Amber avatar
Coin98 Insights
Nơi chia sẻ tất cả những kiến thức Crypto từ cơ bản đến nâng cao, kinh nghiệm đầu tư Bitcoin và các hình thức đầu tư tiền điện tử khác.

Scam là gì? Cách nhận biết và phòng tránh Scam trong Crypto

Khi thị trường crypto đang ngày càng phát triển, các rủi ro liên quan đến các hoạt động lừa đảo, hay còn gọi là "scam," đã trở thành một vấn đề đáng lo ngại. Vậy scam là gì? Làm sao để phòng tránh được scam?
Amber avatar
nguyennsh
17 min read
Published Aug 15 2023
Updated Dec 30 2023
Amber media

Scam là gì?

Scam là khái niệm mô tả một cá nhân/tổ chức thực hiện những hành động phi pháp, nhằm mục đích chiếm đoạt tài sản và lấy cắp thông tin từ người dùng. Thông thường, khái niệm này ám chỉ hầu hết tất cả các hành vi sai phạm trên nhiều lĩnh vực, từ các lĩnh vực chuyên môn như tài chính, kinh tế… cho tới cuộc sống bình thường, và phổ biến nhất là ở mạng Internet.

Tại thị trường crypto, scam ám chỉ những kẻ lừa đảo cố gắng lấy tiền và thông tin của người dùng qua nhiều hình thức khác nhau như giả mạo email, giả mạo KOL… với nhiều phương pháp tinh vi và ngày càng khó phát hiện. Một số ý kiến cho rằng thị trường crypto là “thiên đường” dành cho những hành vi lừa đảo.

advertising

Theo Mashable - website tin tức crypto, năm 2022 đã có hơn 2 tỷ đô USD bị đánh cắp. Con số này tăng 183% so với năm 2021, điều này chứng tỏ rằng các hoạt động scam ở crypto đang ngày càng phổ biến hơn.

Các hình thức Scam tại thị trường Crypto

Cloud Mining Scam

Cloud Mining là dịch vụ cho phép người dùng tham gia quá trình đào coin mà không cần các thiết bị, phần cứng chuyên dụng. Thông thường, người dùng phải trả tiền cho bên cung cấp dịch vụ Cloud Mining để có thể tham gia đào coin, và số coin đào sẽ được chuyển về ví của người dùng.

Vì vậy, với hình thức trả tiền trước, nhiều website cloud mining được lập nên với mục đích lừa đảo người dùng. Họ thường cam kết với người tham gia các mức lợi nhuận khủng, cùng tỉ lệ hoàn vốn cực nhanh.

Ví dụ về một trường hợp lừa đảo đó là MiningMax, một website cung cấp dịch vụ Cloud Mining theo yêu cầu người dùng, dự án đã từng dẫn dụ người dùng đầu tư 3.200 USD cho ROI hàng ngày trong hai năm và nhận 200 USD tiền hoa hồng cho mỗi nhà đầu tư giới thiệu (ref). Trang web đã lừa đảo các nhà đầu tư lên tới 250 triệu USD.

Pump và Dump Scam

Pump và Dump là hình thức lừa đảo được xem là có mức độ ảnh hưởng tương tự rug pull, khi những nhà phát triển thao túng giá trị của một token. Đầu tiên, những nhà phát triển tạo nên làn sóng FOMO thông qua việc tăng giá trị token lên gấp 3-4 lần. Sau đó, những nhà đầu tư bắt đầu tham gia vào việc mua token của nhà phát triển với tâm lý FOMO. Cuối cùng, nhà phát triển bắt đầu bán tháo token và bỏ rơi dự án.

chu kỳ pump và dump
Chu kỳ Pump và Dump. Ảnh: Anatomy of a Pump.

Thông thường, hình thức Pump và Dump chỉ diễn ra ở những tọken có vốn hóa thấp, nên việc thao túng giá trị dễ dàng hơn so với những token có vốn hoá lớn.

X/Discord hack

Đây là hình thức khá quen thuộc với những người chuyên cày airdrop, khi những dự án có tin đồn ra mắt token thì tài khoản X/Discord của nền tảng đó sẽ là mục tiêu của các hacker.

