Coin98 Insights logo
SETTINGS
Content language
flag Vietnamese
Vietnamese
flag Vietnamese
Vietnamese
Tiếng việt
flag English
English
English
Channel logo
Coin98 Insights
Save
Copy link

19 hình thức lừa đảo Scam Crypto nổi bật trong thị trường

Cùng tìm hiểu về 19 hình thức scam crypto phổ biến nhất mà kẻ tấn công có thể thực hiện với người dùng phổ thông và mạng lưới/dApp trong thị trường cryptocurrency.
Published Jul 08 2021
Updated Jul 09 2024
19 min read
crypto scam

Những hành vi Crypto scam thường lợi dụng sự thiếu hiểu biết hoặc lòng tham của người dùng để lừa họ đầu tư vào các dự án giả mạo hoặc cung cấp thông tin cá nhân và tài khoản.

Mặc dù nhiều nước đã có khung pháp lý dành cho những trường hợp lừa đảo tại thị trường crypto, mật độ của các vụ lừa đảo vẫn tiếp tục gia tăng.

Theo Visual Capitalist, mỗi năm có khoảng 22% dự án xây dựng với mục đích scam, và 65% dự án tung token và ngừng hoạt động ngay sau đó, khiến nhiều nhà đầu tư mất trắng tài sản. Vì vậy, thị trường crypto đang trở thành một nơi lý tưởng dành cho những kẻ lừa đảo “săn mồi" nhà đầu tư mới.

Các hình thức scam trong thị trường crypto

Có 2 đối tượng chính mà kẻ tấn công có thể nhắm tới khi muốn thực hiện cách hành vi lừa đảo:

  • Người dùng: Là mục tiêu phổ biến của kẻ tấn công, đa phần các hình thức lừa đảo đều nhắm tới những nhà đầu tư với mục đích chiếm đoạt tài sản.
    • Hình thức tấn công nhắm tới người dùng có thể kể đến rug pull, exit scam, ponzi…
    • Theo Chainanalysis, vào năm 2021, số tiền đánh cắp bởi các hình thức trên lên tới 2.8 tỷ USD (tương đương 7 triệu USD/ngày).
  • Mạng lưới và dApp: Những hình thức tấn công vào mạng lưới và dApp thường ít xảy ra, nhưng hậu quả gây ra cho mạng lưới, dApp và người dùng thường rất lớn, ảnh hưởng hệ sinh thái và tiền bạc của người dùng.
    • Một số hình thức tấn công nhắm tới mạng lưới và dApp có thể kể đến gồm: 51% Attack, Sandwich Attack, DDoS Attack, Replay Attack, Sybil Attack…
    • Theo CertiK, riêng Q2/2023 đã có 313 triệu USD thiệt hại gây ra bởi những cuộc tấn công nhắm vào các dự án.

1) Exit Scam

Đa số các người dùng mới khi vào thị trường đều có khả năng mắc phải hình thức scam này. Exit scam lợi dụng sự tin tưởng từ người dùng, khi những nhà phát triển đột ngột từ bỏ dự án và rút toàn bộ số tiền đầu tư. Cuối cùng, để lại cho người dùng những token/tài sản vô giá trị và không có khả năng phục hồi giá.

Ví dụ điển hình về exit scam là Confio, dự án sử dụng hình thức ICO để gọi vốn 375,000 USD. Ngay sau khi gọi vốn thành công, Confido đã biến mất ngay trong đêm hôm sau.

2) Phishing attack

Tấn công giả mạo phishing attack rất phổ biến và rất dễ để tiếp cận người mới tham gia vào thị trường. Kẻ gian sẽ giả mạo cá nhân/tổ chức uy tín để đánh lừa nạn nhân và lấy cắp thông tin cá nhân, tài khoản ngân hàng…

Có nhiều cách để tấn công phishing, một số dạng dễ bắt gặp nhất bao gồm:

các dạng phishing scam
4 loại hình phishing scam nổi bật trong thị trường crypto.

3) Ponzi/ Pyramid Scam

Mô hình hoạt động của Ponzi và Pyramid có sự tương đồng, dựa trên việc lừa đảo nhà đầu tư bằng cách hứa hẹn lợi nhuận cao, nhưng thực tế là sử dụng tiền của nhà đầu tư mới trả lợi nhuận cho những nhà đầu tư cũ. Đây là cách mà Ponzi tạo ra vòng lặp gian lận và duy trì sự tin tưởng giả dối từ người tham gia.

