Chuyên gia điều tra on-chain ZachXBT cảnh báo rằng tính năng xã hội được quảng cáo cho ví Phantom, "Phantom Chat," là một phương pháp mới để "lừa đảo các nhà đầu tư."
Trong một thông báo được đưa ra hôm Chủ nhật, ví đa chuỗi Phantom cho biết nền tảng xã hội tích hợp mới của họ là một công cụ nhắn tin dự kiến ra mắt vào năm 2026, như một phần trong quá trình phát triển tương tác trong ví của họ.
ZachXBT đã bình luận về bài đăng của Phantom trên X, cho rằng công ty vẫn chưa giải quyết được vấn nạn lừa đảo ảnh hưởng đến người dùng, được gọi là "đầu độc địa chỉ". Anh ấy dẫn chứng một trường hợp gần đây, trong đó một nạn nhân đã mất 3,5 Wrapped Bitcoin sau khi sao chép một địa chỉ giả mạo từ lịch sử giao dịch. Theo bài đăng công khai của nhà điều tra, vụ việc xảy ra vào tuần trước.
“Tuần trước, một nạn nhân đã mất 3,5 WBTC vì giao diện người dùng của các bạn vẫn chưa lọc được các giao dịch spam, nên họ đã vô tình sao chép nhầm địa chỉ từ các giao dịch gần đây do các ký tự đầu tiên trông khá giống nhau”, ông cho biết .
Điều tra viên 2D đã xác định địa chỉ xảy ra vụ trộm là 0x85cB…Af11D8f6, với Hash giao dịch là 0x9f0fc3cd…267a647a4.
Phương pháp đầu độc địa chỉ hoạt động như thế nào?
Theo nhà cung cấp ví MetaMask, việc đánh cắp địa chỉ bắt đầu bằng việc kẻ tấn công gửi cho nạn nhân các giao dịch chuyển Token có giá trị rất thấp hoặc không có giá trị gì. Mục đích của những giao dịch "vô dụng" này là để thêm các địa chỉ ảo vào lịch sử giao dịch của nạn nhân tiềm năng. Nhưng trước khi quyết định mục tiêu nào sẽ bị tấn công, chúng sẽ quét chuỗi khối để tìm các ví đang hoạt động.
Địa chỉ ví ảo được tạo ra sao cho trùng khớp với các ký tự đầu và cuối của địa chỉ ví mục tiêu bằng cách sử dụng các công cụ như Profanity, một trình tạo địa chỉ ví mã nguồn mở. Hầu hết người dùng không thể nhớ hết địa chỉ ví đầy đủ vì chúng quá dài.
Xét hai blockchain phổ biến nhất, địa chỉ Bitcoin có từ 26 đến 35 ký tự, trong khi địa chỉ kiểu Ethereum có 42 ký tự. Thay vì kiểm tra từng ký tự, người dùng có thể chỉ liếc qua chữ số đầu tiên và cuối cùng, vô tình sao chép nhầm địa chỉ. Kẻ gian sẽ cố tình thiết kế địa chỉ giả mạo sao cho vượt qua được bước kiểm tra nhanh đó.
Anh bạn, tôi cũng gặp vấn đề tương tự. Tôi đang chuyển $ SOL sang USDC thì nó bị kẹt ở cái ví chết tiệt này.
EVDheTpoa43cSgAv544qmtodriLmoV1asre5PSsPw8DT
Việc đó đã xảy ra hai lần.
Tôi sẽ không bao giờ dùng cái ứng dụng chết tiệt này nữa. @phantom pic.twitter.com/rubw0JhJ1k— Kill4h (@cryptokill4h) 10 tháng 2 năm 2026
MetaMask cho biết việc giả mạo địa chỉ tiền điện tử rất giống với cách tin tặc sử dụng tấn công lừa đảo (phishing) để đánh cắp thông tin từ các ngân hàng. Tội phạm sao chép giao diện của các tổ chức như Wells Fargo để đánh cắp thông tin đăng nhập, nhưng trong lĩnh vực tiền điện tử, chính địa chỉ đó mới là vỏ bọc.
ZachXBT đã chia sẻ ảnh chụp màn hình của một số nạn nhân bị đánh cắp thông tin sau khi một người dùng X đặt câu hỏi tại sao ai đó lại sao chép các giao dịch cũ. Anh ấy trả lời, "Vì sự tiện lợi (các vụ trộm xảy ra thường xuyên hơn bạn nghĩ)".
Trước đó, vào tháng 12, Phantom đã thử nghiệm tính năng liên lạc trong ví thông qua quan hệ đối tác với Kalshi trong lĩnh vực thị trường dự đoán, bao gồm cả tính năng trò chuyện trực tiếp. Tính năng nhắn tin trong ví có thể cho phép kẻ gian mạo danh các liên hệ đáng tin cậy hoặc gửi các liên kết độc hại.
“Thành thật mà nói, bạn gái cũ của tôi đã tải Phantom về khi Elon nhắc đến những người bạn đồng hành mà tôi đã gửi cho cô ấy, khoảng 200 đô la tiền Ani, và cô ấy nói rằng cô ấy đã bị lừa vì số tiền đó về 0… Tôi cho rằng cô ấy đã bấm nhầm nút nào đó nhưng chưa bao giờ xâu chuỗi các sự kiện lại với nhau cho đến bây giờ,” một người dùng X khác phàn nàn, phản hồi lại những phát hiện của ZachXBT.
Người dùng ảo gặp khó khăn với các cuộc tấn công lừa đảo.
Tháng 12 năm ngoái, một người dùng Solana tên Jack đã báo cáo mất 9.000 đô la do bị lừa đảo rút tiền. Giải thích về sự việc cho một số hãng tin, Jack cho rằng vụ việc bắt đầu từ một quảng cáo trên Instagram, nơi những người nắm giữ $ SOL bị thuyết phục tham gia một chương trình khuyến mãi hứa hẹn "lợi nhuận nhanh chóng", mặc dù LINK (Chainlink) được chia sẻ dẫn họ đến một trang web lừa đảo.
Sau khi nhấp vào LINK (Chainlink) lừa đảo, anh ta đã chấp thuận một giao dịch chuyển tiền đến, khiến ví của anh ta bị tấn công bởi một đoạn mã JavaScript độc hại có tên là “ SkyDrainer ”. Đoạn mã này đã rút hết tiền trong ví của anh ta, và trang web biến mất khỏi các tab trình duyệt.
Nạn nhân sau đó đã lần theo dấu vết của kẻ chuyên hút cạn tài nguyên, tìm thấy các bài đăng trên các diễn đàn ngầm như Cracked[.]sh và trang web LolzTeam của Nga. Một bài đăng trên diễn đàn quảng cáo "Kẻ hút cạn tài nguyên Solana số 1 tối thượng", quảng bá các phương pháp vượt qua bảo mật, dịch vụ lưu trữ và che giấu tài nguyên với phí dịch vụ 10%.
Dữ liệu từ công ty bảo mật blockchain Scam Sniffer cho thấy các vụ lừa đảo ví điện tử liên quan đến việc đánh cắp địa chỉ và lừa đảo chữ ký đã gây ra thiệt hại lớn nhất trong tháng Giêng. Trong một trường hợp, một nạn nhân đã mất 12,2 triệu đô la sau khi sao chép một địa chỉ bị đánh cắp.
