Một hacker đã lấy cắp hơn 440.000 USD bằng USDC sau khi chủ ví vô tình ký một chữ ký “permit” độc hại, theo cảnh báo được công bố hôm thứ Hai bởi nền tảng chống lừa đảo Scam Sniffer.
Vụ việc diễn ra trong bối cảnh thiệt hại từ các cuộc tấn công phishing tăng mạnh. Riêng tháng 11, khoảng 7,77 triệu USD bị rút khỏi hơn 6.000 nạn nhân—tăng 137% so với tháng 10, dù số nạn nhân giảm 42%.
Theo báo cáo, “whale hunting” tiếp tục gia tăng với vụ lớn nhất đạt 1,22 triệu USD chỉ từ một chữ ký permit, cho thấy dù số vụ giảm nhưng mức độ thiệt hại mỗi nạn nhân lại tăng đáng kể.
Lừa đảo Permit là gì?
Các vụ lừa đảo dạng permit khai thác việc đánh lừa người dùng ký một giao dịch nhìn có vẻ hợp lệ nhưng thực chất trao cho kẻ tấn công quyền tiêu tiền của họ. Nhiều dApp độc hại ngụy trang nội dung, giả mạo tên hợp đồng hoặc tạo yêu cầu ký trông như thao tác thường ngày.
Nếu người dùng không kiểm tra kỹ, chữ ký đó sẽ cấp phép cho kẻ tấn công toàn quyền sử dụng token ERC-20 trong ví. Sau khi được cấp phép, chúng thường rút sạch tiền ngay lập tức.
Phương thức này lợi dụng hàm permit của Ethereum — vốn được thiết kế để tạo thuận tiện cho việc ủy quyền chi tiêu cho ứng dụng đáng tin cậy. Tuy nhiên, sự tiện lợi trở thành lỗ hổng khi quyền này rơi vào tay kẻ xấu.
Một sáng kiến liên cơ quan mới đã được triển khai nhằm triệt phá các mạng lưới lừa đảo crypto quốc tế, đặc biệt là các mô hình “pig butchering” gây thiệt hại hàng tỷ USD trong những năm gần đây. Nhiều cơ quan như DOJ, FBI, Secret Service và Bộ Tài chính Mỹ sẽ phối hợp để truy quét các nhóm tội phạm này.
Vì sao permit scam khó nhận biết?
Tara Annison, trưởng bộ phận sản phẩm tại Twinstake, cho biết điểm nguy hiểm là kẻ tấn công có thể rút tiền ngay trong một giao dịch hoặc chờ đợi đến khi nạn nhân nạp thêm token vào ví — miễn là chúng đã đặt thời hạn hiệu lực chữ ký đủ dài.
“Thành công của loại lừa đảo này nằm ở việc người dùng ký vào thứ họ không hiểu rõ. Nó khai thác sự chủ quan và tâm lý nóng vội của con người,” bà nói.
Bà cũng cho biết đây không phải là vụ hiếm gặp. Nhiều cuộc tấn công phishing giá trị lớn thường mạo danh airdrop miễn phí, trang web dự án giả mạo hoặc cảnh báo bảo mật giả để dụ người dùng kết nối ví và ký giao dịch.
Ví crypto tăng cường cảnh báo — nhưng chưa đủ
Các ví như MetaMask đã bổ sung tính năng cảnh báo trang web đáng ngờ và chuyển dữ liệu giao dịch sang dạng dễ hiểu hơn. Một số ví khác cũng làm nổi bật các thao tác có rủi ro cao. Tuy vậy, kẻ tấn công liên tục thay đổi chiến thuật.
Harry Donnelly, nhà sáng lập Circuit, cảnh báo rằng tấn công dạng permit “khá phổ biến” và người dùng cần kiểm tra địa chỉ gửi, hợp đồng liên quan và đặc biệt là giới hạn cấp phép — trong nhiều trường hợp kẻ xấu yêu cầu quyền chi tiêu không giới hạn.
Cách tự bảo vệ
Annison nhấn mạnh rằng kiểm tra kỹ những gì bạn sắp ký vẫn là tuyến phòng thủ quan trọng nhất:
- Hiểu rõ hành động nào sẽ xảy ra sau khi ký
- Kiểm tra chức năng đang được gọi có đúng với thao tác mình mong muốn hay không
- Không ký chỉ vì dapp yêu cầu hoặc vì lời hứa nhận thưởng
Nhiều ví đã cải thiện giao diện để giúp người dùng dễ hiểu hơn, nhưng việc cảnh giác vẫn phụ thuộc vào chính người dùng.
Theo Martin Derka, đồng sáng lập Zircuit Finance, khả năng lấy lại tiền “gần như bằng 0”.