Một số ví dụ điển hình về Ponzi có thể kể đến bao gồm BitConnect (lừa đảo 2.7 tỷ USD), OneCoin (thiệt hại 4 tỷ USD)...

Đọc thêm: Tại sao nhiều nhà đầu tư Crypto vẫn sập bẫy Ponzi?

mô hình hoạt động của ponzi
Ponzi là mô hình kinh doanh bị cấm trên nhiều lãnh thổ.

4) Rug Pull

Rug pull ám chỉ những nhà phát triển đột ngột rút thanh khoản khiến token mất giá trị. Khác với exit scam, rug pull chỉ sử dụng khi dự án đã được giao dịch ở sàn DEX và sau đó biến mất.

Ví dụ về dự án rug pull đó là AnubisDAO, sau khi Dogdecoin nổi lên năm 2021, AnubisDAO thu hút được rất nhiều nhà đầu tư tham gia. Cụ thể, thanh khoản AnubisDAO được cung cấp 13,000 ETH, tương đương hơn 25 triệu USD ở thời điểm đó.

Tuy nhiên, chỉ sau 20 tiếng được cung cấp thanh khoản, đội ngũ AnubisDAO đã ngay lập tức rút toàn bộ 13,000 ETH và cao chạy xa bay, khiến nhiều nhà đầu tư bàng hoàng.

Đọc thêm: Dấu hiệu nhận biết & cách phòng tránh rug pull.

5) Dusting attack/Revoke scam

Tấn công dusting attack xảy ra khi kẻ gian phát hiện ví crypto của người dùng có thực hiện giao dịch. Chúng sẽ gửi token scam hoặc scam coin cho người dùng, sau đó chờ cơ hội khi nạn nhân approve để bán token trên các sàn DEX.

Sau khi approve, ví của nạn nhân sẽ tự động chuyển phí gas đến kẻ lừa đảo để mint Chi token, còn lệnh bán token không được thực hiện.

ví nhận token scam trên debank
Ví cá nhân nhận token scam luôn có ký hiệu "Scam tx". Nguồn: Debank.

Điểm khác biệt là khi approve token scam, phí giao dịch thường sẽ tăng gấp 2 lần bình thường. Và số phí giao dịch này sẽ được chuyển thẳng lên ví của hacker để mint Chi token - token dùng cho mục đích trả phí gas cho các giao dịch.

Tương tự dusting attack, revoke scam là hình thức lừa người dùng revoke những token scam, từ đó đẩy phí gas lên cao giúp kẻ lừa đảo mint Chi token. Hiện tại, hình thức này hiếm khi xảy ra bởi điều này phụ thuộc vào các nền tảng hỗ trợ người dùng revoke. Nếu nền tảng revoke có vấn đề, revoke scam có thể sẽ xảy ra.

Tháng 7/2023, nền tảng Revoke.cash gặp phải vấn đề liên quan tới revoke scam, tuy nhiên thiệt hại gây ra cho người dùng không đáng kể.

6) Social Engineering

Hình thức Social Engineering có thể được coi là loại hình tấn công dễ dàng khiến người dùng mắc bẫy, bởi tin tặc đã có thời gian tìm hiểu về mọi thứ về người dùng. Sau đó, tin tặc sẽ tạo ra nhiều tình huống khác nhau để có được private key, passphrase và tài sản chứa đựng trong ví.

Một tài khoản có tên Crumz - holder lớn của bộ sưu tập NFT BAYC, đã cảnh báo mọi người về trường hợp có kẻ mạo danh nhân viên của Forbes.

Đầu tiên, hai kẻ mạo danh liên lạc với Crumz để lên lịch phỏng vấn qua Zoom. Sau đó, họ yêu cầu Crumz mở chức năng record trên Zoom, nhưng chức năng này cho phép hai kẻ giả mạo có thể điều khiển từ xa máy tính của Crumz.

7) Pig Butchering/Romance Scam

Romance scam hay pig butchering là hình thức kẻ lừa đảo lợi dụng sự tin tưởng để chiếm đoạt tài sản từ nạn nhân. Cụ thể, những kẻ này sẽ xây dựng lòng tin với người dùng như trò chuyện qua mạng, chơi game, hướng dẫn trading… 

Sau đó, khi đã đủ niềm tin, họ sẽ kêu người dùng đầu tư vào những token/crypto mà kẻ lừa đảo làm ra. Cuối cùng, chúng cắt đứt liên lạc và bỏ trốn cùng số tiền của người dùng.

