Một hacker đã lấy cắp hơn 440.000 USD bằng USDC sau khi chủ ví vô tình ký một chữ ký “permit” độc hại, theo cảnh báo được công bố hôm thứ Hai bởi nền tảng chống lừa đảo Scam Sniffer.
Vụ việc diễn ra trong bối cảnh thiệt hại từ các cuộc tấn công phishing tăng mạnh. Riêng tháng 11, khoảng 7,77 triệu USD bị rút khỏi hơn 6.000 nạn nhân—tăng 137% so với tháng 10, dù số nạn nhân giảm 42%.
Theo báo cáo, “whale hunting” tiếp tục gia tăng với vụ lớn nhất đạt 1,22 triệu USD chỉ từ một chữ ký permit, cho thấy dù số vụ giảm nhưng mức độ thiệt hại mỗi nạn nhân lại tăng đáng kể.
Lừa đảo Permit là gì?
Các vụ lừa đảo dạng permit khai thác việc đánh lừa người dùng ký một giao dịch nhìn có vẻ hợp lệ nhưng thực chất trao cho kẻ tấn công quyền tiêu tiền của họ. Nhiều dApp độc hại ngụy trang nội dung, giả mạo tên hợp đồng hoặc tạo yêu cầu ký trông như thao tác thường ngày.
Nếu người dùng không kiểm tra kỹ, chữ ký đó sẽ cấp phép cho kẻ tấn công toàn quyền sử dụng token ERC-20 trong ví. Sau khi được cấp phép, chúng thường rút sạch tiền ngay lập tức.
Phương thức này lợi dụng hàm permit của Ethereum — vốn được thiết kế để tạo thuận tiện cho việc ủy quyền chi tiêu cho ứng dụng đáng tin cậy. Tuy nhiên, sự tiện lợi trở thành lỗ hổng khi quyền này rơi vào tay kẻ xấu.
Một sáng kiến liên cơ quan mới đã được triển khai nhằm triệt phá các mạng lưới lừa đảo crypto quốc tế, đặc biệt là các mô hình “pig butchering” gây thiệt hại hàng tỷ USD trong những năm gần đây. Nhiều cơ quan như DOJ, FBI, Secret Service và Bộ Tài chính Mỹ sẽ phối hợp để truy quét các nhóm tội phạm này.
Vì sao permit scam khó nhận biết?
Tara Annison, trưởng bộ phận sản phẩm tại Twinstake, cho biết điểm nguy hiểm là kẻ tấn công có thể rút tiền ngay trong một giao dịch hoặc chờ đợi đến khi nạn nhân nạp thêm token vào ví — miễn là chúng đã đặt thời hạn hiệu lực chữ ký đủ dài.
“Thành công của loại lừa đảo này nằm ở việc người dùng ký vào thứ họ không hiểu rõ. Nó khai thác sự chủ quan và tâm lý nóng vội của con người,” bà nói.
Bà cũng cho biết đây không phải là vụ hiếm gặp. Nhiều cuộc tấn công phishing giá trị lớn thường mạo danh airdrop miễn phí, trang web dự án giả mạo hoặc cảnh báo bảo mật giả để dụ người dùng kết nối ví và ký giao dịch.
Ví crypto tăng cường cảnh báo — nhưng chưa đủ
Các ví như MetaMask đã bổ sung tính năng cảnh báo trang web đáng ngờ và chuyển dữ liệu giao dịch sang dạng dễ hiểu hơn. Một số ví khác cũng làm nổi bật các thao tác có rủi ro cao. Tuy vậy, kẻ tấn công liên tục thay đổi chiến thuật.
Harry Donnelly, nhà sáng lập Circuit, cảnh báo rằng tấn công dạng permit “khá phổ biến” và người dùng cần kiểm tra địa chỉ gửi, hợp đồng liên quan và đặc biệt là giới hạn cấp phép — trong nhiều trường hợp kẻ xấu yêu cầu quyền chi tiêu không giới hạn.
Cách tự bảo vệ
Annison nhấn mạnh rằng kiểm tra kỹ những gì bạn sắp ký vẫn là tuyến phòng thủ quan trọng nhất:
- Hiểu rõ hành động nào sẽ xảy ra sau khi ký
- Kiểm tra chức năng đang được gọi có đúng với thao tác mình mong muốn hay không
- Không ký chỉ vì dapp yêu cầu hoặc vì lời hứa nhận thưởng
Nhiều ví đã cải thiện giao diện để giúp người dùng dễ hiểu hơn, nhưng việc cảnh giác vẫn phụ thuộc vào chính người dùng.
Theo Martin Derka, đồng sáng lập Zircuit Finance, khả năng lấy lại tiền “gần như bằng 0”.
Ông cho biết trong các cuộc tấn công phishing, nạn nhân không biết kẻ đối diện là ai, không có điểm liên hệ và kẻ tấn công luôn chỉ có một mục tiêu: lấy tiền rồi biến mất. “Một khi tiền đã đi, xem như mất hẳn,” ông nói.
