Chiến dịch Atlantic: Đóng băng 12 triệu USD tiền điện tử từ lừa đảo phê duyệt ví – Cách phòng tránh

Bốn cơ quan thực thi pháp luật từ ba quốc gia đã hợp tác trong một tuần cuối tháng 3 năm 2026 để truy vết tiền điện tử bị đánh cắp trên hơn 30 quốc gia. Kết quả, 12 triệu USD đã bị đóng băng, hơn 20.000 địa chỉ ví bị đánh dấu là bị xâm phạm và 120 trang web lừa đảo bị gỡ bỏ. Chiến dịch này, mang tên Atlantic, do Sở Mật vụ Hoa Kỳ, Cơ quan Tội phạm Quốc gia Anh (NCA), Cảnh sát tỉnh Ontario và Ủy ban Chứng khoán Ontario phối hợp tổ chức. Tổng số tiền gian lận phát hiện vượt 45 triệu USD, với 33 triệu USD vẫn đang trong quá trình điều tra.

Hầu hết các vụ việc đều sử dụng phương thức lừa đảo phê duyệt (approval phishing), tức là tấn công kỹ thuật xã hội không đánh cắp khoá riêng hay cụm từ khôi phục ví của bạn. Kẻ gian đánh lừa bạn ký một giao dịch duy nhất, cho phép họ quyền truy cập vào toàn bộ token trong ví. Bạn không cung cấp mật khẩu, chỉ nhấn "phê duyệt" trên một thông báo ví có vẻ bình thường, và từ đó, tài sản của bạn có thể bị rút bất cứ lúc nào.

Dưới đây là những gì Chiến dịch Atlantic phát hiện, cách hoạt động kỹ thuật của lừa đảo phê duyệt và các bước cần thực hiện để bảo vệ ví của bạn.

Chiến dịch Atlantic đã làm gì?

Chiến dịch diễn ra trong một tuần vào cuối tháng 3 và đầu tháng 4 năm 2026. Sở Mật vụ Hoa Kỳ công bố kết quả vào ngày 9 tháng 4, gọi đây là chiến dịch phối hợp đa quốc gia đầu tiên nhắm vào lừa đảo phê duyệt trên quy mô lớn.

Các chỉ số đã cho thấy rõ vấn đề. Điều tra viên xác định hơn 20.000 địa chỉ ví liên quan đến nạn nhân trên hơn 30 quốc gia, bao gồm Mỹ, Anh và Canada. Trong số này, lực lượng chức năng đã liên hệ trực tiếp với hơn 3.000 nạn nhân, cảnh báo ví của họ đã bị xâm phạm và trong một số trường hợp đã đóng băng quỹ trước khi kẻ gian kịp chuyển đi. Một nạn nhân tại Anh đã mất khoảng 52.000 GBP chỉ qua một giao dịch phê duyệt.

Bên cạnh việc đóng băng 12 triệu USD, nhóm còn gỡ bỏ 120 tên miền web được kẻ gian sử dụng để dựng các giao diện DeFi giả, trang nhận airdrop giả, và giả mạo cửa sổ kết nối ví. The Block đưa tin rằng 33 triệu USD còn lại vẫn đang được truy vết, nghĩa là Chiến dịch Atlantic còn tiếp diễn.

Chainalysis cung cấp nền tảng phân tích blockchain cho chiến dịch, hỗ trợ truy vết, nhận diện ví nạn nhân và kết nối hạ tầng lừa đảo trên nhiều chuỗi. Việc một công ty phân tích blockchain tư nhân hợp tác cùng bốn cơ quan thực thi pháp luật xuyên quốc gia cho thấy phân tích on-chain ngày càng quan trọng trong phòng chống gian lận tiền điện tử hiện nay.

Cách lừa đảo phê duyệt hoạt động (Phiên bản kỹ thuật)

Lừa đảo phê duyệt khai thác một tính năng giúp DeFi hoạt động, chứ không phải lỗ hổng. Khi bạn swap token trên sàn phi tập trung, cho vay qua các giao thức như Aave hoặc mint NFT, bạn phải phê duyệt hợp đồng thông minh được quyền sử dụng token thay mặt bạn. Giao thức ERC-20 có hàm approve() với hai tham số: địa chỉ được phép tiêu (spender) và số lượng token.

Các giao thức uy tín chỉ yêu cầu phê duyệt đúng số lượng bạn chuẩn bị dùng. Nhưng về kỹ thuật, hàm này không giới hạn mức trần. Hợp đồng độc hại có thể yêu cầu phê duyệt không giới hạn – tức là được quyền tiêu toàn bộ token loại đó trong ví của bạn, không thời hạn.

Đây là điểm cốt lõi của lỗ hổng. Kẻ tấn công không cần cụm từ khôi phục, khoá riêng hay mật khẩu của bạn. Họ chỉ cần một chữ ký trên một giao dịch, và dễ dàng đạt được bằng cách trình bày thông báo phê duyệt trông giống như quy trình thông thường.

