SlowMist, một công ty bảo mật blockchain nổi tiếng, đã đưa ra cảnh báo về một cuộc tấn công lừa đảo tinh vi nhắm vào người dùng MetaMask. Giám đốc An ninh của SlowMist, người sử dụng biệt danh 23pds, đã cảnh báo cộng đồng tiền điện tử về mối đe dọa ngày càng tăng từ các tên miền MetaMask giả mạo, được sử dụng để đánh cắp thông tin nhạy cảm vào ngày 5 tháng 1 năm 2026. Cuộc tấn công bao gồm nhiều bước gian lận lợi dụng lòng tin của người dùng vào các biện pháp bảo mật, bao gồm xác thực hai yếu tố (2FA), để đánh cắp nội dung ví có giá trị, trong đó có các cụm từ khôi phục.
Vụ lừa đảo bắt đầu bằng việc một nhóm tin tặc đăng ký các tên miền giả mạo có tên tương tự với tên miền chính thức của MetaMask. Ví dụ, người dùng có thể bị lừa truy cập vào trang web có tên mertamask chứ không phải trang metamask chính thức. Sau khi rơi vào bẫy lừa đảo, các nạn nhân sẽ bị chuyển hướng đến một trang web trông giống như cảnh báo bảo mật của MetaMask.
Sau đó, tin tặc sẽ hiển thị một trang xác thực hai yếu tố (2FA) giả mạo, đầy rẫy đồng hồ đếm ngược và các biện pháp bảo mật. Mục tiêu của giao diện giả mạo này là để lấy lòng tin, nơi người dùng được yêu cầu nhập cụm từ khôi phục của họ bằng cách giả vờ đó là một quy trình xác thực. Trước khi nạn nhân nhập cụm từ khôi phục, kẻ tấn công sẽ có toàn quyền truy cập vào ví của họ.
Nguồn: X
Thiệt hại do tấn công lừa đảo giảm nhưng các cuộc tấn công ngày càng tinh vi.
Một báo cáo mới cho biết thiệt hại do lừa đảo trực tuyến giảm 83%, từ gần 494 triệu đô la năm 2024 xuống còn 83,85 triệu đô la năm 2025. Số người dùng bị ảnh hưởng cũng giảm 68%, tương đương với mức giảm hàng năm từ khoảng 330.000 người dùng xuống còn 106.000 người.
Mặc dù tổng thiệt hại đã giảm, vụ lừa đảo xác thực hai yếu tố (2FA) MetaMask là một lời cảnh tỉnh tốt cho thấy các tác nhân đe dọa vẫn đang nâng cao kỹ năng của chúng. Theo các nhà phân tích trong lĩnh vực an ninh, lừa đảo trực tuyến vẫn gắn liền với các hoạt động thị trường nói chung, bao gồm khối lượng giao dịch và sự tăng giảm của tiền điện tử. Ví dụ, Ethereum ghi nhận khoản lỗ lớn nhất vào năm 2025 khi dự án đang rất mạnh mẽ trong quý 3 và thiệt hại do lừa đảo trực tuyến lên tới gần 31 triệu đô la.
Việc giảm số lượng thiệt hại không liên quan đến việc giảm số vụ tấn công mà là do thay đổi chiến lược. Những kẻ tấn công đã chuyển hướng sang các chiến dịch bán lẻ quy mô lớn thay vì các vụ trộm cắp quy mô lớn, nhắm vào những đối tượng nổi bật. Mặc dù số vụ vượt quá 1 triệu trong năm 2025 chỉ là 11, so với 30 vụ năm trước, nhưng những kẻ tấn công đã chuyển sang việc lấy đi những khoản tiền nhỏ hơn từ nhiều nạn nhân hơn. Người dùng bán lẻ ít bị tập trung vào các mục tiêu riêng lẻ, có giá trị cao hơn, vì mức thiệt hại trung bình mỗi nạn nhân trong năm 2025 là 790.