Ví dụ LayerZero - một trong những dự án được cộng đồng quan tâm khi có tin đồn về airdrop. Ngày 5/7, tài khoản X của CEO LayerZero - Bryan Pellegrino đã bị hacker tấn công. Sau đó, tài khoản X này chia sẻ đường link scam với tiêu đề “nhận token ZRO” và khiến nhiều người tin rằng dự án đã bắt đầu airdrop.

discord của ceo layerzero bị hack
X của CEO LayerZero bị hack.

Man in the middle

Man in the middle là hình thức hacker có mật khẩu, địa chỉ ví cá nhân thông qua Wifi công cộng như cà phê… Đây là hình thức phổ biến tại Việt Nam khi đa phần các quán cà phê, trung tâm thương mại đều sử dụng loại Wifi dễ bị tấn công.

Do đó, bạn nên hạn chế sử dụng ví khi đang kết nối Wifi bên ngoài. Nếu trong trường hợp cần thiết, hãy sử dụng VPN hoặc 3G/4G.

Pig Butchering/ Romance Scam

Romance scam hay pig butchering là hình thức kẻ lừa đảo lợi dụng sự tin tưởng để chiếm đoạt tài sản từ nạn nhân. Cụ thể, những kẻ này sẽ xây dựng lòng tin với người dùng như trò chuyện qua mạng, chơi game, hướng dẫn trading… 

Sau đó, khi đã đủ niềm tin, họ sẽ kêu người dùng đầu tư vào những token/crypto mà kẻ lừa đảo làm ra. Cuối cùng, chúng cắt đứt liên lạc và bỏ trốn cùng số tiền của người dùng.

Theo số liệu của FBI, năm 2021, có tới 429 triệu USD bị đánh cắp theo hình thức Romance Scam, 75% số nạn nhân mất hơn một nửa tài sản và 25% còn lại rơi vào cảnh nợ nần.

Do đó, trước khi nghe lời chào đầu tư từ những người quen qua mạng, người dùng nên lưu ý ở một số điểm sau:

Cho dù bạn tin tưởng người quen trên mạng như thế nào, một khi bước chân vào thị trường, hãy luôn tỉnh táo.
Khi những kẻ trên mạng chia sẻ đường link, hãy luôn kiểm tra trước khi bấm. Ngoài ra, nếu những kẻ lừa đảo đưa bạn link download, người dùng nên từ chối bấm vào.

Phone hack

Phone hack là hình thức kẻ tấn công gọi điện cho nạn nhân, họ mạo danh thành những người thuộc những dự án, doanh nghiệp lớn như Coinbase, Binance… Nội dung cuộc gọi là yêu cầu những thông tin cá nhân của nạn nhân như mật khẩu 2FA, số CCCD…

Sau khi có thông tin cá nhân, kẻ lừa đảo có thể đăng nhập và chiếm đoạt tài sản của người dùng. Vì vậy, người dùng nên lưu ý không bao giờ cung cấp thông tin cá nhân ra bên ngoài, cho dù họ có tự nhận là người của doanh nghiệp uy tín.

Tấn công Phishing

Phishing là hình thức lừa đảo mà người dùng nhấn vào những đường link quảng cáo, sau đó tiếp tục sử dụng ví tiền điện tử để tương tác. Từ đây, tài sản trong ví của người dùng có thể bị ảnh hưởng, hoặc nặng hơn là thiết bị điện tử của người dùng bị nhiễm virus và passphrase/private key của người dùng bị lộ.

Năm 2021, một kẻ tấn công giả mạo trang web giả mạo đường link của Bitcoin. org  - một trong những trang mua bán Bitcoin lớn tại thị trường, sau đó dẫn dụ người dùng nhấn vào đường link thông qua những lời mời gọi như giveaway, airdrop và kêu họ tương tác với ví.

Mặc dù vụ việc diễn ra trong vòng chưa đầy 24 giờ, kẻ tấn công đã lấy đi 17,000 USD từ các nạn nhân đã bấm vào đường link. Vì vậy, người dùng nên hạn chế bấm vào những đường link chưa được chứng thực để tránh hậu hoạ về sau.

