Một người dùng crypto chưa xác định danh tính đã bị mất 999,999 USDT vì một cuộc tấn công phishing trên Ethereum sau khi ký xác nhận cấp quyền truy cập token giả mạo.
Dữ liệu on-chain cho thấy kẻ tấn công đã chia số tiền đánh cắp thành ba giao dịch nhỏ hơn. Các giao dịch này được thực hiện liên tiếp trên các block Ethereum 25489460 và 25489463 chỉ trong vài phút sau khi có chữ ký xác nhận.
Phishing bằng cách xin phê duyệt token tiếp tục là một trong những mối đe dọa phổ biến nhất trong lĩnh vực tài chính phi tập trung (DeFi). Kẻ tấn công không cần truy cập vào khoá riêng tư của nạn nhân để lấy tiền. Thay vào đó, họ lừa người dùng ký xác nhận cung cấp quyền truy cập rộng cho một hợp đồng. Quyền này sẽ tồn tại cho đến khi ai đó chủ động huỷ bỏ nó.
Kiểu tấn công này đã nhiều lần khiến các nhà đầu tư crypto thiệt hại trong suốt năm 2026. Ví của nạn nhân lần này đã cấp phép không giới hạn cho token, tạo điều kiện cho kẻ tấn công thực hiện ý đồ một cách dễ dàng mà không cần xác nhận thêm. Vào tháng 05, một trang lừa đảo giả Uniswap đã đánh cắp khoảng 400,000 USD từ nhiều ví của người dùng sau khi họ phê duyệt hợp đồng độc hại. Ngoài ra, một chiến dịch airdrop giả cũng đã lừa một người dùng HyperSwap trong tháng này. Ví của nạn nhân bị rút sạch chỉ vài giây sau một lần nhấp chuột.
Scam Sniffer. Source: X🚨 Someone lost $999,999 in USDT after signing a phishing token approval on Ethereum. 🎣victim: 0x8c949361b49320c48a51f4b1c6f9f83862530f89tx: https://t.co/54YXrwiVBi🧵 pic.twitter.com/hnHPeQjNML
— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) July 9, 2026
Trong vụ việc lần này, kẻ tấn công đã sử dụng chức năng Multicall để kết hợp nhiều thao tác trong một giao dịch duy nhất. Nhờ vậy, trong vài giây, kẻ tấn công đã chuyển số USDT vừa có quyền truy cập sang các địa chỉ khác nhau. Số tiền này nhanh chóng được chia thành ba phần khác nhau gần như ngay lập tức.
Tốc độ này khiến nạn nhân gần như không còn cơ hội để kịp thời thu hồi quyền cấp phép. Toàn bộ quá trình, khoá riêng tư của ví vẫn không bị ảnh hưởng. Chính vì vậy, đa phần các cảnh báo của ví điện tử hiện không dễ nhận diện kiểu tấn công này.
Cách thức này cũng tương tự một số chiến dịch lừa đảo poisoning địa chỉ ví gần đây, nơi những kẻ xấu lợi dụng cấu trúc giao dịch thay vì trộm thông tin đăng nhập. Theo Scam Sniffer, thiệt hại do phishing tăng 200% trong năm nay chủ yếu là bởi các ví có số dư lớn là mục tiêu mới của hacker.
Sau vụ việc, các chuyên gia từ Scam Sniffer đã tiếp tục đưa ra lời khuyên rằng người dùng nên kiểm tra kỹ lưỡng mọi yêu cầu ký xác nhận trước khi chấp nhận. Doanh nghiệp này khuyến cáo nên xác minh địa chỉ hợp đồng và phạm vi quyền được hiển thị trên ví. Người dùng không nên phê duyệt yêu cầu chỉ vì thói quen. Việc thường xuyên thu hồi các quyền cấp phép không dùng tới hoặc quyền không giới hạn là một trong những cách bảo vệ đơn giản nhất trước kiểu lừa đảo này.
Trường hợp lần này cũng giống với chiến dịch lừa đảo MetaMask được phát hiện vào tháng 01, khi hacker dùng những thông báo giả về xác thực hai bước để lừa người dùng mà họ không hề nghi ngờ. Các nhà cung cấp ví vẫn đang liên tục cập nhật các cơ chế bảo vệ mới. Tuy nhiên, các chuyên gia vẫn lưu ý rằng không có thay đổi giao diện nào có thể thay thế việc người dùng tự đọc kỹ thông tin của mỗi yêu cầu ký xác nhận.
Khoảng cách giữa một cú nhấp ký xác nhận và việc ví bị rút sạch ngày càng bị rút ngắn đối với người dùng Ethereum khi các thủ thuật phishing ngày càng tinh vi và tự động hoá hơn.