Một chiến dịch lừa đảo diễn ra cuối tháng 5 năm 2026 đã giả mạo MetaMask và yêu cầu người dùng cập nhật hệ thống "bắt buộc", khiến hàng trăm ví EVM trên Ethereum, Polygon, Arbitrum và Base bị rút sạch tài sản. Nhà điều tra on-chain ZachXBT đã phát hiện các giao dịch đáng ngờ vào ngày 28/5 sau khi lần theo các giao dịch liên quan trên nhiều blockchain. Dù thiệt hại trung bình mỗi ví không lớn như các vụ hack lớn trước đây, số lượng nạn nhân lại rất cao và phương thức tấn công rất tinh vi.
Thiệt hại trung bình mỗi ví rơi vào khoảng vài chục nghìn USD, và thống kê của ZachXBT đến ngày 30/5 cho thấy tổng số tiền bị rút lên đến hơn 9 triệu USD ở hơn 400 địa chỉ khác nhau. Điều đáng chú ý là cách thức tấn công: Email hoặc thông báo giả mạo MetaMask thông báo ví sẽ ngừng hoạt động nếu không "xác thực" việc nâng cấp. Trang xác thực yêu cầu người dùng kết nối ví và ký một giao dịch. Thực chất, chữ ký này là cấp quyền cho hợp đồng rút tiền. Ví sẽ bị rút sạch chỉ sau vài giây.
Phương thức tấn công diễn ra như thế nào?
Quy trình lừa đảo gồm 5 bước, khá đơn giản. Nạn nhân nhận được email hoặc thông báo đẩy trông giống như từ MetaMask với nội dung yêu cầu cập nhật hệ thống năm 2026 để ví tiếp tục hoạt động, và cảnh báo sẽ mất quyền truy cập nếu không nâng cấp trước ngày nhất định. Thông báo này kèm theo liên kết đến một tên miền trông rất giống metamask.io (ví dụ: metamasks-update.com, metamask-validator.io, secure-metamask.app,...).
Trang đích là bản sao gần như hoàn chỉnh của website MetaMask. Tại đây, người dùng được yêu cầu "xác minh" ví bằng cách nhấn nút mở WalletConnect. Sau đó, người dùng ký giao dịch mà không đọc kỹ. Giao dịch thực chất là setApprovalForAll cho token ERC-20, phê duyệt chuyển NFT, hoặc chữ ký permit cho phép hợp đồng rút toàn bộ tài sản trong ví.
Chỉ vài giây sau khi ký, hợp đồng rút tiền sẽ chuyển toàn bộ token trong ví sang địa chỉ do kẻ tấn công kiểm soát. Số tiền này nhanh chóng được chuyển sang các chuỗi khác, trộn qua các giải pháp như Tornado Cash, rồi gửi vào một số ví đích vẫn đang hoạt động.
Vì sao chiến dịch này hiệu quả?
Có ba yếu tố khiến chiến dịch này vượt trội so với các vụ lừa đảo ví thông thường. Thứ nhất, chất lượng giả mạo rất cao: các đợt trước thường dùng email giả với HTML lỗi, lỗi chính tả, tên miền lạ. Lần này, kẻ tấn công dùng bản sao chính xác, nội dung tốt, tên miền chuẩn bị trước, có SSL và uy tín.
Thứ hai là cảm giác cấp bách hợp lý. "Nâng cấp bắt buộc 2026" là thông điệp mà người dùng đã quen thuộc từ các phần mềm thật. Thông báo không đe dọa, không hứa thưởng, không yêu cầu seed phrase – chỉ yêu cầu xác thực.
Thứ ba là phạm vi đa chuỗi. Hợp đồng rút tiền được triển khai đồng thời trên Ethereum, Polygon, Arbitrum và Base, địa chỉ nhận tiền thay đổi linh hoạt theo chain người dùng đang kết nối. Các chiến dịch trước đây thường chỉ nhắm vào Ethereum và bỏ qua người dùng trên L2.
ZachXBT đã truy vết như thế nào?
Phân tích on-chain để liên kết các vụ tấn công theo quy trình chuẩn: ZachXBT xác định hợp đồng rút tiền đầu tiên trên Ethereum, lần theo giao dịch để tìm ví tài trợ. Ví này nhận các khoản chuyển nhỏ (gas drip) từ một hot wallet duy nhất, cũng cung cấp tiền cho các hợp đồng rút tiền trên Polygon, Arbitrum và Base. Hot wallet này lấy tiền từ sàn giao dịch tập trung cách đó ba tuần.
Dấu vết thường dừng lại ở lần rút từ sàn giao dịch. Đó là sàn offshore không KYC và không phản hồi yêu cầu của lực lượng chức năng. Theo giả thuyết của ZachXBT, đây là nhóm lừa đảo chuyên nghiệp, cho các "affiliate" thuê hạ tầng để lừa đảo, đổi lại phần trăm hoa hồng (20-30%) trên tổng số tiền chiếm đoạt.
Vì sao ví cứng sẽ bảo vệ hầu hết nạn nhân?
