Mất mát do lừa đảo qua mạng tiền điện tử giảm 83%！Phương pháp tấn công mới EIP-7702 vẫn còn hoạt động

Năm 2025, thiệt hại do lừa đảo mạng trong lĩnh vực tiền điện tử giảm xuống còn 83,85 triệu USD, giảm 83%, số người bị ảnh hưởng giảm còn 106,000 người. Scam Sniffer cảnh báo hệ sinh thái vẫn còn hoạt động, kẻ tấn công chuyển sang chiến lược tấn công quy mô nhỏ, tần suất cao, trung bình mỗi người thiệt hại chỉ 790 USD. Các cuộc tấn công mới dựa trên EIP-7702 đã lừa đảo thành công 2,54 triệu USD trong một lần.

Thị trường bò quý III trở thành vùng trọng điểm của lừa đảo mạng

Giảm thiệt hại không phải do hoạt động tấn công giảm, mà liên quan chặt chẽ đến chu kỳ thị trường. Nền tảng an ninh Web3 Scam Sniffer phân tích các phát hiện về lừa đảo mạng dựa trên đặc điểm trên chuỗi của Ethereum Virtual Machine (EVM), cho thấy thiệt hại tăng trong các giai đoạn hoạt động sôi động của chuỗi, giảm khi thị trường nguội đi. Quý III năm 2025 trùng với đợt tăng giá mạnh nhất trong năm của Ethereum (ETH), thiệt hại mạng lừa đảo trong quý này lên tới 31 triệu USD, trong đó thiệt hại từ tháng 8 đến tháng 9 chiếm gần 29% tổng thiệt hại trong năm.

Báo cáo chỉ ra: “Khi thị trường hoạt động sôi động, tổng hoạt động của người dùng tăng lên, tỷ lệ người dùng bị thiệt hại cũng tăng — khả năng xảy ra lừa đảo mạng có mối tương quan dương với hoạt động của người dùng.” Mức thiệt hại hàng tháng dao động từ 2,04 triệu USD vào tháng 12 yên tĩnh nhất, đến 12,17 triệu USD vào tháng 8 sôi động nhất, chênh lệch gấp 6 lần. Mối liên hệ này tiết lộ thời điểm tấn công chính xác của kẻ tấn công, họ tấn công khi người dùng hoạt động nhiều nhất, tâm lý phân tán nhất.

Nguyên nhân sâu xa hơn là hành vi người dùng thay đổi trong thị trường bò. Khi giá tiền điện tử tăng, cảm xúc FOMO (sợ bỏ lỡ) thúc đẩy người dùng giao dịch nhiều token mới, tham gia airdrop và khai thác thanh khoản, những hoạt động này yêu cầu ký xác nhận thường xuyên, tạo nhiều cơ hội cho lừa đảo mạng. Kẻ tấn công lợi dụng khả năng phán đoán giảm sút của người dùng trong trạng thái phấn khích, bằng cách giả mạo các trang web dự án phổ biến, mạo danh kênh Discord chính thức để lừa ký xác nhận.

Đỉnh điểm quý III còn liên quan đến nâng cấp Pectra của Ethereum. Việc ra mắt các chức năng mới của giao thức thường đi kèm với thiếu hiểu biết của người dùng, kẻ tấn công nhanh chóng khai thác thời điểm này để phát triển các phương thức tấn công mới. Mô hình “đổi mới công nghệ mang lại cửa sổ an toàn” này đã xuất hiện nhiều lần trong lịch sử tiền điện tử, từ mùa DeFi đến cơn sốt NFT, mỗi bước đột phá công nghệ đều đi kèm với sự xuất hiện của các hình thức lừa đảo mới.

EIP-7702 mở hộp Pandora

Năm 2025 đánh dấu sự xuất hiện của các phương thức tấn công mới. Các chữ ký độc hại dựa trên EIP-7702 xuất hiện ngay sau khi Ethereum Pectra nâng cấp, kẻ tấn công lợi dụng cơ chế trừu tượng hóa tài khoản, gộp nhiều thao tác độc hại vào một chữ ký của người dùng. Hai vụ tấn công lớn dựa trên EIP-7702 xảy ra vào tháng 8 gây thiệt hại 2,54 triệu USD, cho thấy tốc độ thích ứng của kẻ tấn công với các thay đổi ở cấp độ giao thức nhanh như thế nào.

EIP-7702 ban đầu được thiết kế để cải thiện trải nghiệm người dùng, cho phép tài khoản bên ngoài (EOA) tạm thời chuyển đổi thành tài khoản hợp đồng thông minh, thực hiện các chức năng như giao dịch hàng loạt và khôi phục xã hội. Tuy nhiên, tính linh hoạt này đã bị kẻ tấn công lợi dụng. Họ giả mạo các yêu cầu ủy quyền hợp lệ, nhưng thực chất trong một chữ ký duy nhất đã ẩn chứa nhiều thao tác độc hại, như ủy quyền chuyển token, chỉnh sửa quyền của tài khoản và thiết lập đại lý độc hại.

Nguy hiểm hơn, các cuộc tấn công dựa trên EIP-7702 có khả năng che giấu rất cao. Lừa đảo mạng truyền thống thường liên quan đến ủy quyền token rõ ràng, người dùng có kinh nghiệm có thể nhận biết điểm bất thường. Nhưng các cuộc tấn công EIP-7702 có thể giả dạng thành nâng cấp hợp lệ của tài khoản hoặc ủy quyền giao dịch hàng loạt, ngay cả người dùng kỹ thuật cũng có thể bị lừa. Giao diện ví thường không hiển thị rõ ràng các thao tác phức tạp này, khiến người dùng khó hiểu ý nghĩa thực sự của chữ ký.

