Tài khoản ví cryptocurrency chứa hàng nghìn đô la có thể bị "hút cạn" chỉ trong vài giây mà không hề bị hack theo nghĩa truyền thống. Thay vào đó, những kẻ tấn công hiện đại đang sử dụng chiến thuật tinh vi hơn nhiều: lừa người dùng tự tay phê duyệt các giao dịch độc hại. Nền tảng Lucifer DaaS (Drainer as a Service) mới được phát hiện đã biến việc trộm cắp ví điện tử thành một dây chuyền sản xuất tự động hóa hoàn chỉnh. Chúng tôi tin rằng đây là bước tiến nguy hiểm trong lĩnh vực tội phạm mạng tiền điện tử.

Khi tội phạm mạng chuyển sang mô hình "dịch vụ"

Crypto Drainer không phải khái niệm mới, nhưng việc chuyển sang mô hình DaaS (Drainer as a Service) đánh dấu bước ngoặt đáng lo ngại. Nền tảng Lucifer cho phép kể cả những kẻ không có kiến thức kỹ thuật cũng có thể thuê dịch vụ "hút cạn" ví tiền điện tử với chi phí khởi điểm chỉ vài trăm đô la. Hệ thống này hoạt động giống như một công ty công nghệ thực thụ, với giao diện thân thiện, tài liệu hướng dẫn chi tiết và thậm chí cả dịch vụ chăm sóc khách hàng.

Theo phân tích của Flare, những kẻ tấn công chỉ cần tạo các trang web giả mạo, thiết lập chiến dịch phishing và để hệ thống Lucifer tự động xử lý phần còn lại. Khi nạn nhân truy cập vào các trang web lừa đảo này và kết nối ví của họ, mã độc sẽ ngay lập tức quét toàn bộ tài sản crypto và tự động tạo ra các giao dịch chuyển tiền có vẻ hợp lệ. Chúng tôi đánh giá đây là sự tiến hóa nguy hiểm, biến tội phạm mạng từ hoạt động cá thể thành ngành công nghiệp quy mô.

Cơ chế "lừa phê duyệt" thay thế hack truyền thống

Điểm khác biệt cốt lõi của crypto drainer hiện đại nằm ở chỗ chúng không cần phá vỡ bảo mật ví. Thay vào đó, chúng khai thác cơ chế approval (phê duyệt) có sẵn trong các giao thức blockchain như Ethereum. Khi người dùng muốn tương tác với một ứng dụng phi tập trung (DApp), họ phải phê duyệt cho ứng dụng đó quyền truy cập vào một lượng token nhất định trong ví. Crypto drainer lợi dụng quy trình này bằng cách giả mạo các DApp hợp pháp.

Cụ thể, khi nạn nhân kết nối ví với trang web giả mạo, một cửa sổ popup sẽ xuất hiện yêu cầu phê duyệt giao dịch. Giao diện này được thiết kế gần như giống hệt các ứng dụng thật, khiến người dùng dễ dàng nhấn "Approve" mà không nghi ngờ. Một khi được phê duyệt, mã độc sẽ có toàn quyền chuyển tài sản trong ví sang địa chỉ của kẻ tấn công. Quá trình này diễn ra tự động và hoàn tất trong vòng vài phút, thường là quá nhanh để nạn nhân có thể phản ứng.

Quy mô thiệt hại và xu hướng gia tăng

Số liệu thống kê về thiệt hại từ crypto drainer đang gia tăng một cách đáng báo động. Theo báo cáo của Chainalysis, tổng giá trị tài sản bị đánh cắp thông qua các cuộc tấn công drainer đã vượt mức 295 triệu đô la chỉ trong năm 2023. Riêng nền tảng Lucifer được ước tính đã hỗ trợ đánh cắp hơn 45 triệu đô la trong 6 tháng đầu hoạt động. Con số này cho thấy mức độ tự động hóa và hiệu quả đáng sợ của mô hình DaaS.

Tại Việt Nam, mặc dù chưa có thống kê chính thức về thiệt hại từ crypto drainer, nhưng số lượng người dùng tiền điện tử trong nước đang tăng nhanh theo báo cáo của Hiệp hội Blockchain Việt Nam. Chúng tôi cho rằng người dùng Việt Nam đặc biệt dễ bị tấn công do thói quen click vào các liên kết từ mạng xã hội và thiếu kiến thức về bảo mật blockchain. Việc các trang web lừa đảo ngày càng tinh vi, sử dụng tên miền tương tự các sàn giao dịch uy tín như Binance hay Coinbase, khiến khả năng nhận diện của người dùng thường trở nên khó khăn.

Cách bảo vệ ví crypto khỏi crypto drainer

Bước đầu tiên và quan trọng nhất là luôn kiểm tra kỹ URL trước khi kết nối ví. Hãy gõ trực tiếp địa chỉ website thay vì click vào liên kết từ email, telegram hay mạng xã hội. Khi cửa sổ approval xuất hiện, người dùng cần đọc kỹ toàn bộ thông tin, đặc biệt chú ý đến địa chỉ contract address và số lượng token được yêu cầu phê duyệt. Nếu thấy bất kỳ điều gì bất thường như yêu cầu phê duyệt unlimited (không giới hạn) hoặc địa chỉ contract lạ, hãy từ chối ngay lập tức.

Để tăng cường bảo mật, chúng tôi khuyến nghị sử dụng hardware wallet (ví cứng) cho việc lưu trữ tài sản crypto chính và chỉ giữ một lượng nhỏ trong hot wallet để giao dịch hàng ngày. Thường xuyên kiểm tra và thu hồi các approval không cần thiết thông qua các công cụ như Revoke.cash hay Unrekt.net. Đặc biệt, người dùng Việt Nam nên tham gia các nhóm cộng đồng blockchain uy tín để cập nhật thông tin về các chiêu trò lừa đảo mới nhất và chia sẻ kinh nghiệm bảo mật thực tế.