Lừa đảo “Đầu độc địa chỉ”: Chỉ một lần Copy-Paste sai khiến Trader Crypto mất 50 triệu USD

Theo công ty an ninh blockchain SlowMist, một người dùng crypto đã mất gần 50 triệu USDT sau khi trở thành nạn nhân của chiêu trò “address poisoning” – sao chép nhầm địa chỉ ví giả mạo từ lịch sử giao dịch.

Cụ thể, nạn nhân đã chuyển 49.999.950 USDT đến một địa chỉ do kẻ tấn công kiểm soát. Địa chỉ này được tạo ra để giả mạo gần như hoàn toàn ví nhận tiền thật, với ba ký tự đầu và bốn ký tự cuối trùng khớp, khiến người dùng khó phân biệt bằng mắt thường.

Số tiền bị đánh cắp nhanh chóng được đổi sang Ethereum (ETH), chia nhỏ qua nhiều ví khác nhau và một phần được đưa qua mixer Tornado Cash để xóa dấu vết.

Theo dữ liệu bảo mật, chiếc ví của nạn nhân đã hoạt động khoảng 2 năm, chủ yếu dùng để chuyển USDT. Đáng chú ý, số tiền bị mất vừa được rút từ Binance không lâu trước khi giao dịch “dính bẫy” diễn ra.

这位玩家遭遇首尾号相似地址投毒，损失近 5000 万 USDT…

玩家地址：
0xcB80784ef74C98A89b6Ab8D96ebE890859600819
投毒地址：
0xBaFF2F13638C04B10F8119760B2D2aE86b08f8b5
玩家期望中的地址：
0xbaf4b1aF7E3B560d937DA0458514552B6495F8b5
// 可以看到首 3 字符尾 4 字符一样

玩家转 49,999,950… https://t.co/NJiZmmia1W

— Cos(余弦)😶‍🌫️ (@evilcos) December 20, 2025

Thiệt hại vì lừa đảo crypto chạm mốc 90 tỷ USD

Vụ việc xảy ra trong bối cảnh khủng hoảng an ninh ngày càng nghiêm trọng của ngành tiền mã hóa. Tính từ khi crypto ra đời đến nay, tổng thiệt hại do hack và khai thác lỗ hổng đã tiệm cận 90 tỷ USD.

Riêng trong tháng 11, số tiền bị đánh cắp vượt 276 triệu USD, đẩy tổng thiệt hại của năm 2025 lên hơn 9,1 tỷ USD. Điều này đồng nghĩa khoảng 10% toàn bộ tổn thất lịch sử của thị trường crypto chỉ diễn ra trong vòng 12 tháng qua.

Ông Mitchell Amador, CEO của Immunefi, cảnh báo rằng bức tranh rủi ro của ngành đang thay đổi căn bản.

“Mối đe dọa đang dịch chuyển từ lỗ hổng mã on-chain sang an ninh vận hành và các cuộc tấn công ở cấp độ kho quỹ,” ông nói với Cryptonews. “Khi mã nguồn ngày càng được gia cố, kẻ tấn công sẽ nhắm vào yếu tố con người.”

Dù năm 2025 được ghi nhận là năm tồi tệ nhất lịch sử về số vụ hack, Amador nhấn mạnh rằng phần lớn thiệt hại không xuất phát từ smart contract, mà từ sự cố hạ tầng Web2 và sai sót trong vận hành.

“Những tổn thất lớn nhất năm nay đến từ thất bại trong an ninh vận hành truyền thống, chứ không phải do mã on-chain,” ông cho biết.

FBI: Gian lận đầu tư crypto khiến người Mỹ mất 9,3 tỷ USD

Theo dữ liệu từ FBI, người Mỹ đã mất khoảng 9,3 tỷ USD vào các mô hình lừa đảo đầu tư crypto trong năm 2024, tăng 66% so với năm trước.

Trên phạm vi toàn cầu, các vụ lừa đảo dạng “pig-butchering” (nuôi mồi dài hạn) gây thiệt hại hơn 9,9 tỷ USD, với dữ liệu từ Chainalysis cho thấy hoạt động của loại hình này tăng gần 40% trong năm 2024.

Tại Mỹ, hai Thượng nghị sĩ Elissa Slotkin và Jerry Moran đã đề xuất Đạo luật SAFE Crypto, nhằm thành lập một lực lượng liên bang đặc biệt phối hợp giữa các cơ quan chính phủ, lực lượng thực thi pháp luật và khu vực tư nhân để chống gian lận crypto.

Dự luật cũng yêu cầu các đơn vị phát hành stablecoin được cấp phép phải có khả năng kỹ thuật để đóng băng hoặc thu giữ tài sản số liên quan đến hoạt động phi pháp.

🚨 After $9.3B lost to crypto scams like pig butchering, U.S. lawmakers unveil the bipartisan SAFE Crypto Act, creating a federal task force to fight fraud.#CryptoScam #CryptoRegulationhttps://t.co/kG6oDWQVCC

— Cryptonews.com (@cryptonews) December 17, 2025

Song song đó, các biện pháp thực thi pháp luật đang được siết chặt. Tháng 10 vừa qua, giới chức Mỹ công bố vụ thu giữ crypto lớn nhất từ trước đến nay, nhắm vào Prince Holding Group có trụ sở tại Campuchia.

Tether cũng đã đóng băng gần 50 triệu USDT liên quan đến các đường dây pig-butchering ở Đông Nam Á, trong khi Binance cho biết đã ngăn chặn 7,5 triệu người dùng tránh bị lừa mất gần 10 tỷ USD trong giai đoạn từ tháng 12/2022 đến tháng 5/2025.

Yếu tố con người trở thành “điểm yếu chí mạng”

Không chỉ các chiêu trò tinh vi, malware tiếp tục là nguyên nhân khiến nhiều ví tiền bị rút sạch. Một doanh nhân tại Singapore đã mất hơn 100.000 USD sau khi tải về phần mềm độc hại được ngụy trang dưới dạng chương trình thử nghiệm game.

Trong một vụ việc khác, ví multisig bị xâm nhập đầu tháng này đã khiến khoảng 27,3 triệu USD bị đánh cắp, trong đó 12,6 triệu USD được rửa tiền qua Tornado Cash sau khi khóa riêng tư bị lộ.

Theo Amador, ngành crypto cần tái cấu trúc hoàn toàn cách tiếp cận an ninh.

“Bảo mật mã nguồn là chưa đủ nếu người dùng và đội ngũ vận hành vẫn dễ bị tấn công,” ông nói.

“Các công ty Web3 phải đầu tư mạnh hơn vào an ninh tầng con người – từ đào tạo nội bộ, siết chặt quy trình vận hành, cho đến trực tiếp giáo dục người dùng cách nhận diện tin nhắn lừa đảo, các chiêu social engineering và cách bảo vệ tài sản on-chain.”

Ông cho biết 99% dự án Web3 hiện không có tường lửa cơ bản, và chưa đến 10% triển khai các công cụ bảo mật hiện đại dựa trên AI.

“Phần lớn các vụ hack năm nay không phải do audit kém,” Amador giải thích. “Chúng xảy ra sau khi dự án đã vận hành, trong các đợt nâng cấp hoặc khi tích hợp hệ thống – những ‘điểm mù’ mà audit truyền thống không thể bao quát.”

Dù thiệt hại ngày càng gia tăng, Amador vẫn giữ quan điểm lạc quan về an ninh mã on-chain, dự báo năm 2026 sẽ là năm an toàn nhất từ trước đến nay đối với smart contract, khi hạ tầng kỹ thuật của ngành tiếp tục được củng cố.