thumbnail
Khi thị trường crypto đang ngày càng phát triển, các rủi ro liên quan đến các hoạt động lừa đảo, hay còn gọi là "scam," đã trở thành một vấn đề đáng lo ngại. Vậy scam là gì? Làm sao để phòng tránh được scam?

Scam là gì?

Scam là khái niệm mô tả một cá nhân/tổ chức thực hiện những hành động phi pháp, nhằm mục đích chiếm đoạt tài sản và lấy cắp thông tin từ người dùng. Thông thường, khái niệm này ám chỉ hầu hết tất cả các hành vi sai phạm trên nhiều lĩnh vực, từ tài chính cho tới cuộc sống bình thường, và phổ biến nhất là ở Web3.

Tại thị trường crypto, scam ám chỉ những kẻ lừa đảo cố gắng lấy tiền và thông tin của người dùng qua nhiều hình thức khác nhau như exit scam, rug pull, cryptojacking… Chúng ngày càng tinh vi và khó phát hiện hơn. Một số ý kiến cho rằng thị trường crypto là “thiên đường” dành cho những hành vi lừa đảo.

scam là gì
Scam là gì?

Các hình thức Scam tại thị trường Crypto

Thị trường crypto là nơi chưa có bảo hộ pháp lý cho hoạt động trên Internet, vì vậy, những kẻ lừa đảo có rất nhiều cách thức để đánh cắp thông tin và tài sản.

Nhằm mục đích nâng cao cảnh giác, dưới đây là những hình thức scam phổ biến mà người dùng nên lưu ý:

Exit Scam

Exit scam là hình thức lừa đảo lợi dụng sự tin tưởng từ người dùng, khi những nhà phát triển đột ngột từ bỏ dự án của mình và rút toàn bộ số tiền đầu tư. Cuối cùng, để lại cho người dùng những token/tài sản vô giá trị và không có khả năng phục hồi.

Ví dụ điển hình về exit scam là Confio, dự án sử dụng hình thức ICO để gọi vốn 375,000 USD. Ngay sau khi gọi vốn thành công, Confido đã biến mất ngay trong đêm hôm sau.

Đọc thêm: Exit Scam là gì? Dấu hiệu nhận biết và cách phòng tránh chi tiết cho người mới

Phishing attack

Phishing attack (tấn công giả mạo) là hình thức tấn công mà những kẻ gian sẽ giả mạo cá nhân/tổ chức uy tín để đánh lừa người dùng và lấy cắp thông tin cá nhân, tài khoản ngân hàng… Đây là một trong những hình thức phổ biến nhất tại thị trường crypto.

Đọc thêm: Dấu hiệu nhận biết Phishing và Làm gì khi bị tấn công Phishing trong Crypto?

Phishing attack có bốn dạng gồm:

các dạng phishing scam
Có 4 hình thức Phishing attack
  • Giả mạo trang web hoặc extension: Đây là dạng phổ biến nhất của phishing, kẻ lừa đảo tạo ra một trang web giả mạo những website uy tín như OpenSea, Uniswap… hoặc giả mạo những trang download extension như ví Metamask, Coinbase… Sau đó, nếu người dùng sử dụng trang web và tương tác với ví cá nhân, họ sẽ bị đánh cắp tài sản.
    • Giả mạo app: Loại hình phishing được kẻ lừa đảo nhắm tới đối tượng sử dụng điện thoại. Họ sẽ tạo ra những app giả mạo trên App Store và Google Play. Sau khi người dùng download những ứng dụng này, virus từ đó cũng theo về điện thoại. Theo Bitcoin News, riêng năm 2017 đã có hơn 100,000 người tải nhầm app giả.
      • Giả mạo email/voice chat: Các hacker giả dạng nhân viên chăm sóc khách hàng từ một tổ chức crypto uy tín như Coinbase, Trezor… Sau đó, chúng sẽ gửi email/gọi điện cho người dùng và nói rằng “tài khoản của bạn đã bị khóa” và yêu cầu họ gửi bằng chứng để có thể mở khóa. Nếu người dùng cung cấp bằng chứng, họ sẽ mất tài khoản ngân hàng. Theo Bloomberg, năm 2021 đã có 6,000 khách hàng Coinbase bị dính bẫy bởi loại phishing này.
        • Tấn công DNS: Đây là kỹ thuật của hacker khi chúng thay đổi thông tin tên miền (DNS) của dự án sang tên miền của hacker. Ví dụ, bạn nhấp vào đường link Uniswap với tên miền uniswap.com (tên miền đúng). Nhưng khi bạn vừa nhấn vào đường link, tên miền tự động đổi thành unisswap.com (tên miền của hacker).