Điểm chung lớn nhất của các nạn nhân là hầu hết đều dùng ví nóng: extension MetaMask, ví di động, hoặc lưu ký phần mềm. Nếu dùng ví cứng (Ledger, Trezor) kết nối MetaMask, người dùng bắt buộc phải xác nhận chi tiết giao dịch trên màn hình thiết bị trước khi ký. Người dùng đọc kỹ sẽ thấy hợp đồng lạ hoặc yêu cầu "setApprovalForAll" và có thể từ chối.
Đây là lý do ví cứng được khuyến nghị. Hợp đồng rút tiền vẫn yêu cầu ký duyệt, nhưng thao tác xác nhận diễn ra trên thiết bị vật lý đáng tin cậy. Người dùng ví cứng thường không bấm "OK" vô thức như với trình duyệt, giúp giảm rủi ro.
Ngoài ra, các ví như MetaMask đã có tính năng mô phỏng giao dịch, hiện rõ nội dung yêu cầu phê duyệt và cảnh báo cấp quyền không giới hạn. Tính năng này mặc định bật ở các bản mới. Người dùng bản cũ hoặc không đọc kỹ vẫn có nguy cơ mất tài sản.
Người dùng ví EVM nên làm gì?
Các biện pháp phòng tránh đều đã được đề cập nhiều lần. Crypto security checklist là danh sách đầy đủ các bước cần làm. Xem mọi email hoặc thông báo về "nâng cấp bắt buộc" như một trường hợp lừa đảo. Cập nhật ví diễn ra bên trong ứng dụng, không qua liên kết từ email. Nếu nghi ngờ, hãy tự gõ URL chính thức, không nhấp vào liên kết lạ.
Hủy tất cả quyền cấp token không còn dùng. Công cụ miễn phí Revoke.cash giúp kiểm tra mọi quyền phê duyệt hiện có trên ví. Những quyền cấp đã lâu mà không còn dùng đến sẽ là điểm yếu. Hủy quyền và chỉ cấp lại khi thực sự cần. Dùng ví cứng cho địa chỉ lưu trữ nhiều tài sản. Nếu không thể, hãy dùng trình duyệt riêng cho crypto và không cài extension khác.
Chỉ ký giao dịch sau khi đã đọc kỹ nội dung. Dòng lệnh setApprovalForAll hoặc permit sẽ hiện rõ địa chỉ hợp đồng và phạm vi cấp quyền. Nếu thấy địa chỉ lạ hoặc phạm vi không giới hạn, nên từ chối.
Câu hỏi thường gặp
Làm sao biết mình có phải nạn nhân?
Kiểm tra lịch sử giao dịch ví, chú ý các giao dịch chuyển tiền hoặc phê duyệt mà mình không nhận ra trong 10 ngày gần đây. Công cụ Etherscan token approvals liệt kê mọi quyền phê duyệt đang hoạt động. Nếu có quyền đối với hợp đồng lạ, cần lưu ý. Nếu đã bị rút tiền, bạn nên báo cáo cho ZachXBT và cơ quan chức năng địa phương.
MetaMask có chặn các tên miền này không?
MetaMask có duy trì danh sách đen các tên miền lừa đảo và liên tục cập nhật. Tuy nhiên, kẻ tấn công luôn thay đổi tên miền mới nhanh hơn tốc độ cập nhật, nên đây chỉ là biện pháp hạn chế phần nào.
Ví L2 có an toàn hơn so với ví mainnet không?
Không. Các hợp đồng rút tiền trong chiến dịch này hoạt động trên mọi chain EVM. L2 chỉ rẻ hơn về phí gas, còn nguy cơ bị tấn công là như nhau.
Chuyển tiền lên sàn tập trung có an toàn hơn không?
Tùy vào mô hình bảo mật bạn lựa chọn. Sàn uy tín có bảo hiểm, lưu trữ lạnh, công khai dự trữ giúp giảm rủi ro lừa đảo, nhưng lại tăng rủi ro đối tác và nền tảng. Khuyến nghị phổ biến: lưu trữ dài hạn bằng ví cứng, dùng ví nóng cho DeFi nhỏ lẻ, và gửi lên sàn uy tín phần tài sản cần giao dịch.
Kết luận
Chiến dịch lừa đảo này đã lấy đi hơn 9 triệu USD từ hơn 400 ví chỉ trong một tuần. Hạ tầng rút tiền vẫn còn hoạt động, tên miền giả vẫn tiếp tục quay vòng và chất lượng giả mạo đủ cao để chiêu trò này còn tiếp tục có nạn nhân mới. Biện pháp phòng tránh không mới: ví cứng, cảnh giác với mọi email về "nâng cấp bắt buộc", thường xuyên kiểm tra và hủy quyền đã cấp, đọc kỹ nội dung ký giao dịch. Có khả năng trong hai tuần tới, chiến dịch sẽ chuyển sang giả mạo các ví lớn khác (Rabby, Phantom, Trust) khi chiêu trò MetaMask không còn hiệu quả. Hãy đối xử với mọi email về cập nhật ví như khi bạn nhận được yêu cầu mã PIN ngân hàng từ người lạ.
Bài viết này chỉ nhằm mục đích cung cấp thông tin và không được xem là lời khuyên tài chính hoặc đầu tư. Giao dịch tiền điện tử tiềm ẩn nhiều rủi ro. Luôn tự tìm hiểu kỹ trước khi đưa ra quyết định giao dịch.
