Phương thức lừa đảo mới: permit giao dịch độc hại khiến người dùng thiệt hại 23.000 USD, ví của bạn cũng có thể đang gặp rủi ro

Theo tin tức mới nhất, một người dùng đã bị kẻ lừa đảo chuyển đi 23.000 USD giá trị của aArbWETH và aEthLBTC do ký các giao dịch permit và increaseAllowance độc hại. Đây không phải là trường hợp cá biệt. Từ năm 2026 trở đi, các vụ lừa đảo trên chuỗi tương tự đã xuất hiện thường xuyên, từ các dự án MEME giả mạo đến các hợp đồng giao dịch độc hại, phương thức lừa đảo ngày càng tinh vi. Sự kiện lần này nhắc nhở chúng ta rằng, mỗi quyết định trước khi ký giao dịch đều có thể quyết định sự an toàn của tài sản.

Cách thức hoạt động của các chiêu lừa đảo qua phishing

Dữ liệu giám sát của GoPlus cho thấy, vụ lừa đảo lần này liên quan đến hai thao tác độc hại chính:

Nguy hiểm của Permit và Increaseallowance

Hai hàm này trông có vẻ vô hại, nhưng khi bị lợi dụng lại vô cùng nguy hiểm. permit cho phép người dùng ủy quyền và chuyển khoản trong một giao dịch, còn increaseAllowance là tăng hạn mức chi tiêu cho một địa chỉ nhất định. Kẻ lừa đảo có thể giả mạo giao dịch hoặc dụ người dùng ký các hợp đồng tương tác bình thường, nhưng thực chất là đang ủy quyền cho chúng có thể tự do chuyển nhượng tài sản của người dùng.

Các điểm rủi ro chính:

• Người dùng có thể không nhìn thấy nội dung thực của giao dịch khi ký
• Giao diện hợp đồng có thể bị giả mạo hoặc che giấu thông tin quan trọng
• Một khi đã ký, kẻ lừa đảo sẽ có quyền chuyển nhượng tài sản
• Các loại tài sản chuỗi chéo như aArbWETH (ETH đóng gói trên chuỗi Arbitrum) và aEthLBTC do tính thanh khoản nhỏ hơn dễ bị tấn công hơn

Tại sao các vụ lừa đảo này dễ thành công

Người dùng thường dễ mắc bẫy trong các trường hợp sau:

• Bị thu hút bởi các dự án hứa hẹn lợi nhuận cao, vội vàng tham gia
• Các liên kết phishing giả mạo thành kênh chính thức hoặc dự án nổi tiếng
• Không kiểm tra kỹ nội dung ký trước khi xác nhận
• Thiếu hiểu biết về quyền hạn của hợp đồng

Mô hình các vụ lừa đảo gần đây

Vụ việc nhóm RUG kiểm soát hàng chục đồng MEME mới đây cho thấy, các vụ lừa đảo từ đầu năm 2026 đã hình thành một mạng lưới thu hoạch có hệ thống. Từ các “huyền thoại làm giàu” giả mạo đến các hợp đồng độc hại, kẻ lừa đảo sử dụng nhiều phương thức cùng lúc để thu lợi. Điều này cho thấy các biện pháp phòng ngừa đơn lẻ đã không còn đủ hiệu quả.

Cách tự bảo vệ mình

Danh sách cần làm trước khi giao dịch

• Chỉ lấy liên kết giao dịch từ các kênh chính thức, không tin các liên kết trực tiếp trên mạng xã hội
• Trước khi ký, sử dụng các công cụ an toàn chuỗi như chức năng kiểm tra rủi ro của GoPlus để xác minh địa chỉ hợp đồng
• Hiểu rõ nội dung của giao dịch bạn sắp ký, nếu không hiểu thì không ký
• Cảnh giác với các dự án lạ, các lời hứa lợi nhuận cao thường đi kèm rủi ro lớn
• Thường xuyên kiểm tra các hợp đồng đã ủy quyền, thu hồi các quyền không cần thiết

Gợi ý phân bổ tài sản

• Không để số lượng lớn tài sản trên các địa chỉ tương tác thường xuyên, có thể dùng nhiều ví để phân tán rủi ro
• Các tài sản chuỗi chéo như aArbWETH do tính thanh khoản nhỏ hơn, rủi ro cao hơn, cần cẩn trọng hơn
• Đặt giới hạn thua lỗ có thể chấp nhận được đối với các khoản đầu tư vào dự án mới

Tóm lại

Mặc dù mất 23.000 USD là cú sốc lớn đối với một người dùng, nhưng nhìn toàn thị trường, đây chỉ là phần nổi của tảng băng chìm. Tần suất và độ phức tạp của các vụ lừa đảo đầu năm 2026 đang tăng lên. Điều quan trọng là nhận thức rằng, trong thế giới chuỗi, mỗi lần ký đều là một việc chuyển quyền, cần cẩn trọng như xử lý chìa khóa. Đừng coi nhẹ thao tác đơn giản. Phòng vệ tốt nhất là hỏi thêm một câu trước khi ký: Giao dịch này thật sự cần thiết phải ký không?