Thạch Sanh
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
ETH vượt qua 2100 USDT, mức giảm trong 24 giờ thu hẹp còn 1,7%
Tin tức Gate News, vào ngày 7 tháng 4, theo biến động trên một CEX, ETH đã vượt 2100 USDT, hiện đang ở mức 2100.24 USDT, biên độ giảm trong 24 giờ đã thu hẹp xuống còn 1.7%.
GateNews37phút trước
ETH tăng 0,58% trong 15 phút: các giao dịch chuyển khoản giá trị lớn trên chuỗi làm tăng thanh khoản, kết hợp với áp lực bán từ ETF giảm bớt đã đẩy lực mua giao ngay lên
2026-04-07 17:30 đến 17:45 (UTC), trong vòng 15 phút, tỷ suất lợi nhuận của ETH là +0,58%, phạm vi giá từ 2085.28 đến 2115.38 USDT, biên độ đạt 1,44%. Khoảng thời gian này giao dịch diễn ra sôi động, mức độ quan tâm của thị trường tăng nhanh, biến động ngắn hạn gia tăng, tính thanh khoản của dòng vốn được cải thiện rõ rệt.
Động lực chính của đợt biến động này là các chuyển khoản giá trị lớn trên chuỗi tập trung xảy ra, một phần vốn nắm giữ lâu dài chuyển sang địa chỉ sàn giao dịch, từ đó nâng cao mạnh tính thanh khoản của thị trường, kéo theo độ dày của lệnh mua giao ngay (spot) tăng lên. Ngoài ra, xu hướng dòng tiền ETF chảy ra trong khung thời gian này đã giảm
GateNews50phút trước
BlackRock đã rút 2.607 BTC và 28.391 ETH từ một nền tảng lưu ký nào đó
Tin tức Cổng (Gate News), ngày 7 tháng 4, theo dõi của Lookonchain cho thấy BlackRock đã rút 2607 BTC (giá trị 177.56M USD) và 28391 ETH (giá trị 59,00 triệu USD) từ một nền tảng lưu ký.
GateNews2giờ trước
Cảnh báo từ Charles Schwab: Phân bổ danh mục 1%-3% vào BTC/ETH là đủ để ảnh hưởng rõ rệt đến đặc trưng rủi ro
Tin tức Cổng Tin (Gate News): Ngày 7 tháng 4, gã khổng lồ tài chính Mỹ Charles Schwab công bố cảnh báo nghiên cứu, cho biết ngay cả khi chỉ phân bổ 1%-3% vốn trong danh mục đầu tư cho Bitcoin hoặc Ethereum, cũng có thể làm thay đổi đáng kể các đặc trưng rủi ro tổng thể của danh mục. Bản nghiên cứu nêu rằng cả Bitcoin và Ethereum trong lịch sử đều từng ghi nhận mức sụt giảm trên 70%, cao hơn nhiều so với mức biến động của cổ phiếu hoặc trái phiếu; vì vậy, dù phân bổ nhỏ cũng có thể tạo ra tác động rõ rệt trong giai đoạn thị trường biến động. Charles Schwab đề xuất hai phương pháp phân bổ tài sản tiền mã hóa: một là theo lý thuyết danh mục đầu tư truyền thống, dựa trên lợi suất kỳ vọng, độ biến động và hệ số tương quan để phân bổ; hai là theo phương pháp dựa trên rủi ro, quyết định tỷ trọng tài sản tiền mã hóa dựa trên mức rủi ro sẵn sàng gánh chịu, từ đó chuyển trọng tâm từ lợi nhuận sang năng lực chịu đựng rủi ro.
GateNews3giờ trước
Đề xuất tiêu chuẩn mới của Ethereum ERC-8211 được công bố, hỗ trợ tác nhân AI thực hiện các giao dịch DeFi phức tạp
Biconomy đề xuất chuẩn Ethereum mới ERC-8211 giới thiệu cơ chế “xử lý hàng loạt thông minh”, cho phép các tác nhân AI thực hiện động nhiều bước thao tác DeFi trong một giao dịch duy nhất, giải quyết hiệu quả các vấn đề do biến động giá và thay đổi phí gây ra, phù hợp với chiến lược của Ethereum Foundation nhằm cải thiện trải nghiệm người dùng.
GateNews4giờ trước
SharpLink Lợi nhuận tích lũy từ staking Ethereum đạt 16,947 ETH
Tin tức từ Gate News, ngày 7 tháng 4, công ty SharpLink của kho bạc Ethereum đã đăng trên nền tảng X rằng kể từ khi triển khai chiến lược kho bạc ETH, lợi nhuận tích lũy từ phần thưởng đặt cược Ethereum của công ty đã đạt 16,947 ETH. Ngoài ra, phần thưởng đặt cược Ethereum mà SharpLink nhận được tuần trước là 511 ETH.
GateNews4giờ trước