          X/Discord hack

          Đây là hình thức khá quen thuộc với những người chuyên cày airdrop, khi những dự án có tin đồn ra mắt token thì tài khoản X/Discord của nền tảng đó sẽ là mục tiêu của các hacker.

          Ví dụ LayerZero - một trong những dự án được cộng đồng quan tâm khi có tin đồn về airdrop. Ngày 5/7, tài khoản X của CEO LayerZero - Bryan Pellegrino đã bị hacker tấn công. Sau đó, tài khoản X này chia sẻ đường link scam với tiêu đề “nhận token ZRO” và khiến nhiều người tin rằng dự án đã bắt đầu airdrop.

          twitter của layerzero bị hack
          Tài khoản X của CEO LayerZero chia sẻ đường link giả mạo

          Airdrop Scam/ Revoke Scam

          Airdrop scam là hình thức kẻ lừa đảo phát token scam cho người dùng, sau đó chờ khi  họ approve để bán token trên các sàn DEX. Sau khi approve, ví của họ sẽ tự động chuyển phí gas đến kẻ lừa đảo để mint Chi token, còn lệnh bán token không được thực hiện. 

          airdrop token scam
          Ví cá nhân nhận token scam luôn có ký hiệu "Scam tx". Nguồn: Debank

          Thông thường, người dùng approve token sẽ mất một khoản phí nhỏ, nhưng nếu họ approve token scam, phí giao dịch thường sẽ tăng gấp 2 lần bình thường. Và số phí giao dịch này sẽ được chuyển thẳng lên ví của hacker để mint Chi token - token dùng cho mục đích trả phí gas cho các giao dịch.

          Hình thức này chủ yếu diễn ra trên BNB Chain, Polygon do những mạng lưới này vẫn còn nhược điểm về gas token. 

          Đọc thêm: Vấn đề đằng sau sự sụt giảm của gas token

          cách thức hoạt động của airdrop scam
          Cách thức hoạt động của airdrop scam

          Không những vậy, những kẻ lừa đảo đã phát triển một dạng tương tự như airdrop đó là revoke scam. Revoke scam là hình thức lừa người dùng revoke những token scam, từ đó đẩy phí gas lên cao giúp kẻ lừa đảo mint Chi token.

          Man in the middle

          Man in the middle là hình thức hacker có mật khẩu, địa chỉ ví cá nhân thông qua Wifi công cộng. Đây là hình thức phổ biến tại Việt Nam khi đa phần các quán cà phê, trung tâm thương mại, các địa điểm tập trung đông người đều sử dụng loại Wifi dễ bị tấn công.

          Do đó, bạn nên hạn chế sử dụng ví khi đang kết nối Wifi bên ngoài. Nếu trong trường hợp cần thiết, hãy sử dụng VPN hoặc 3G.

          MEV Bot

          Người dùng hẳn đã nghe tới câu “Cách kiếm triệu đô với MEV Bot” trên những trang mạng xã hội. Cụ thể, kẻ lừa đảo sẽ cung cấp mã code, hướng dẫn nạn nhân cách triển khai hợp đồng thông minh và dẫn dụ họ gửi một lượng ETH nhất định để làm vốn. Tuy nhiên, trong đoạn code đó, có những dòng được thiết lập để lượng vốn gửi vào chuyển hướng và gửi về ví của kẻ lừa đảo. 

          Hình thức lừa đảo này thường nhắm tới những đối tượng chưa có hiểu biết về code, và để có thể hiểu thêm về hình thức này, nhà đầu tư cần có thêm kiến thức về MEV.

          MEV Bot là công cụ giúp người dùng kiếm tiền thông qua vài đoạn code. Tuy nhiên, hình thức này chỉ áp dụng cho những người rất am hiểu về blockchain và coding.

          Đọc thêm: MEV là gì?

          Pig Butchering/ Romance Scam

          Đây là hình thức kẻ lừa đảo lợi dụng sự tin tưởng để chiếm đoạt tài sản từ nạn nhân. Cụ thể, những kẻ này sẽ xây dựng lòng tin với người dùng như trò chuyện qua mạng, chơi game, hướng dẫn trading… 

          Sau đó, khi đã đủ niềm tin, họ sẽ kêu người dùng đầu tư vào những token/crypto mà kẻ lừa đảo làm ra. Cuối cùng, chúng cắt đứt liên lạc và bỏ trốn cùng số tiền của người dùng.

          Theo số liệu của FBI, năm 2021, có tới 429 triệu USD bị đánh cắp theo hình thức Romance Scam, 75% số nạn nhân mất hơn một nửa tài sản và 25% còn lại rơi vào cảnh nợ nần.

