Tiết lộ lừa đảo mới của MetaMask: Giả mạo xác thực hai yếu tố (2FA) để dụ người dùng nhập seed phrase, những điểm yếu này có thể cứu bạn

Gần đây, người dùng MetaMask đang đối mặt với một hình thức lừa đảo phishing mới tinh vi và giả mạo cao. Theo thông tin mới nhất, công ty an ninh blockchain SlowMist cảnh báo rằng kẻ tấn công đang lợi dụng danh nghĩa “kích hoạt xác thực hai yếu tố (2FA)” để dụ người dùng tiết lộ chủ động seed phrase của ví. Loại lừa đảo này đã gây ra thiệt hại thực tế, trong đó có hàng trăm ví EVM bị đánh cắp, hơn 10.000 USD bị trộm. Vấn đề then chốt là: các chiêu trò lừa đảo này trông có vẻ thật đến mức nào, bạn có thể nhận biết không?

Phương thức lừa đảo: từng bước dẫn đến bẫy

Quy trình lừa đảo hoàn chỉnh

Chiêu trò của kẻ tấn công gồm bốn bước:

• Bước 1: Gửi email giả mạo. Nạn nhân nhận được email trông như đến từ chính thức của MetaMask, chứa logo thương hiệu và cảnh báo an ninh, tuyên bố cần kích hoạt ngay xác thực hai yếu tố để “bảo vệ an toàn tài sản”
• Bước 2: Tạo cảm giác cấp bách. Email kèm theo đếm ngược, dụ người dùng nhanh chóng nhấn “Kích hoạt ngay” trong áp lực
• Bước 3: Chuyển hướng đến trang giả mạo. Khi nhấn vào liên kết, người dùng được dẫn đến trang mô phỏng do kẻ tấn công xây dựng, gần như không thể phân biệt
• Bước 4: Dụ dỗ nhập seed phrase. Trang giả yêu cầu người dùng hoàn tất quy trình xác thực 2FA giả, mục đích thực sự chỉ là để lấy cắp seed phrase

Tại sao lộ seed phrase nguy hiểm nhất

Cần làm rõ một điểm: seed phrase tương đương với quyền cao nhất của ví. Một khi bị lộ, kẻ tấn công có thể chuyển toàn bộ tài sản trong thời gian ngắn, gần như không thể thu hồi. Đây không phải là tài khoản bị khóa, mà là mất hoàn toàn quyền kiểm soát ví.

Nhận diện điểm yếu của lừa đảo

Dù các email phishing này được thiết kế tinh vi, nhưng không hoàn hảo tuyệt đối. Theo phân tích của các chuyên gia an ninh, các trang lừa đảo và email có những điểm bất thường nhỏ nhưng quan trọng:

Nguyên tắc phòng thủ quan trọng nhất

Chính sách rõ ràng của MetaMask

Cần nhấn mạnh: MetaMask chính thức sẽ không gửi email yêu cầu người dùng xác minh tài khoản, kích hoạt tính năng bảo mật hoặc nhập seed phrase. Bất kỳ yêu cầu nào như vậy đều gần như chắc chắn là lừa đảo.

Người dùng nên làm gì

• Không bao giờ tiết lộ seed phrase cho bất kỳ trang web hoặc email nào, dù lý do có thuyết phục đến đâu
• Luôn cập nhật ví qua các kênh chính thức và kiểm tra thông tin an ninh
• Cảnh giác cao với các email lạ, đặc biệt liên quan đến xác minh an ninh
• Thường xuyên kiểm tra quyền ủy quyền của ví, dùng các công cụ như Rabby để kiểm tra rủi ro
• Với tài sản lớn, cân nhắc chuyển sang ví phần cứng như Ledger, Trezor

Bối cảnh lớn hơn: lừa đảo phishing đang nâng cấp

Đây không phải là sự kiện đơn lẻ. Gần đây, người dùng tiền mã hóa liên tục gặp các vụ tấn công phishing và phần mềm độc hại, bao gồm cập nhật ứng dụng MetaMask giả mạo, mở rộng trình duyệt Trust Wallet chứa mã độc, và phát tán ứng dụng Eternl Desktop giả mạo dành cho người dùng Cardano. Các cuộc tấn công này bao phủ nhiều mạng lưới EVM tương thích, số lượng nạn nhân rộng lớn.

Thú vị là, theo dữ liệu mới nhất, tổng thiệt hại do lừa đảo phishing tiền mã hóa năm 2025 giảm gần 88% so với cùng kỳ. Nhưng điều này không có nghĩa là mối đe dọa đã biến mất, mà là các phương thức tấn công ngày càng tinh vi và “tin cậy hơn”. Nói cách khác, tỷ lệ thành công có thể cao hơn.

Tóm lại

Vụ lừa đảo phishing MetaMask lần này nhắc nhở chúng ta ba điểm cốt lõi:

Thứ nhất, seed phrase là “cốt lõi” của ví, một khi lộ ra đồng nghĩa với mất quyền kiểm soát hoàn toàn. Không có lý do nào đáng để mạo hiểm như vậy.

Thứ hai, chính thức sẽ không chủ động yêu cầu xác minh của bạn. Nếu nhận được email tương tự, hãy bình tĩnh, xác nhận qua trang web chính thức hoặc mạng xã hội, chứ đừng nhấn vào liên kết trong email.

Cuối cùng, phòng thủ cần nhiều lớp. Ngoài cảnh giác, hãy dùng các công cụ chuyên nghiệp như Rabby, Revoke.cash để kiểm tra quyền, và sử dụng ví phần cứng để cách ly tài sản lớn. Trong thế giới blockchain, giữ “tâm lý lo sợ bị hại” chính là lựa chọn hợp lý.