Tấn công thường diễn ra qua ba bước: Kẻ gian tạo một trang web giả mạo một giao thức DeFi uy tín, trang nhận airdrop hoặc công cụ xác minh ví. Khi bạn kết nối ví, trang sẽ kích hoạt một giao dịch phê duyệt. Nếu bạn xác nhận mà không kiểm tra kỹ, bạn đã cấp phép cho địa chỉ của kẻ tấn công được quyền tiêu toàn bộ token loại đó. Kẻ gian có thể đợi vài ngày hoặc vài tuần, sau đó thực hiện lệnh transferFrom() để chuyển token đi bất kỳ lúc nào.

Một biến thể mới gọi là lừa đảo chữ ký permit càng khó phát hiện hơn. Thay vì ký giao dịch on-chain, nạn nhân chỉ ký một thông điệp off-chain cho phép chuyển token. Vì chỉ là chữ ký, không ghi lại trên lịch sử giao dịch, kẻ gian có thể gửi lệnh sau và tài sản biến mất mà bạn không nhận ra.

Vì sao lừa đảo phê duyệt trở thành hình thức lừa đảo tiền điện tử phổ biến

Số liệu cho thấy xu hướng này. Theo Báo cáo Tội phạm Tiền điện tử 2026 của Chainalysis, tổn thất do lừa đảo phê duyệt vượt 1 tỷ USD trong hai năm 2024–2025. Nghiên cứu bảo mật khác ghi nhận riêng tháng 1/2026, các vụ tấn công dạng này đã làm bốc hơi khoảng 300 triệu USD, chủ yếu do phê duyệt giả mạo.

Nguồn: Chainalysis

Nguyên nhân chủ yếu là yếu tố kinh tế. Các cuộc tấn công truyền thống (lỗi hợp đồng thông minh, vay chớp nhoáng, lỗ hổng bridge) đòi hỏi kỹ năng kỹ thuật cao và thời gian dài dò tìm điểm yếu. Lừa đảo phê duyệt chỉ cần website giả và hiểu biết cơ bản về Solidity. Kẻ gian làm một giao diện giả, quảng bá qua mạng xã hội, airdrop giả hoặc server Discord bị chiếm quyền, rồi thu hoạch các phê duyệt trên diện rộng. Mỗi phê duyệt là một quả bom nổ chậm mà nạn nhân có thể không phát hiện cho tới khi ví trống rỗng.

Các phê duyệt này không bao giờ hết hạn. Nếu bạn từng dùng một giao thức DeFi không rõ nguồn gốc vào năm 2023 và phê duyệt không giới hạn, quyền đó vẫn còn cho đến khi bạn chủ động thu hồi. Các phê duyệt cũ là "mỏ vàng" cho kẻ gian mua hoặc đánh cắp dữ liệu ví đã có quyền tiêu sẵn.

Cách kiểm tra và thu hồi quyền phê duyệt token

Ưu điểm của lừa đảo phê duyệt so với việc mất khoá riêng là bạn vẫn có thể tự bảo vệ nếu phát hiện sớm: Thu hồi quyền phê duyệt trước khi tài sản bị rút, quyền này sẽ vô hiệu.

Hãy truy cập Revoke.cash và kết nối ví của bạn. Công cụ này sẽ quét tất cả quyền phê duyệt bạn từng cấp trên Ethereum, Polygon, BSC, Arbitrum và các chuỗi EVM khác, cho biết hợp đồng nào đang có quyền tiêu token của bạn và mức giới hạn của từng quyền.

Hãy kiểm tra các phê duyệt dành cho hợp đồng lạ, phê duyệt không giới hạn hoặc phê duyệt ở thời điểm bạn không nhớ mình từng tương tác với site nào. Bất kỳ quyền nào bạn không chủ động cấp cho giao thức uy tín, nên thu hồi ngay.

Nhấn "revoke" ở từng dòng nghi ngờ, một giao dịch on-chain sẽ được gửi đặt lại quyền về 0 (có phí gas nhỏ). Sau khi thu hồi, hợp đồng đó không thể chuyển token của bạn.

Nên thực hiện việc này hàng tháng, vì quyền phê duyệt tích luỹ dần mà bạn không nhận ra. Ví từng hoạt động DeFi hai năm có thể có hàng chục quyền phê duyệt, mỗi quyền đều là rủi ro tiềm tàng nếu hợp đồng bị tấn công hoặc vốn là hợp đồng giả mạo.

Với ví lưu trữ giá trị lớn, biện pháp phòng vệ tốt nhất là dùng ví phần cứng làm kho lạnh, không bao giờ kết nối trực tiếp DeFi. Sử dụng ví nóng riêng với số dư nhỏ cho các hoạt động DeFi, và luôn kiểm tra kỹ mọi thông báo phê duyệt như khi bảo vệ tài khoản ngân hàng.