Các phương thức tấn công hữu ích nhất trong năm 2025 là phê duyệt Permit và Permit2, gây ra 38% thiệt hại trong các trường hợp vượt quá 1 triệu đô la. Bản nâng cấp Ethereum Pectra cũng giới thiệu các phương thức tấn công mới, và kẻ tấn công đã lợi dụng các chữ ký độc hại dựa trên EIP-7702. Những chữ ký này cho phép nhiều hoạt động độc hại được gói gọn trong một sự đồng ý của người dùng, gây ra nhiều mối đe dọa hơn cho chủ sở hữu ví. Đã có hai sự cố khai thác lỗ hổng này vào tháng 8 năm 2025 dẫn đến tổng thiệt hại là 2,54 triệu đô la.
Các nhà cung cấp ví điện tử lớn như MetaMask, Phantom, WalletConnect và Backpack đã hợp tác để tạo ra một mạng lưới phòng chống lừa đảo toàn cầu nhằm đối phó với các mối đe dọa hiện nay. Điều này là nhờ sự hợp tác với Liên minh An ninh (SEAL), một hệ thống miễn dịch phi tập trung đã được phát triển, nhằm mục đích phát hiện và chống lại các cuộc tấn công lừa đảo trong thời gian thực.
Hệ thống SEAL cho phép người dùng và các nhà nghiên cứu báo cáo các hoạt động lừa đảo trên toàn cầu, và quy trình này được tự động xác minh và phân phối đến các ví điện tử liên quan. Dự án sẽ giúp tăng tốc độ phản hồi và giảm thiểu chi phí của các cuộc tấn công lừa đảo. Bên cạnh đó, SEAL có một công cụ báo cáo lừa đảo có thể xác minh được, cho phép các chuyên gia bảo mật chứng minh tính xác thực của các trang web lừa đảo để tăng cường khả năng phát hiện mối đe dọa tổng thể.
Một trong những mối đe dọa đang gia tăng: Deepfakes và các phương thức tấn công khác.
Vào tháng 4 năm 2025, Kenny Li, đồng sáng lập Manta Network, thông báo rằng ông là nạn nhân của một cuộc tấn công công nghệ cao liên quan đến deepfake. Trong một cuộc gọi Zoom, những kẻ tấn công đã ghi lại video của những người quen biết và chèn chúng vào cuộc họp, sau đó lừa Li cài đặt phần mềm độc hại dưới vỏ bọc cập nhật Zoom. Người ta ước tính rằng cuộc tấn công này có liên quan đến Nhóm Lazarus, một nhóm tin tặc được cho là có liên hệ với Triều Tiên.
Các vụ tấn công mạng và các hình thức khai thác an ninh mạng khác liên quan đến thiệt hại trong lĩnh vực tiền điện tử cũng giảm mạnh trong tháng 12 năm 2025, giảm 60% xuống còn khoảng 76 triệu đô la, so với tháng 11 khi con số này là 194,2 triệu đô la. Tuy nhiên, các chuyên gia cảnh báo rằng một số cuộc tấn công cũ, bao gồm cả các vụ lừa đảo đầu độc địa chỉ và tấn công ví trình duyệt, vẫn đang hoạt động nhắm vào người dùng, và những ví dụ này cho thấy khó khăn dai dẳng trong việc bảo mật tài sản tiền điện tử.
Ngành công nghiệp đã có bước tiến trong lĩnh vực phòng thủ, các bên chủ chốt trong ngành ví điện tử đã cùng nhau chống lại tấn công lừa đảo. Bản chất năng động của những kẻ tấn công đòi hỏi các biện pháp bảo mật phải liên tục thay đổi. Người dùng cần cẩn trọng và đề phòng hơn khi thực hiện các biện pháp bảo mật, đặc biệt khi được yêu cầu nhập thông tin ví nhạy cảm như cụm từ khôi phục. Việc phát triển các bẫy lừa đảo vẫn tiếp diễn, đó là lý do tại sao sự hợp tác giữa người dùng và nhà cung cấp dịch vụ là cần thiết để đảm bảo an toàn cho toàn bộ hệ sinh thái tiền điện tử.