Ông cho biết trong các cuộc tấn công phishing, nạn nhân không biết kẻ đối diện là ai, không có điểm liên hệ và kẻ tấn công luôn chỉ có một mục tiêu: lấy tiền rồi biến mất. “Một khi tiền đã đi, xem như mất hẳn,” ông nói.
Thạch Sanh
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Bitmine công bố số lượng ETH nắm giữ 4,53 triệu trị giá 9,14 tỷ USD, Tom Lee gọi đó là kết thúc 'Mùa đông Crypto nhỏ'
Bitmine Immersion Technologies, công ty quỹ Ethereum lớn nhất toàn cầu, đã công bố vào ngày 9 tháng 3 năm 2026 rằng tổng số tiền nắm giữ bằng tiền điện tử và tiền mặt của họ là 10,3 tỷ đô la, bao gồm 4.534.563 ETH trị giá khoảng 9,14 tỷ đô la, 195 Bitcoin, $200 triệu đô la trong các khoản đầu tư chiến lược, và 1,2 tỷ đô la tiền mặt.
CryptopulseElite11phút trước
Những con cá mập lớn của ETH OG với chi phí 10.37 USD vào năm 2016 dường như đang thanh lý, cách đây 4 giờ đã chuyển 5082 ETH vào một sàn CEX nào đó
Thông tin ngày 10 tháng 3, một cá mập ETH lớn đã bán sạch với chi phí 10.37 USD vào năm 2016, cuối cùng nạp 5082 ETH vào CEX, dự kiến lợi nhuận 10,215,000 USD. Nguồn vốn của họ có thể truy nguyên từ 23,300.79 ETH rút ra vào năm 2016, với chi phí chỉ 241,000 USD.
GateNews15phút trước
Vitalik đề xuất cơ chế đặt cược một chạm, Quỹ Ethereum đầu tư 72.000 ETH
Quỹ Ethereum đang sử dụng công nghệ DVT-lite để staking khoảng 72,000 ETH, nhằm giảm độ phức tạp của việc staking và nâng cao mức độ phi tập trung. Vitalik Buterin đề xuất đơn giản hóa các thao tác để các tổ chức phi chuyên nghiệp cũng có thể dễ dàng tham gia staking, nhấn mạnh rằng không nên phụ thuộc vào các chuyên gia. Hành động này sẽ giúp nâng cao độ bền vững và tính minh bạch của hệ thống.
MarketWhisper37phút trước
Bitmine tích trữ 453.5 triệu ETH, xưng vương bảng xếp hạng kho bạc Ethereum toàn cầu
Công ty niêm yết Bitmine Immersion Technologies tính đến ngày 8 tháng 3 đang nắm giữ 4.534.563 ETH, tổng tài sản đạt 10.3 tỷ USD, trở thành kho chứa Ethereum lớn nhất thế giới dành cho các tổ chức. Lợi nhuận staking hàng năm đã đạt 174 triệu USD, dự kiến sẽ tăng lên 259 triệu USD khi mạng MAVAN đi vào hoạt động. Mục tiêu của Bitmine là mua lại 5% lượng lưu hành của Ethereum, hiện đã đạt trên 75%.
MarketWhisper43phút trước
Trump tuyên bố dỡ bỏ lệnh trừng phạt dầu mỏ, Bitcoin vọt lên 69.500 USD, Ethereum vượt 2.053, khoản bị thanh lý đạt 3,42 tỷ USD
Bitcoin và Ethereum đã phục hồi sau khi Trump tuyên bố sẽ tạm hoãn một phần lệnh trừng phạt dầu mỏ, Bitcoin đạt mức cao nhất 69,537 USD, Ethereum từng đạt 2,053 USD. Giá dầu giảm mạnh làm giảm áp lực lạm phát, kỳ vọng thanh khoản thị trường được cải thiện, các tài sản rủi ro tăng giá. Tuy nhiên, các nhà phân tích cảnh báo xung đột Mỹ-Iran vẫn có thể ảnh hưởng đến vận chuyển qua eo biển Hormuz, sự giảm giá toàn cầu của dầu vẫn còn nhiều không chắc chắn.
動區BlockTempo1giờ trước
Ví được đánh dấu là BitMine đã chuyển 5300 ETH đến dịch vụ lưu ký của một CEX cách đây 3 giờ
Tin tức Gate News, ngày 10 tháng 3, theo phân tích trên chuỗi của nhà phân tích Yu Yan, một ví được gắn nhãn thuộc về BitMine đã chuyển 5300 ETH (giá trị 10,75 triệu USD) vào dịch vụ lưu ký của một CEX cách đây 3 giờ.
GateNews1giờ trước