Thiệt hại 2,54 triệu USD dù không lớn, nhưng chỉ là bước thử nghiệm ban đầu của phương thức mới. Các nhà nghiên cứu Scam Sniffer cảnh báo, khi nhiều ví và DApp tích hợp chức năng EIP-7702, quy mô và tần suất các cuộc tấn công kiểu này có thể tăng mạnh. Kẻ tấn công đang học hỏi và tối ưu hóa phương pháp này, trong tương lai có thể xuất hiện các biến thể tinh vi hơn.

Chuyển đổi chiến lược từ săn mồi đơn lẻ sang bắt mồi trong mạng lưới

Chiến lược tấn công lừa đảo mạng trong tiền điện tử có lý do kinh tế sâu xa. Các vụ tấn công lớn mang lại lợi nhuận cao từng lần, nhưng rủi ro cũng lớn. Nạn nhân dễ báo cảnh sát, thuê các công ty phân tích blockchain theo dõi dòng tiền, khiến kẻ tấn công đối mặt với khả năng bị phơi bày và rủi ro pháp lý cao hơn. Ngược lại, các cuộc tấn công nhỏ lẻ, tần suất cao, lợi nhuận mỗi lần thấp hơn, nhưng nạn nhân thường chọn chấp nhận rủi ro hơn là truy cứu, và các cơ quan pháp luật cũng thiếu nguồn lực điều tra từng vụ nhỏ.

Quan trọng hơn, các cuộc tấn công nhỏ lẻ có khả năng mở rộng cao hơn. Kẻ tấn công có thể sử dụng công cụ tự động để vận hành hàng trăm trang web lừa đảo cùng lúc, dùng AI tạo email và tin nhắn mạng xã hội giả mạo chân thực, xử lý hàng loạt nạn nhân. Mô hình lừa đảo “công nghiệp hóa” này giảm chi phí cho mỗi lần tấn công, nâng cao hiệu quả tổng thể. Báo cáo kết luận: “Hệ sinh thái rút tiền vẫn còn hoạt động — khi các kẻ rút tiền cũ rút lui, các kẻ mới sẽ xuất hiện để lấp đầy chỗ trống.”

Ba xu hướng chuyển đổi trong mô hình tấn công lừa đảo mạng năm 2025

Giảm mạnh số vụ lớn: Năm 2025 chỉ có 11 vụ thiệt hại trên 1 triệu USD, thấp hơn 30 vụ của năm 2024. Vụ lừa đảo lớn nhất trong năm xảy ra vào tháng 9, thiệt hại 6,5 triệu USD, liên quan đến chữ ký Permit độc hại.

Thiệt hại trung bình mỗi nạn nhân giảm mạnh: trung bình mỗi người bị thiệt hại còn 790 USD, giảm đáng kể so với năm trước. Điều này cho thấy kẻ tấn công đã chuyển từ săn mồi chính xác các “đại gia” sang chiến lược quét rộng các nhà đầu tư nhỏ lẻ.

Ủy quyền Permit vẫn là chủ đạo: Trong các vụ thiệt hại trên 1 triệu USD, các cuộc tấn công dựa trên Permit và Permit2 chiếm 38% tổng thiệt hại, chứng minh phương pháp này vẫn còn hiệu quả và được sử dụng rộng rãi.

Tấn công địa chỉ và lỗ hổng đa chữ ký trở thành điểm nóng mới

Tháng 12 năm 2025, thiệt hại do các cuộc tấn công hacker và lỗ hổng an ninh mạng liên quan đến tiền điện tử giảm còn khoảng 76 triệu USD, giảm 60% so với 194 triệu USD tháng 11. PeckShield ghi nhận 26 vụ việc lớn trong tháng, cho thấy dù hoạt động tấn công vẫn tiếp diễn, nhưng thiệt hại chung đã chậm lại.

Vụ lớn nhất liên quan đến lừa đảo tấn công địa chỉ trị giá 500 triệu USD, kẻ tấn công dùng địa chỉ ví tương tự để lừa nạn nhân chuyển tiền sang các tài khoản khác. Loại tấn công này lợi dụng giới hạn về khả năng nhận diện của con người, phần lớn địa chỉ ví hiển thị 3-4 ký tự đầu và cuối, phần giữa bị bỏ qua. Kẻ tấn công tạo ra các địa chỉ gần giống với địa chỉ mục tiêu về mặt ký tự, gửi token nhỏ lẻ để tạo lịch sử giao dịch, khiến nạn nhân khi sao chép địa chỉ dễ nhầm lẫn chọn nhầm địa chỉ của kẻ tấn công.

Trong vụ khác, do rò rỉ khoá riêng liên quan đến ví đa chữ ký, thiệt hại lên tới 273 triệu USD. Ví đa chữ ký vốn an toàn hơn, cần nhiều chữ ký để phê duyệt giao dịch. Nhưng nếu quản lý khoá không đúng cách, như lưu trữ trên đám mây, chia sẻ qua kênh không an toàn hoặc nội bộ tiết lộ, thì bảo vệ của đa chữ ký trở nên vô nghĩa. Vụ việc này nhắc nhở rằng, an toàn của giải pháp kỹ thuật cuối cùng phụ thuộc vào con người trong vận hành.

Dù thiệt hại do lừa đảo mạng giảm 83%, nhưng đây không phải là dấu hiệu kết thúc chiến tranh. Kết luận của Scam Sniffer rõ ràng: hệ sinh thái vẫn còn hoạt động, kẻ tấn công chỉ thay đổi chiến thuật. Khi mùa bò tiếp theo đến, thiệt hại có thể lại tăng trở lại.