Giả mạo người nổi tiếng hoặc group cộng đồng

Giả mạo người nổi tiếng hay group cộng đồng trong thị trường crypto là hình thức người dùng gặp khá thường xuyên, đa phần người dùng gặp những kẻ mạo danh, nhóm giả tạo trên X, Facebook… và đặc biệt là Telegram. Mục đích của những kẻ mạo danh là kêu gọi nạn nhân gửi tiền cho họ với mục đích “đầu tư", nhưng thực chất lại là lừa đảo và chiếm đoạt số tiền của người dùng.

Ví dụ điển hình là nhiều kẻ lừa đảo đã mạo danh group Coin98 Insights Premium và anh Lê Thanh với mục đích lừa đảo. Nhưng Coin98 Insights là một group thảo luận, chia sẻ nội dung crypto nên không có nhóm Coin98 Insights Premium. Vì vậy, người dùng nên cảnh giác cao độ trước những group mạo danh trên.

Ngoài ra, còn có những vụ việc lừa đảo tương tự như trên, bao gồm giả danh Elon Musk, giả mạo Vitalik Buterin (CEO của Ethereum)... và kêu gọi người dùng tham gia đầu tư vào những dự án ma, không tồn tại. 

Ngoài ra, trong thời đại kỹ thuật số lên ngôi, kẻ lừa đảo có thể sử dụng A.I để giả dạng KOL trên các nền tảng video, video call. Vì vậy, người dùng không nên chủ quan khi nghĩ rằng video không thể bị làm giả.

Giả mạo app

Giả mạo app là hình thức lừa đảo khi kẻ tấn công tạo một trang web, hoặc ứng dụng giả dạng các dự án uy tín. Nếu người dùng đăng nhập, hoặc sử dụng những ứng dụng này, tài sản trong ví của họ sẽ bị đánh cắp. 

Ví dụ điển hình là Ledger, một dự án chuyên cung cấp ví lạnh cho người dùng, đã bị mạo danh trên Microsoft Store. Theo ZachXBT, hậu quả từ việc giả mạo app Ledger đã khiến 16.8 BTC bị đánh cắp (tương đương 588,000 USD).

Giả mạo admin, nhân viên

Giả mạo admin hoặc nhân viên của dự án là trường hợp lừa đảo tương đối phổ biến trong thị trường crypto, khi kẻ tấn công chủ động liên hệ với người dùng, nhà đầu tư thông qua email hoặc gọi điện. Sau đó, kẻ tấn công dàn dựng những tình huống khiến người dùng phải cung cấp các thông tin cá nhân hoặc thậm chí là private key để đánh cắp tài sản.

Thông thường, hình thức lừa đảo này diễn ra tương đối phổ biến ở những sàn giao dịch CEX, khi kẻ tấn công dàn chủ động liên hệ và yêu cầu nạn nhân cung cấp mật khẩu…

Ngoài ra, vẫn có những thành phần giả mạo admin của group Coin98 Insights, chủ động nhắn tin cho người dùng, dẫn dụ đầu tư và yêu cầu nạn nhân chuyển tiền cho kẻ giả mạo. Vì vậy, người dùng lưu ý, admin của Coin98 Insights sẽ không bao giờ nhắn tin đầu tiên và yêu cầu chuyển tiền để tham gia các kèo đầu tư.

Giả mạo token

Giả mạo token là cách thức kẻ lừa đảo tạo một token có tên gọi hoặc ticker giống hệt với token có vốn hoá lớn hoặc nhiều người mua. Mục đích của kẻ lừa đảo là dụ dỗ người dùng mua nhầm loại token, trục lợi cho chính bản thân kẻ lừa đảo.

Hiện tại, giả mạo token chỉ là vấn nạn xảy ra trong không gian DeFi, đặc biệt ở mảng memecoin. Ví dụ vào giữa năm 2023, cơn sóng memecoin nổi lên với PEPE tăng trưởng 100 lần từ đáy, từ đây hàng loạt cá nhân tạo ra token giả mạo PEPE để dẫn dụ những nhà đầu tư FOMO và chiếm đoạt tài sản từ họ.