Theo số liệu của FBI, năm 2021, có tới 429 triệu USD bị đánh cắp theo hình thức Romance Scam, 75% số nạn nhân mất hơn một nửa tài sản và 25% còn lại rơi vào cảnh nợ nần.

Đọc thêm: Pig Butchering: Chiêu trò scam lừa tiền “mổ heo" phải cảnh giác.

8) Sybil Attack

Tấn công sybil xảy ra phổ biến trong trường hợp người dùng "cày airdrop". Một người có thể tạo ra nhiều địa chỉ ví để săn airdrop của một mạng lưới mới. Ở khía cạnh tiêu cực hơn, kẻ gian có thể tạo nhiều thực thể ảo (node) để tấn công mạng lưới và chiếm quyền kiểm soát.

Ví dụ dự án Gitcoin, một người dùng có thể tạo hàng trăm, hàng ngàn tài khoản để bầu chọn cho chính dự án của chính mình. Từ đó, giúp kẻ tấn công có cơ hội nhận được số tiền từ những chương trình của Gitcoin và gây bất lợi đối với những dự án thực, tiềm năng.

Ngoài ra, sybil attack cũng là hình thức phổ biến đối với những dự án chuẩn bị airdrop, ví dụ có thể kế đến những dự án như Optimism, khi một người sử dụng tool tạo 10 đến 100 ví để “cày" Optimism, và một ví nhận về gần 1,000 USD.

9) DDoS attack

Kẻ gian tấn công bằng hình thức DDoS attack sẽ khiến cho mạng lưới blockchain hoặc dApp bị quá tải khi có một lượng lớn người dùng truy cập. Từ đó, khiến nhiều người không thể hoạt động và giao dịch mỗi khi thị trường có biến động.

Những cuộc tấn công DDoS có thể kéo dài vài phút đến vài giờ, thậm chí trong một số trường hợp nghiêm trọng có thể kéo dài nhiều ngày. Chúng gây ra nhiều tổn thất cho cả người dùng và các tổ chức liên quan, đặc biệt là không có biện pháp cụ thể để xử lý hiệu quả những cuộc tấn công này.

10) Malware attack

Malware được viết tắt từ malicious software - phần mềm độc hại. Khi kẻ gian tấn công theo hình thức malware, chúng phát tán mã độc cho máy tính của người dùng, từ đó chiếm quyền truy cập và có khả năng lấy toàn bộ tài sản trong ví của họ.

Hình thức này diễn ra khi người dùng tải những ứng dụng thông qua các đường link giả mạo và không an toàn, khiến máy tính bị nhiễm malware. Đã có trường hợp, người dùng đem máy tính đi sửa và thợ cài mã độc. Vì vậy, người dùng nên liên tục kiểm tra và quét virus, tránh những trường hợp “tiền mất, tật mang".

Một số loại phần mềm độc hại phổ biến bao gồm ransomware, trojan, spyware, keylogger…

11) Man-in-the-Middle

Để tấn công theo hình thức Man-in-the-Middle, hacker thường tiếp cận thông qua Wifi công cộng như cà phê… Đây là hình thức phổ biến tại Việt Nam khi đa phần các quán cà phê, trung tâm thương mại đều sử dụng loại Wifi dễ bị tấn công.

Do đó, bạn nên hạn chế sử dụng ví khi đang kết nối Wifi bên ngoài. Nếu trong trường hợp cần thiết, hãy sử dụng VPN hoặc 3G/4G.

12) Exploit

Tấn công Exploit diễn ra chủ yếu với mạng lưới và dApp. Kẻ tấn công khai thác một lỗ hổng bất kì từ giao thức từ đó lấy đi tài sản của người dùng. Thông thường, hình thức này diễn ra thường xuyên ở những dự án có độ bảo mật yếu hoặc chưa có audit bởi các doanh nghiệp lớn.

Ví dụ cuộc tấn công vào mạng lưới BNB Chain vào tháng 2/2022, khi kẻ tấn công lợi dụng kẽ hở của một cầu nối crosschain, sau đó đánh cắp 586 triệu USD từ người dùng trên mạng lưới BNB Chain.

Đọc thêm: Nhìn nhận gì từ đặc điểm các vụ Exploit trong thời gian vừa qua?