          Do đó, trước khi nghe lời chào đầu tư từ những người quen qua mạng, người dùng nên lưu ý ở một số điểm sau:

          • Cho dù bạn tin tưởng người quen trên mạng như thế nào, một khi bước chân vào thị trường, hãy luôn tỉnh táo.
            • Khi những kẻ trên mạng chia sẻ đường link, hãy luôn kiểm tra trước khi bấm. Ngoài ra, nếu những kẻ lừa đảo đưa bạn link download, người dùng nên từ chối bấm vào.

              Ice Phishing

              Ice Phishing là loại hình mà hacker tạo ra một trang web và cho phép người dùng thực hiện những thao tác trên ví như sign wallet (ký ví), approve… Từ đó, hacker có thể tự do di chuyển tài sản trên ví nạn nhân.

              Thay vì tạo trang web giả mạo như phishing attack, các tin tặc làm ra một trang web riêng biệt và truyền tin đồn airdrop… Sau đó, người dùng đến với trang web và thực hiện sign wallet hoặc approve, từ đây khiến nhiều người mất đi tài sản trong ví.

              Vì vậy, người dùng hãy luôn cảnh giác với những trường hợp này, đặc biệt phải luôn tỉnh táo và hoài nghi các yêu cầu sign wallet. Ngoài ra, nếu đã lỡ approve, người dùng có thể revoke (thu hồi) trên các ứng dụng như Coin98 Wallet. Revoke.cash, Unrekt…

              Ponzi/ Pyramid Scam

              Ponzi là mô hình hoạt động bị cấm trên nhiều quốc gia, khi những thành viên ở vị trí cao hơn chiêu mộ những thành viên ở tầng thấp hơn và nhận tiền phí từ những thành viên này.

              Tóm gọn lại, mô hình hoạt động của Ponzi dựa trên việc lừa đảo nhà đầu tư bằng cách hứa hẹn lợi nhuận cao, nhưng thực tế là sử dụng tiền của nhà đầu tư mới trả lợi nhuận cho những nhà đầu tư cũ. Đây là cách mà Ponzi tạo ra vòng lặp gian lận và duy trì sự tin tưởng giả dối từ người tham gia.

              Một số ví dụ điển hình về Ponzi có thể kể đến bao gồm BitConnect (lừa đảo 2.7 tỷ USD), OneCoin (thiệt hại 4 tỷ USD)...

              Đọc thêm: Ponzi là gì? Tại sao nhiều nhà đầu tư Crypto vẫn sập bẫy Ponzi?

              Mô hình hoạt động của ponzi
              Mô hình hoạt động của Ponzi

              Rug Pull

              Rug pull là thuật ngữ lừa đảo ám chỉ những nhà phát triển đột ngột rút thanh khoản khiến token mất giá trị. Khác với exit scam, rug pull chỉ sử dụng khi dự án đã được giao dịch ở sàn DEX và sau đó biến mất.

              Ví dụ về dự án Rug Pull đó là AnubisDAO, sau khi Dogdecoin nổi lên năm 2021, AnubisDAO thu hút được rất nhiều nhà đầu tư tham gia. Cụ thể, thanh khoản AnubisDAO được cung cấp 13,000 ETH, tương đương hơn 25 triệu USD. Tuy nhiên, chỉ sau 20 tiếng được cung cấp thanh khoản, đội ngũ AnubisDAO đã ngay lập tức rút toàn bộ 13,000 ETH và cao chạy xa bay, khiến nhiều nhà đầu tư bàng hoàng. 

              Đọc thêm: Rug Pull là gì? Dấu hiệu nhận biết & Cách phòng tránh Rug Pull chi tiết cho người mới

              Cách nhận biết Scam

              Dưới đây là một số cách để nhận biết dấu hiệu scam:

              • Hứa hẹn lợi nhuận khổng lồ: Thông thường, những hành vi lừa đảo luôn đưa ra những lời hứa về lợi nhuận khổng lồ. Tuy nhiên, đầu tư thì không có gì để đảm bảo người dùng luôn có lợi nhuận. Vì vậy, nếu lời hứa quá tốt để trở thành sự thật, thì những hứa hẹn này là lừa đảo.
                • Thông tin dự án ẩn danh: Là yếu tố để đánh giá dự án scam, những nền tảng thiếu đi nhiều thông tin như mô hình hoạt động, đội ngũ dự án, nhà đầu tư… thường có xu hướng trở thành dự án lừa đảo. Ở chiều hướng ngược lại, đối với những dự án hợp pháp, họ thường có xu hướng giải thích cặn kẽ về mô hình hoạt động của nền tảng và công khai những thông tin về dự án.
                  • Quảng cáo (marketing) quá nhiều: Là một trong những “cờ đỏ” về scam, marketing quan trọng khi dự án đã có sản phẩm. Tuy nhiên, việc marketing quá nhiều về token không có chức năng, ý nghĩa có thể là một dự án lừa đảo.
                    • Không có kiểm tra bảo mật (audit): Đối với một số dự án, kiểm tra bảo mật là cách thức xác minh tính an toàn của token. Vì vậy, người dùng nên lưu ý đối với những dự án không có bảo mật.