Vì vậy, người dùng nên kiểm tra contract của token trên CoinGecko, CoinMarketCap để hạn chế việc mua dính token giả mạo.

token pepe giả mạo
Người dùng có thể thấy 2 pool với 2 token PEPE khác nhau.

Giả mạo email

Giả mạo email là hình thức kẻ lừa đảo giả mạo email của các sàn giao dịch, với những nội dung đi kèm để cố gắng khiến người dùng nhấn vào các đường link. Từ đó, kẻ lừa đảo có thể đánh cắp thông tin cá nhân, thậm chí tài sản của người dùng.

Vì vậy, người dùng nên sử dụng cơ chế anti-phishing code ở tất cả sàn giao dịch, phòng ngừa những vụ lừa đảo trong việc giả mạo email.

Giả mạo group Telegram

Giả mạo các group Telegram là hình thức phổ biến trong thị trường crypto, kẻ lừa đảo mời người dùng vào hội nhóm giả mạo group lớn như Coin98 Insights, Starship… và dụ dỗ người dùng tham gia các kèo đầu tư để trục lợi cho chính bản thân.

group giả mạo coin98 insights
Coin98 Insights chỉ có một group chính là: https://t.me/Coin98Insights_Chat

OTC Scam

OTC là hành động mua bán tiền mã hoá và tiền pháp định giữa người dùng với nhau, nhưng có những trường hợp kẻ lừa đảo yêu cầu người dùng chuyển tiền trước và sau đó họ biến mất cùng với số tiền của người dùng. Đây được gọi là hành động OTC scam.

Các giao dịch OTC cực kỳ rủi ro, vì vậy người dùng nên tiến hành một cách thận trọng và sử dụng bên thứ ba đáng tin cậy làm trung gian.

Cách nhận biết scam

Dưới đây là một số cách để nhận biết dấu hiệu scam:

Hứa hẹn lợi nhuận khổng lồ: Thông thường, những hành vi lừa đảo luôn đưa ra những lời hứa về lợi nhuận khổng lồ. Tuy nhiên, đầu tư thì không có gì để đảm bảo người dùng luôn có lợi nhuận. Vì vậy, nếu lời hứa quá tốt để trở thành sự thật, thì những hứa hẹn này là lừa đảo.
Thông tin dự án ẩn danh: Là yếu tố để đánh giá dự án scam, những nền tảng thiếu đi nhiều thông tin như mô hình hoạt động, đội ngũ dự án, nhà đầu tư… thường có xu hướng trở thành dự án lừa đảo. Ở chiều hướng ngược lại, đối với những dự án hợp pháp, họ thường có xu hướng giải thích cặn kẽ về mô hình hoạt động của nền tảng và công khai những thông tin về dự án.
Quảng cáo (marketing) quá nhiều: Là một trong những “cờ đỏ” về scam, marketing quan trọng khi dự án đã có sản phẩm. Tuy nhiên, việc marketing quá nhiều về token không có chức năng, ý nghĩa có thể là một dự án lừa đảo.
Không có kiểm tra bảo mật (audit): Đối với một số dự án, kiểm tra bảo mật là cách thức xác minh tính an toàn của token. Vì vậy, người dùng nên lưu ý đối với những dự án không có bảo mật.

Cách phòng tránh scam

“Vấn đề hiện đại, đòi hỏi những giải pháp hiện đại”, đây là câu nói phổ biến của Mark Zuckerberg - Founder của Meta, ám chỉ các vấn đề scam tại thị trường crypto luôn cần những giải pháp mới, bao gồm:

các cách phòng chống scam
Các cách phổ biến phòng chống scam.

Luôn revoke sau khi giao dịch

Revoke là hình thức thu hồi quyền truy cập của các ứng dụng DeFi. Người dùng nên có thói quen revoke ví sau khi tương tác với các dApp, kể cả những dApp nổi tiếng như Uniswap, Balancer… vì các ứng dụng này vẫn có thể những lỗ hổng bảo mật mà hacker có thể lợi dụng.