Ý nghĩa của Chiến dịch Atlantic với tương lai phòng chống gian lận tiền điện tử

Chiến dịch Atlantic là một mô hình mẫu cho các chiến dịch tương lai. Bốn cơ quan (Mỹ, Anh, Canada cùng đối tác phân tích tư nhân Chainalysis) đại diện cho mô hình hợp tác mới, nơi các công ty phân tích blockchain đóng vai trò đơn vị tình báo hỗ trợ lực lượng chức năng.

Việc liên hệ trực tiếp với 3.000 nạn nhân là một chi tiết đáng chú ý. Điều tra gian lận tài chính truyền thống thường xác định nạn nhân sau nhiều năm. Nhờ blockchain minh bạch, lực lượng chức năng có thể xác định và cảnh báo nạn nhân theo thời gian thực trước khi bị mất thêm 33 triệu USD. Lợi thế tốc độ này là điểm khác biệt của tiền điện tử.

Tuy nhiên, việc đóng băng 12 triệu trên tổng 45 triệu USD cho thấy khoảng 73% tài sản bị đánh cắp vẫn nằm ngoài kiểm soát. Con số này chỉ là phần nhỏ so với tổng thiệt hại do lừa đảo phê duyệt trên toàn cầu. Dù mô hình hoạt động hiệu quả, thách thức sắp tới là mở rộng quy mô xử lý. Nhiều chiến dịch Atlantic tương tự dự kiến sẽ triển khai trong 2026–2027 với sự tham gia của Europol, INTERPOL và các nhà quản lý tài chính châu Á.

Câu hỏi thường gặp

Lừa đảo phê duyệt trong tiền điện tử là gì?

Lừa đảo phê duyệt khiến bạn ký giao dịch cấp quyền cho kẻ gian được tiêu token của bạn, mà không cần khoá riêng hay seed phrase. Họ lợi dụng chức năng chuẩn ERC-20 có mặt ở mọi giao thức DeFi, biến thao tác ví thường ngày thành "cửa ngõ" mất tài sản.

Nếu bị lừa phê duyệt, tôi có lấy lại được tài sản không?

Nếu quyền phê duyệt chưa bị sử dụng, thu hồi ngay sẽ bảo vệ phần tài sản còn lại. Nếu tài sản đã bị rút, khả năng thu hồi phụ thuộc vào các chiến dịch như Atlantic, vốn đã đóng băng 12 triệu USD để hoàn trả cho nạn nhân tiềm năng. Cơ hội tăng lên nếu bạn báo cáo ngay cho cơ quan chức năng và IC3 (Trung tâm Khiếu nại Tội phạm Internet của FBI).

Làm thế nào biết ví của tôi đã bị dính lừa đảo phê duyệt?

Kết nối ví với Revoke.cash và rà soát các quyền phê duyệt đang mở. Bất cứ quyền "không giới hạn" nào cấp cho hợp đồng lạ là tín hiệu nguy hiểm. Kiểm tra cả các quyền được cấp vào thời điểm bạn từng nhấp liên kết lạ hoặc nhận airdrop không rõ nguồn gốc.

Giữ tiền điện tử trên sàn giao dịch có tránh được lừa đảo phê duyệt không?

Có, vì lừa đảo phê duyệt chỉ tác động tới ví tự lưu ký (self-custody) khi bạn tự ký giao dịch. Tài sản trên sàn giao dịch được quản lý bởi sàn, không tiếp xúc trực tiếp với hợp đồng thông minh bên ngoài nên không bị lừa phê duyệt. Tuy nhiên, bạn sẽ phụ thuộc vào hệ thống bảo mật của sàn thay vì tự kiểm soát.

Kết luận

Chiến dịch Atlantic cho thấy lừa đảo phê duyệt là rủi ro gian lận tiền điện tử hàng đầu mà các lực lượng thực thi luật pháp đang ưu tiên đối phó. 12 triệu USD bị đóng băng, tổng thiệt hại xác định là 45 triệu USD, nhưng chỉ riêng tháng 1/2026 đã có 300 triệu USD thất thoát cho thấy quy mô tấn công vượt xa khả năng can thiệp hiện tại. Bài học thực tiễn rất rõ: Mỗi quyền phê duyệt đang mở trong ví là một rủi ro tồn tại vĩnh viễn cho đến khi bạn chủ động thu hồi. Nếu bạn từng dùng DeFi nhưng chưa kiểm tra quyền phê duyệt, hãy chủ động rà soát bằng Revoke.cash – chỉ mất vài phút và là biện pháp bảo vệ tối ưu nhất hiện nay cho ví tự lưu ký.

Bài viết này chỉ nhằm mục đích cung cấp thông tin, không phải khuyến nghị tài chính hoặc đầu tư. Giao dịch tiền điện tử tiềm ẩn rủi ro đáng kể. Luôn tự nghiên cứu kỹ trước khi quyết định.