Các NFT lừa đảo: Những email spam của Web3

Bạn mở Ledger Wallet và nhìn thấy một NFT mới xuất hiện trong tài khoản Polygon của mình. Hào hứng, bạn nhấp vào NFT đó và thấy một thông báo: “Xin chúc mừng! Bạn đã trúng 1000 ETH. Chỉ cần truy cập definitely-not-a-scam-nft-site.com để nhận phần thưởng.”

Bạn kết nối ví và được yêu cầu claim airdrop. Đầy háo hức, bạn cắm thiết bị Nano, xác nhận giao dịch trên Metamask, thực hiện blind signing giao dịch trên thiết bị của mình rồi quay lại Ledger Wallet để kiểm tra số dư. Thật bất ngờ, không hề có stETH nào xuất hiện, và tệ hơn nữa, toàn bộ token trong ví của bạn đã biến mất! Chỉ cần như vậy thôi là bạn đã trở thành nạn nhân của một trong những hình thức lừa đảo phổ biến nhất đang nhắm vào người nắm giữ crypto hiện nay. Vậy chuyện gì đã xảy ra?

Chúng ta đều đã nghe về airdrop, và nếu may mắn, có thể bạn từng kiếm được kha khá tiền nhờ claim chúng trước đây. Nhưng đó cũng chính là mánh khóe: ai cũng thích “được cho không”. Và những kẻ lừa đảo khai thác chính tâm lý đó. Tất nhiên, scam NFT tinh vi hơn rất nhiều so với các hình thức lừa đảo thông thường. Chúng khó bị phát hiện hơn nhiều, ngay cả với những người dùng crypto dày dạn kinh nghiệm.

Vậy chính xác trò lừa này hoạt động như thế nào?

Scam NFT: Chúng là gì và cách hoạt động của chiêu trò lừa đảo

Scam NFT là phiên bản email lừa đảo của Web3. Cũng giống như email spam vẫn liên tục xuất hiện trong hộp thư trên toàn thế giới, scam NFT cũng tràn lan trên các địa chỉ ví blockchain. “Kịch bản” thực hiện gần như giống hệt nhau. Và mặc dù chúng ta đã có nhiều năm để phát triển các hệ thống phát hiện và lọc spam/phishing trong email, thế giới crypto vẫn còn khá “hoang dã”. Vì thế, scam NFT có phần khác biệt hơn.

Phần lớn scam NFT thường sử dụng các chiến thuật social engineering (kỹ nghệ xã hội) quen thuộc. Một số scam NFT cố lừa bạn giao nộp token hoặc NFT của mình, trong khi một số khác còn nhắm tới tài sản native của bạn như ETH, MATIC,…

Thông thường, sẽ luôn có một lời kêu gọi hành động khiến bạn phải phản ứng vội vàng: đồng hồ đếm ngược hoặc lời hứa về một khoản tiền khổng lồ là những chiêu trò phổ biến. Về bản chất, kẻ lừa đảo muốn bạn hành động thiếu lý trí và đưa ra quyết định thật nhanh. Chúng sẽ hứa hẹn đủ thứ: crypto miễn phí, quyền truy cập vào bộ sưu tập NFT,… bất cứ điều gì để khiến bạn “dính câu”.

Dù mỗi vụ lừa đảo có cách thể hiện riêng, nhưng chúng đều sử dụng cùng một công cụ: phishing. Đáng tiếc là việc truy cập vào một liên kết phishing có thể giúp kẻ xấu tiếp cận bạn theo hai cách: tải malware xuống máy tính để truy cập tệp tin và can thiệp màn hình của bạn; hoặc phổ biến hơn là lừa bạn ký một giao dịch độc hại.

Hãy cùng xem những hình thức lừa đảo này khác nhau như thế nào:

Scam NFT dẫn bạn tải malware

Đầu tiên, kẻ lừa đảo có thể dùng liên kết phishing trong NFT để dẫn bạn tới một trang web tải malware xuống máy tính. Điều này cho phép kẻ tấn công đọc các tệp dữ liệu của bạn. Nếu bạn sử dụng ví phần mềm (hot wallet), chúng có thể tìm thấy Secret Recovery Phrase hoặc private key của các tài khoản ngay trong bộ nhớ thiết bị. Thậm chí, chúng còn có thể cài keylogger để đánh cắp toàn bộ mật khẩu, không chỉ riêng tài khoản crypto của bạn.

Trong trường hợp này, việc bảo vệ tài sản bằng thiết bị Ledger sẽ giúp crypto của bạn an toàn hơn, bởi private key được lưu trữ tách biệt khỏi kết nối internet. Điều đó có nghĩa là tài sản crypto của bạn vẫn được bảo vệ khỏi malware hoặc spyware trên thiết bị Web2.

