Hacker mạo danh nhân viên X bằng tài khoản bị xâm nhập của nhà sáng lập Scroll

Đồng sáng lập Scroll bị hack tài khoản X trong chiến dịch phishing tinh vi nhắm vào giới tiền điện tử crypto.

Tài khoản X của Ye Chen, đồng sáng lập Scroll, vừa bị chiếm quyền kiểm soát trong một chiến dịch phishing được tổ chức bài bản, nơi kẻ tấn công giả danh nhân viên nền tảng để nhắm thẳng vào các nhân vật có tầm ảnh hưởng trong ngành tiền mã hóa.

Sau khi bị xâm nhập, tài khoản này – vốn có độ tin cậy rất cao trong giới lãnh đạo crypto – bắt đầu phát tán các tin nhắn giả mạo, cáo buộc người nhận vi phạm bản quyền và đe dọa hạn chế tài khoản nếu không nhấp vào đường link “xác minh” trong vòng 48 giờ.

Để tăng độ thuyết phục, hacker đã thay đổi toàn bộ hồ sơ cá nhân của Ye Chen, chỉnh bio theo phong cách nhận diện chính thức của X, chèn các tham chiếu tới Twitter và nCino, đồng thời cảnh báo về “sự cố bảo mật” đang diễn ra.

Không dừng lại ở đó, kẻ tấn công còn ồ ạt repost nội dung từ các tài khoản X đã được xác minh, tạo cảm giác tài khoản vẫn “hoạt động bình thường”, rồi âm thầm triển khai chiến dịch phishing thông qua tin nhắn trực tiếp (DM).

Chiêu thức quen thuộc, mức độ ngày càng nguy hiểm

Vụ việc này lặp lại một mô hình tấn công đã trở nên quá quen trong ngành: chiếm quyền tài khoản đáng tin cậy, sau đó phát tán link độc dưới vỏ bọc thông báo khẩn từ nền tảng.

Các nạn nhân nhận được tin nhắn được trình bày như đến từ bộ phận quản lý bản quyền của X, kèm cảnh báo tuân thủ giả mạo, thời hạn xử lý gấp – tất cả được thiết kế để đánh vào tâm lý hoảng loạn, khiến người nhận bỏ qua các bước kiểm tra an toàn cơ bản.

Nhà nghiên cứu bảo mật blockchain Wu Blockchain là người đầu tiên phát hiện sự cố và nhanh chóng cảnh báo cộng đồng không tương tác với bất kỳ nội dung nào từ tài khoản này.

Mức độ rủi ro đặc biệt cao, bởi Ye Chen có mạng lưới kết nối rộng gồm các lãnh đạo sàn, nhà phát triển, quỹ đầu tư và KOL crypto – những người rất dễ tin tưởng tin nhắn đến từ một tài khoản đã xác minh.

Đây được xem là bước leo thang mới trong làn sóng tấn công mạng xã hội nhắm vào giới lãnh đạo crypto, nơi hacker ngày càng tận dụng quyền truy cập ủy quyền (delegated access) và tên miền đã hết hạn để vượt qua cả xác thực hai lớp (2FA).

Ngành crypto đối mặt làn sóng social engineering không hồi kết

Hồi tháng 10, tài khoản chính thức của BNB Chain cũng từng bị chiếm quyền, khi hacker đăng tải các chương trình thưởng giả mạo kèm link phishing – ngay sau khi CZ cảnh báo người dùng không nhấp vào nội dung đáng ngờ.

Tài khoản bị xâm nhập đã quảng bá phân phối token BSC giả, hứa hẹn trả thưởng sớm cho người tham gia bình chọn ngày nhận quà. Kết quả: ví người dùng bị rút sạch tài sản thông qua các URL độc hại.

Đến tháng 12, tài khoản WeChat của Yi He – đồng CEO Binance – cũng bị hack, phục vụ cho một chiến dịch meme coin có tổ chức xoay quanh token MUBARA.

Hai ví được tạo chỉ vài giờ trước vụ tấn công đã gom 21,16 triệu token, sau đó xả toàn bộ khi nhà đầu tư nhỏ lẻ đổ vào, giúp hacker bỏ túi khoảng 55.000 USD, trong khi người mua sau chịu cú sập giá.

Danh sách nạn nhân còn dài: ZKsync và Matter Labs bị xâm nhập hồi tháng 5 thông qua các “tài khoản ủy quyền” chỉ có quyền đăng bài hạn chế. Hacker tung tin giả về một cuộc điều tra của Ủy ban Chứng khoán và Giao dịch Hoa Kỳ SEC, kèm airdrop giả, khiến giá ZK giảm 5%, dù trước đó token này vừa tăng 38,5% trong một tuần.

Công ty truyền thông crypto lớn Watcher.Guru cũng xác nhận bị hack vào tháng 3, sau khi các tin giả về hợp tác Ripple – SWIFT lan truyền trên Telegram, Facebook và Discord thông qua bot tự động.

Đội ngũ cho biết nguyên nhân có thể xuất phát từ một đường link chứa query bất thường được chia sẻ trong nhóm Telegram từ nhiều tuần trước.

Năm kỷ lục cho các vụ đánh cắp crypto: mối đe dọa ngày càng leo thang

Theo Báo cáo Tội phạm Crypto 2026 của Chainalysis, năm 2025 ghi nhận hơn 3,4 tỷ USD tài sản số bị đánh cắp.

Đáng chú ý, hacker được nhà nước Triều Tiên hậu thuẫn chiếm tới 2,02 tỷ USD, dù số vụ ít hơn nhưng độ tinh vi cao hơn nhiều.

Triều Tiên hiện chiếm 76% tổng số vụ xâm nhập dịch vụ, nâng tổng giá trị crypto bị đánh cắp từ các chiến dịch của DPRK lên 6,75 tỷ USD.

Các vụ xâm nhập ví cá nhân tăng vọt lên 158.000 vụ, ảnh hưởng tới ít nhất 80.000 nạn nhân – gấp ba lần so với năm 2022.

Riêng tháng 12 chứng kiến vụ mất tiền lớn nhất năm, khi một nạn nhân chuyển nhầm 50 triệu USD vào ví giả mạo trong một vụ address poisoning. Ngoài ra, rò rỉ private key còn khiến 27,3 triệu USD bị đánh cắp từ các ví multisig.

Lỗ hổng bảo mật cá nhân lan rộng sang cả hệ sinh thái phần mềm

Gần đây nhất, Alan Pope, nhà phát triển Ubuntu, cảnh báo rằng hacker đang chiếm quyền tài khoản nhà phát hành trên Snap Store bằng cách đăng ký các tên miền đã hết hạn của lập trình viên thật, sau đó phát hành bản cập nhật độc hại cho các gói phần mềm từng được tin dùng.

Chiêu thức này lợi dụng cơ chế tự động cập nhật và tín hiệu “đã xác minh”, với ít nhất 2 trường hợp được xác nhận phát tán malware đánh cắp ví crypto thông qua ứng dụng tưởng như vô hại.

Trước làn sóng tấn công đa lớp này, Better Business Bureau đã phải lên tiếng cảnh báo người dùng về các chiến dịch phishing khóa tài khoản X, rồi dùng chính tài khoản đó để quảng bá lừa đảo crypto.

Nhà báo Kentucky Jennie Rees kể lại việc nhận DM từ những người trông như đồng nghiệp, nhờ bình chọn cuộc thi. Sau khi nhấp link, tài khoản của cô lập tức đăng tải tin giả về việc mua xe Audi bằng tiền kiếm từ crypto – một kịch bản quen thuộc, nhưng ngày càng nguy hiểm.