v.
• Ví nóng (thử nghiệm): Tạo ví “đốt cháy” để tương tác với các hợp đồng DeFi mới, chưa được kiểm tra.

Mô hình này có thể gây khó khăn trong quản lý, nhưng chính sự khó khăn đó là chìa khóa an toàn. Một cuộc tấn công lừa đảo thành công chỉ phá vỡ ví “đốt cháy”, thiệt hại có thể chỉ vài trăm đến vài nghìn USD. Nhưng nếu tấn công vào ví chứa toàn bộ tài sản, hậu quả sẽ thảm khốc.

Lớp 3: Giáo dục liên tục và xây dựng tâm lý. Ngành thường đổ lỗi cho thiếu kiến thức của người dùng. Tuy nhiên, dữ liệu của Chainalysis cho thấy, chỉ riêng năm 2025 đã có khoảng 158.000 vụ trộm ví cá nhân, ảnh hưởng ít nhất 80.000 người. Điều này cho thấy, tốc độ tiến hóa của kẻ tấn công nhanh hơn nhiều so với khả năng học hỏi của người dùng. Vì vậy, cần hình thành tâm thế “nghi ngờ liên tục”: luôn giữ thái độ hoài nghi với mọi thông tin không mong muốn từ nhà cung cấp ví; coi mọi ủy quyền hợp đồng là nguy hiểm trừ khi bạn hiểu rõ và tin tưởng; và luôn nhớ rằng, tính tiện lợi của tiền mã hóa chính là một điểm tấn công tiềm tàng.

ZachXBT tiết lộ, các công cụ này cuối cùng sẽ bị vô hiệu hóa khi địa chỉ bị đánh dấu, các sàn giao dịch lớn đóng băng tài khoản. Nhưng tuần tới, một công cụ khác sẽ trở lại với mẫu thiết kế mới, địa chỉ hợp đồng mới. Trong vòng xoáy chiến tranh không ngừng này, lựa chọn của người dùng không phải là an toàn hay tiện lợi, mà là “Chủ động quản lý an ninh để tránh rắc rối nhỏ” hay “Gặp hậu quả lớn của mất mát tài sản trong tương lai”. Xây dựng và thực thi hệ thống phòng thủ sâu của bạn chính là chọn lựa đầu tiên, giữ vững quyền kiểm soát tài sản trong tay mình.