Tuy nhiên, loại Scam NFT phổ biến nhất lại sử dụng một phương thức khác để “bẫy” nạn nhân và nó cũng nhắm tới cả người dùng hardware wallet.

Scam NFT dẫn bạn ký giao dịch độc hại

Cụ thể hơn, một website phishing được đính kèm trong Scam NFT có thể dẫn bạn tới bước ký giao dịch và đây là điều mà thiết bị Ledger không thể tự động bảo vệ bạn khỏi. Việc sử dụng thiết bị Ledger trong hệ sinh thái Ledger là an toàn.

Tuy nhiên, nếu muốn dùng Ledger để truy cập ứng dụng hoặc dịch vụ bên ngoài Ledger Live, bạn sẽ cần kết nối với ví bên thứ ba như Metamask, Coinbase Wallet hoặc WalletConnect.

Đây chính là thời điểm nguy hiểm nhất: phần lớn người dùng không thực sự biết mình đang ký cái gì, và không phải ví nào cũng hiển thị đầy đủ chi tiết giao dịch dưới dạng ngôn ngữ dễ hiểu. Điều này được gọi là blind signing và đáng tiếc thay, đây là một vector tấn công rất phổ biến của kẻ lừa đảo. Thật không may, chỉ cần một lần xác nhận là đủ: nhấn “confirm” có thể ngay lập tức chuyển toàn bộ tài sản của bạn sang ví của scammer.

Điều gì xảy ra nếu tôi bán hoặc chuyển NFT đó?

Trước tiên: đừng làm vậy. Dù thế nào đi nữa, đừng tương tác với token có khả năng độc hại này. Trên thực tế, mặc dù những vụ lừa đảo kiểu này hiếm khi được kích hoạt chỉ bằng việc tương tác on-chain với NFT, nhưng bạn cũng chẳng thu được lợi ích gì từ việc bán hoặc chuyển những spam token này.

Có thể bạn đang nghĩ đến việc gửi chúng tới burn address. Nhưng thật ra, đó không hẳn là ý tưởng hay như bạn tưởng. Các smart contract của scam NFT thường được viết rất cẩu thả và kém tối ưu. Dĩ nhiên, scammer không hề quan tâm tới việc xây dựng một NFT contract tốt – mục tiêu duy nhất của chúng là đánh cắp tài sản từ những người dùng thiếu cảnh giác. Điều này có thể trực tiếp ảnh hưởng đến bạn khi cố chuyển scam NFT, bởi chi phí gọi contract có thể cực kỳ cao. Dù điều này chưa chắc mang lại lợi ích cho scammer, nhưng nó sẽ khiến bạn mất tiền gas vô ích.

Việc bán các NFT này cũng không phải giải pháp. Trong phần lớn trường hợp, smart contract sẽ ngăn bạn bán NFT. Đúng vậy, lời đề nghị mua 2 ETH cho “mẩu spam” kia hoàn toàn không thể quy đổi được. Đáng tiếc là việc viết logic ngăn người dùng kiếm lời từ spam token là rất dễ. Vì thế, bạn không nên cố chuyển hoặc bán scam NFT ra khỏi tài khoản. Thay vào đó, cách tốt nhất là chỉ cần ẩn chúng khỏi portfolio của bạn.

Tôi chỉ mới nhấp vào link, tôi nên làm gì?

Việc nhấp vào một liên kết lừa đảo thường sẽ không ngay lập tức ảnh hưởng đến thiết bị của bạn. Thông thường, website đó sẽ cố thuyết phục bạn tải malware xuống laptop hoặc smartphone, hoặc ký một giao dịch bằng ví crypto của mình. Nếu bạn đang sử dụng thiết bị Ledger, bạn không cần quá lo lắng về malware trên thiết bị Web2. Ngay cả khi laptop hoặc smartphone có chứa malware, Ledger vẫn lưu trữ private key và ký giao dịch trong một môi trường tách biệt riêng biệt.

Tuy nhiên, sử dụng Ledger không thể ngăn kẻ xấu nếu chính bạn ký vào một giao dịch độc hại. Vì vậy, nếu bạn lỡ truy cập một liên kết không đáng tin và được yêu cầu ký giao dịch: đừng làm điều đó! Đây là mối đe dọa lớn nhất đối với tài sản crypto của bạn, bất kể bạn đang dùng loại ví nào.

Tôi vừa ký một giao dịch độc hại, tôi phải làm sao?

Việc ký một giao dịch độc hại có thể gây hậu quả nghiêm trọng cho tài sản của bạn. Nếu bạn đã ký giao dịch trên một trang phishing, có thể đã quá muộn để cứu token của mình. Chỉ riêng hành động ký giao dịch cũng đủ để kích hoạt việc swap, chuyển hoặc “bán” tài sản và như vậy là tài sản của bạn đã có thể bị cuốn đi ngay lập tức.