Ví dụ, Sushiswap là ứng dụng rất được nhiều người tin tưởng và đạt TVL lên tới 400 triệu USD, từ đó khiến nhiều người chủ quan và hạn chế revoke những contract tương tác với Sushiswap. Ngày 9/4/2023, Sushiswap bị hack, người dùng không revoke trước đó đã bị mất tài sản trên ví.

Sử dụng Anti Phishing Code

Anti Phishing Code là tính năng của các sàn giao dịch, cho phép người dùng có thêm một lớp bảo mật nhằm hạn chế đi những cách thức gồm: giả mạo email, giả mạo voice chat…

Cụ thể, khi người dùng kích hoạt anti phishing code, hệ thống sẽ tự động sử dụng mã này cho tất cả các email từ sàn giao dịch gửi cho người dùng. Từ đó, giúp người dùng phân biệt email thật và email giả và hạn chế đi phishing attack.

Luôn tỉnh táo khi tham gia thị trường crypto

Điều này nghe có vẻ đơn giản, nhưng thị trường crypto luôn có nhiều câu chuyện về sự đổi đời của một số cá nhân. Từ đó, những câu chuyện này đã vô hình chung giảm đi sự đề phòng của nhiều người, và khiến họ dính vào những cạm bẫy scam.

Vì vậy, người dùng hãy luôn nâng cao cảnh giác và tỉnh táo khi tham gia thị trường crypto.

Luôn xác thực mọi thông tin

Người dùng nên trang bị thói quen luôn xác thực thông tin trước khi tham gia đầu tư. Lấy ví dụ, tài khoản X của CEO LayerZero bị hack và tung tin đồn về việc airdrop, dụ dỗ người dùng nhấp vào đường link nhằm mục đích lấy tiền từ ví của họ. Vì vậy, đối với những người chưa có xác thực thông tin tài khoản CEO bị hack, họ sẽ dễ dàng bị lừa.

Ngoài ra, việc xác thực thông tin cũng giúp người dùng có thêm kỹ năng như đánh giá dự án, hiểu hơn về mô hình hoạt động, coding… Từ đó, phòng tránh những hình thức lừa đảo như MEV Bot, Airdrop scam…

Một số câu hỏi thường gặp

Scam trong crypto có vi phạm pháp luật không?

Câu trả lời là có, hiện tại những hành vi lừa đảo tại thị trường crypto đều có thể bị xử theo pháp luật ở hầu hết quốc gia kể cả Việt Nam, theo khoản 5 Điều 163 Bộ luật Tố tụng Hình sự 2015. Tuy nhiên, hình thức xử phạt và hoàn tiền khá lâu, nên người dùng đừng nên lơ là cảnh giác khi tham gia đầu tư.

Bị lừa đảo có lấy lại được tiền không?

Khả năng mọi người lấy lại là thấp. Tuy nhiên, nếu bạn bị scam, đầu tiên hãy kiểm tra số tiền đang được chuyển đi đâu. Nếu số tiền đó đang được chuyển lên các sàn giao dịch tập trung (CEX), hãy ngay lập tức liên hệ với sàn đó khóa lại số tiền của hacker.

Nên làm gì để hạn chế các trường hợp lừa đảo?

Nhằm mục đích hạn chế các trường hợp như giả mạo email từ các sàn giao dịch uy tín, người dùng nên bật mã anti-phishing code từ những sàn giao dịch mà người dùng sử dụng. Ngoài ra, người dùng cũng nên bật mã 2FA để ngăn ngừa thiết bị dính virus và chuyển tài sản.

Cuối cùng, nếu lo sợ việc nhấp phải những đường link giả mạo, quảng cáo… có chứa mã độc, người dùng có thể download các ứng dụng như Netcraft, SpoofGuard… để phòng tránh hoặc quét virus thường xuyên.

Tuy nhiên, những cách trên chỉ là những phương án hạn chế việc thiết bị nhiễm virus, nhưng không thể phòng tránh hoàn toàn. Vì vậy, người dùng nên hạn chế nhấp vào những đường link, download những app chưa được có sự kiểm tra.