                      Cách phòng tránh Scam

                      Vấn đề hiện đại, đòi hỏi những giải pháp hiện đại”, đây là câu nói phổ biến của Mark Zuckerberg - Founder của Meta, ám chỉ các vấn đề scam tại thị trường non trẻ như crypto luôn cần những giải pháp mới, bao gồm:

                      các cách phòng tránh scam
                      4 cách phòng chống scam tại thị trường crypto

                      Luôn revoke sau khi giao dịch

                      Revoke là hình thức thu hồi quyền truy cập của các ứng dụng DeFi. Người dùng nên có thói quen revoke ví sau khi tương tác với các dApp, kể cả những dApp nổi tiếng như Uniswap, Balancer… vì các ứng dụng này vẫn có thể những lỗ hổng bảo mật mà hacker có thể lợi dụng.

                      Ví dụ, Sushiswap là ứng dụng rất được nhiều người tin tưởng và đạt TVL lên tới 400 triệu USD, từ đó khiến nhiều người chủ quan và hạn chế revoke những contract tương tác với Sushiswap.

                      Ngày 9/4/2023, Sushiswap bị hack, người dùng không revoke trước đó đã bị mất tài sản trên ví.

                      Sử dụng Anti Phishing Code

                      Anti Phishing Code là tính năng của các sàn giao dịch, cho phép người dùng có thêm một lớp bảo mật nhằm hạn chế đi những cách thức gồm: giả mạo email, giả mạo voice chat…

                      Cụ thể, khi người dùng kích hoạt anti phishing code, hệ thống sẽ tự động sử dụng mã này cho tất cả các email từ sàn giao dịch gửi cho người dùng. Từ đó, giúp người dùng phân biệt email thật và email giả và hạn chế đi phishing attack.

                      Luôn tỉnh táo khi tham gia thị trường crypto

                      Điều này nghe có vẻ đơn giản, nhưng thị trường crypto luôn có nhiều câu chuyện về sự đổi đời của một số cá nhân. Từ đó, những câu chuyện này đã vô hình chung giảm đi sự đề phòng của nhiều người, và khiến họ dính vào những cạm bẫy scam.

                      Vì vậy, người dùng hãy luôn nâng cao cảnh giác và tỉnh táo khi tham gia thị trường crypto.

                      Đọc thêm: Nhận airdrop hàng ngàn đô, tôi vẫn mất tất cả

                      Luôn xác thực mọi thông tin

                      Người dùng nên trang bị thói quen luôn xác thực thông tin trước khi tham gia đầu tư. Lấy ví dụ, tài khoản X của CEO LayerZero bị hack và tung tin đồn về việc airdrop, dụ dỗ người dùng nhấp vào đường link nhằm mục đích lấy tiền từ ví của họ. Vì vậy, đối với những người chưa có xác thực thông tin tài khoản CEO bị hack, họ sẽ dễ dàng bị lừa.

                      Ngoài ra, việc xác thực thông tin cũng giúp người dùng có thêm kỹ năng như đánh giá dự án, hiểu hơn về mô hình hoạt động, coding… Từ đó, phòng tránh những hình thức lừa đảo như MEV Bot, Airdrop scam…

                      Một số câu hỏi thường gặp

                      Scam trong crypto có vi phạm pháp luật không?

                      Câu trả lời là có, hiện tại những hành vi scam ở crypto đều bị xử theo pháp luật ở hầu hết quốc gia (kể cả Việt Nam, theo khoản 5 Điều 163 Bộ luật Tố tụng Hình sự 2015).

                      Bị lừa đảo có lấy lại được tiền không?

                      Khả năng mọi người lấy lại là thấp. Tuy nhiên, nếu bạn bị scam, đầu tiên hãy kiểm tra số tiền đang được chuyển đi đâu. Nếu số tiền đó đang được chuyển lên các sàn giao dịch tập trung (CEX), hãy ngay lập tức liên hệ với sàn đó khóa lại số tiền của hacker.

                      Đọc thêm: Cách kiểm tra giao dịch trên các blockchain

                      icon
                      iconicon
                      Comment

                      You need toorto comment