Để tránh thiệt hại thêm, bạn nên ngay lập tức truy cập một công cụ cho phép thu hồi quyền phê duyệt (revoke approval). Một số công cụ phổ biến gồm Etherscan hoặc Revoke.cash. Lưu ý rằng thao tác này sẽ tốn một khoản phí gas nhỏ.

Cách quản lý scam NFT

Giờ đây bạn đã biết cần làm gì trong trường hợp khẩn cấp, hãy cùng xem những cách quan trọng nhất để tránh trở thành nạn nhân của scam NFT.

Đừng tin ngay, hãy xác minh!

Xác minh nghĩa là tự mình kiểm tra thông tin. Một câu nói nổi tiếng khác là “Do your own research” (DYOR). Những đợt airdrop hợp pháp thường tạo ra làn sóng thảo luận mạnh mẽ trên mạng xã hội. Hãy tìm kiếm trên Reddit và Twitter để xác minh tính xác thực của airdrop. Dẫu vậy, scammer cũng sẽ tạo các tài khoản giả để thổi phồng trò lừa của chúng. Hãy kiểm tra độ uy tín của dự án, hỏi ý kiến bạn bè am hiểu crypto, tham gia cộng đồng và chỉ khi đó mới quyết định liệu bạn có sẵn sàng chấp nhận rủi ro khi kết nối với contract đó hay không.

Khi còn nghi ngờ, đừng ký ngay!

Hãy kiểm tra kỹ chi tiết giao dịch trên giao diện ví trước khi phê duyệt bất cứ điều gì trên thiết bị Ledger. Scammer không thể lấy tài sản của bạn nếu không có chữ ký hợp lệ, vì vậy cách tốt nhất để tự bảo vệ mình là không ký giao dịch đó. Nếu bạn nhất quyết muốn kết nối, hãy cân nhắc sử dụng ví dùng một lần (burner wallet) để giữ các quyền phê duyệt tách biệt khỏi tài sản chính.

Báo cáo các vụ lừa đảo

Chúng tôi luôn nỗ lực giúp không gian crypto trở nên an toàn hơn, nhưng xử lý các website lừa đảo cũng giống như trò “đập chuột chũi” – cái này biến mất thì cái khác lại xuất hiện. Bạn có thể báo cáo scam tới các chuyên gia điều tra blockchain, dịch vụ báo cáo trực tuyến hoặc cơ quan chức năng. Nếu gặp các vụ lừa đảo liên quan tới thiết bị Ledger, hãy liên hệ đội ngũ hỗ trợ khách hàng.

Truy cập ứng dụng và dịch vụ qua Ledger Wallet

Bạn có thể nhìn thấy scam NFT hiển thị trong Ledger Wallet. Nếu phát hiện các NFT lạ trong Ledger Wallet, đừng tương tác với chúng. Scam NFT luôn cố dẫn bạn rời khỏi Ledger Wallet. Việc phớt lờ điều đó chính là bước đầu tiên để giữ an toàn cho crypto của bạn. Vì lý do bảo mật, Ledger Wallet được thiết kế để không cho phép sao chép/dán URL từ NFT. Tuy nhiên, nếu bạn vẫn truy cập liên kết phishing thông qua nền tảng khác, có thể bạn sẽ ngạc nhiên vì các website lừa đảo này trông cực kỳ giống thật.

Việc truy cập ứng dụng và dịch vụ thông qua Ledger Wallet đồng nghĩa bạn được hưởng lợi từ clear signing plugin. Điều này cho phép bạn mua bán NFT trên các thị trường được hỗ trợ, đồng thời đọc nội dung giao dịch dưới dạng ngôn ngữ dễ hiểu. Vậy nên, tại sao không sở hữu một thiết bị Ledger và quản lý NFT của mình với cả kiến thức lẫn bảo mật ở bên cạnh?

Hãy nhớ: yếu tố quan trọng nhất trong bất kỳ giao dịch nào chính là bạn. Chỉ có bạn mới có thể giữ an toàn cho tài sản của mình. Thiết bị Ledger có thể bảo vệ tài sản trước các mối đe dọa trực tuyến, nhưng chính bạn mới là người phê duyệt giao dịch; vì vậy, đừng vội tin, hãy xác minh.

Hiện tại, các thiết bị ví lạnh Ledger luôn có mặt sẵn tại DigiBit – đại lý uỷ quyền của Ledger tại Việt Nam. Nếu có bất kỳ thắc mắc nào, bạn luôn có thể liên hệ với Team DigiBit để được hỗ trợ.