13) Cryptojacking

Cryptojacking diễn ra khi hacker sử dụng mã độc phát tán trong vi tính, sau đó tận dụng tài nguyên có sẵn trong máy của nạn nhân để đào coin và khiến người dùng chịu nhiều thiệt thòi như tiền điện, tiền bảo dưỡng máy tính…

Theo Citrix & Onepoll, Cryptojacking diễn ra khá thường xuyên bởi người dùng thường tải những ứng dụng trên các đường link giả mạo. Vì vậy, dẫn tới trường hợp máy tính bị cryptojacking.

cryptojacking tại các doanh nghiệp anh quốc
Số liệu về cryptojacking ở các doanh nghiệp tại Vương Quốc Anh. Nguồn: Citrix & Onepoll.

Mặc dù cryptojacking nghe có vẻ không nghiêm trọng tới tài sản người dùng, tiền điện năng và tuổi thọ của máy tính bị ảnh hưởng rất nhiều nếu bị dính mã độc để đào coin cho kẻ tấn công, con số tiền điện có thể tiêu tốn gần 9,000,000 VND/tháng.

14) DeFi scam/attack

Sự phổ biến của DeFi trong những năm qua cũng đã thu hút kẻ tấn công và lừa đảo, dẫn đến nhiều hình thức scam và tấn công khác nhau. Các kẻ tấn công nhắm vào các dự án DeFi thường có kiến thức công nghệ cao và sử dụng nhiều phương pháp phức tạp để khai thác các lỗ hổng bảo mật trong các giao thức phi tập trung.

Hợp đồng thông minh là mục tiêu phổ biến của các vụ tấn công, khi kẻ tấn công tìm cách khai thác các lỗi lập trình để chiếm đoạt tài sản. Ngoài ra còn có các vụ tấn công thao túng oracle, tấn công front running bot trên các sàn AMM, tấn công flash loan trên các giao thức lending/borrowing…

15) Sandwich attack

Sandwich attack nhắm vào những giao dịch đang chờ (pending transaction) của người dùng để kiếm lợi nhuận. Cụ thể, kẻ tấn công tìm những giao dịch đang chờ và ngay lập tức họ tạo hai giao dịch ngay phía trước và phía sau của giao dịch đang chờ, từ đó thao túng giá tài sản và kiếm thêm lợi nhuận từ chênh lệch giá.

Mặc dù tài sản của người dùng không mất khi bị sandwich attack, người dùng vẫn phải chịu những thiệt hại gồm phí giao dịch cao hơn và lệnh giao dịch sẽ không được thực hiện. Hiện sandwich attack phụ thuộc vào mô hình hoạt động và cơ chế bảo mật của các AMM, vì vậy người dùng có thể lựa chọn những AMM uy tín để sử dụng.

16) Front-running bot

Front-running bot xảy ra khi kẻ tấn công biết một giao dịch có tác động tới giá cả và họ ngay lập tức sử dụng bot để đặt một lệnh mua và bán ngay trước giao dịch lớn. Sau đó, kẻ tấn công hưởng phần lợi nhuận.

Tương tự như sandwich attack, giao dịch bị front-run thường bị huỷ hoặc chênh lệch so với giá ban đầu, từ đó mất đi vị thế tốt trong đầu tư.

Hình thức này tương đối phổ biến trong blockchain bởi mô hình hoạt động phụ thuộc vào phí giao dịch, phí giao dịch người dùng chỉnh càng thấp, khả năng bị front-running càng cao.

17) MEV Bot

Người dùng hẳn đã nghe tới câu “Cách kiếm triệu đô với MEV Bot” trên những trang mạng xã hội. Cụ thể, kẻ lừa đảo sẽ cung cấp mã code, hướng dẫn nạn nhân cách triển khai hợp đồng thông minh và dẫn dụ họ gửi một lượng ETH nhất định để làm vốn. Tuy nhiên, trong đoạn code đó, có những dòng được thiết lập để lượng vốn gửi vào chuyển hướng và gửi về ví của kẻ lừa đảo.

Hình thức lừa đảo này thường nhắm tới những đối tượng chưa có hiểu biết về code, và để có thể hiểu thêm về hình thức này, nhà đầu tư cần có thêm kiến thức về MEV.

MEV Bot là công cụ giúp người dùng kiếm tiền thông qua vài đoạn code. Tuy nhiên, hình thức này chỉ áp dụng cho những người rất am hiểu về blockchain và coding.

18) 51% Attack

Để thực hiện cuộc tấn công 51% attack, tin tặc phải nắm giữ hơn một nửa (51%) sức mạnh tính toán của một blockchain, từ đó có thể trục lợi cho chính bản thân họ bằng cách tạo ra những lỗi như double spending… Tuy nhiên, hình thức này chỉ diễn ra ở những blockchain nhỏ với sức mạnh tính toán thấp.

Vào tháng 1/2020, một blockchain nhỏ và có ít người sử dụng mang tên Bitcoin Gold, đã chịu sự tấn công 51% attack. Kẻ tấn công khi đó đã tận dụng double spending để lấy 70,000 USD từ mạng lưới.

Đọc thêm: Vấn đề đằng sau sự sụt giảm của gas token.

19) Replay attack

Replay attack diễn ra khi kẻ tấn công sử dụng mã độc để chặn hoặc trì hoãn việc truyền tải dữ liệu của mạng lưới. Mục đích của replay attack là tạo một giao dịch giả mạo, có thông tin và dữ liệu giống với giao dịch thật, từ đây có thể giúp kẻ tấn công thực hiện nhiều hoạt động chỉ với số vốn ít ỏi.

Hiện tại, replay attack là hình thức tấn công khó xảy ra trong những mạng lưới lớn như Bitcoin, Ethereum… nhưng replay attack thuộc một trong những kiểu tấn công nguy hiểm đối với toàn bộ hệ sinh thái trong blockchain.

advertising

Cách nhận biết lừa đảo crypto

Một số cách để người dùng có thể nhận biết và phòng tránh các trường hợp lừa đảo trong thị trường crypto, như:

  • Hứa hẹn mang lại lợi nhuận khủng: Người dùng hãy luôn nghi ngờ về bất kỳ dự án nào mang lại lợi nhuận cực cao cho khoản đầu tư của mình.
  • Hỏi thông tin cá nhân và private key của người dùng: Người dùng không bao giờ được chia sẻ mật khẩu, private key hoặc cụm từ bảo mật (seed phrases) cho bất kỳ cá nhân, nhân viên, dự án…  Những người yêu cầu mật khẩu, khóa riêng tư hoặc cụm từ bảo mật đều là lừa đảo.
  • Đội ngũ dự án ẩn danh/có tiền sử lừa đảo: Nếu một dự án hoặc một công ty khởi nghiệp hoặc một cá nhân đã bị cáo buộc là lừa đảo trong quá khứ, người dùng nên cẩn thận vì có thể đội ngũ đó lại tiếp tục lập dự án mới để lừa đảo.

Cách đánh giá tính hợp pháp của dự án crypto

Trước khi tham gia đầu tư vào các dự án crypto, người dùng nên đánh giá nền tảng để tránh các trường hợp bị hack, rug pull… Ngoài ra, người dùng cũng nên đánh giá mạng lưới mà dự án đang hoạt động để tránh các trường hợp bất khả kháng như 51% attack, replay attack…

Dưới đây là những khía cạnh người dùng nên đánh giá dự án:

  • Độ uy tín: Đầu tiên, người dùng nên đánh giá độ uy tín thông qua tên tuổi của đội ngũ, whitepaper của dự án (bản gốc hay sao chép whitepaper bên khác), mối quan hệ với những đối tác khác và lộ trình roadmap của dự án liệu có khả thi hay chỉ là ý tưởng.
  • Cộng đồng: Một yếu tố khác để đánh giá nền tảng là thái độ và khả năng tương tác của bản thân dự án với cộng đồng của họ. Nếu một dự án nhận được nhiều sự ủng hộ, dự án phần lớn sẽ có độ uy tín đủ cao để người dùng tin tưởng đầu tư.
  • Công nghệ: Yếu tố tiếp theo là công nghệ, liệu dự án có cung cấp giải pháp để giải quyết những vấn đề trên thị trường crypto hay không. Và những giải pháp này đã được phát triển bởi những dự án khác hay không, bởi người dùng có thể so sánh để đánh giá liệu công nghệ có khả thi hay đơn thuần là ăn cắp chất xám.
  • Lịch sử: Cuối cùng, người dùng nên đánh giá những sự kiện quá khứ của dự án, liệu nền tảng có tiền sử bị tấn công hay chưa, hoặc đội ngũ dự án liệu có hoàn thành đúng những cột mốc được đề ra trong roadmap. Thậm chí, liệu dự án đã từng thay đổi về cấu trúc của đội ngũ dự án hay không.

Đọc thêm: Lộ trình đầu tư tiền điện tử cho người mới từ A - Z.