Vài tuần trước, một người dùng Etherscan tên Nima đã gặp sự cố không mong muốn khi nhận hơn 89 email Cảnh báo Theo dõi Địa chỉ chỉ sau hai lần chuyển stablecoin.
Theo chia sẻ của Nima, các cảnh báo này xuất phát từ những giao dịch đầu độc địa chỉ được tạo ra với mục đích chèn các địa chỉ giả mạo vào lịch sử giao dịch của ví. Mục tiêu cốt lõi là đánh lừa người dùng sao chép nhầm địa chỉ khi chuyển tiền lần sau.
Hình thức đầu độc địa chỉ đã xuất hiện trên Ethereum suốt vài năm. Tuy nhiên, các sự cố như trên cho thấy quy mô và mức độ tự động hóa của các chiến dịch này đã tăng mạnh. Điều từng là thư rác lẻ tẻ giờ đây có thể được thực hiện hàng loạt, thường xuất hiện chỉ vài phút sau một giao dịch thật.
Để lý giải vì sao các vụ tấn công này ngày càng phổ biến, cần xem xét hai yếu tố: sự phát triển của các chiến dịch đầu độc địa chỉ và lý do khiến chúng dễ dàng triển khai quy mô lớn.
Chúng tôi cũng xin nhấn mạnh một quy tắc đơn giản giúp bạn tự bảo vệ trước các cuộc tấn công này.
1) Đầu Độc Địa Chỉ Đã Trở Thành Quy Mô Công Nghiệp
Trước đây, đầu độc địa chỉ chỉ là thủ thuật nhỏ lẻ của các đối tượng cơ hội. Ngày nay, nó ngày càng mang tính công nghiệp hóa.
Một nghiên cứu năm 2025 đã phân tích hoạt động đầu độc địa chỉ từ tháng 7 năm 2022 đến tháng 6 năm 2024, trước khi nâng cấp Fusaka, và ghi nhận khoảng 17 triệu lần đầu độc nhắm vào khoảng 1,3 triệu người dùng Ethereum, với tổng thiệt hại xác nhận tối thiểu 79,3 triệu USD.
Bảng dưới đây thể hiện quy mô hoạt động đầu độc địa chỉ trên Ethereum và BSC từ tháng 7 năm 2022 đến tháng 6 năm 2024, dựa trên nghiên cứu Blockchain Address Poisoning. Trên các chuỗi như BSC, nơi phí giao dịch thấp hơn nhiều, các giao dịch đầu độc diễn ra nhiều hơn tới 1.355%.
Kẻ tấn công thường theo dõi hoạt động blockchain để tìm kiếm mục tiêu tiềm năng. Khi phát hiện giao dịch, hệ thống tự động sẽ tạo ra các địa chỉ giả mạo bắt chước ký tự đầu và cuối của địa chỉ hợp lệ mà người dùng từng tương tác. Sau đó, các giao dịch đầu độc được gửi đến địa chỉ mục tiêu để địa chỉ giả mạo xuất hiện trong lịch sử giao dịch.
Các mục tiêu tiềm năng là những địa chỉ có khả năng đem lại lợi nhuận cao cho kẻ tấn công. Địa chỉ chuyển khoản thường xuyên, nắm giữ số dư token lớn hoặc giao dịch số tiền lớn thường bị đầu độc nhiều hơn.
Cạnh Tranh Thúc Đẩy Hiệu Quả
Một phát hiện đáng chú ý từ nghiên cứu năm 2025 là các nhóm tấn công khác nhau thường cạnh tranh lẫn nhau. Trong nhiều chiến dịch đầu độc, nhiều kẻ tấn công cùng gửi giao dịch đầu độc đến một địa chỉ gần như cùng lúc.
Mỗi bên cố gắng chèn địa chỉ giả mạo của mình vào lịch sử giao dịch của người dùng trước đối thủ. Ai thành công trước sẽ tăng khả năng địa chỉ của họ bị người dùng sao chép.
Địa chỉ này minh họa mức độ cạnh tranh này. Ở trường hợp này, có 13 giao dịch đầu độc được thực hiện chỉ trong vài phút sau một giao dịch USDT hợp lệ.
Lưu ý: Etherscan mặc định ẩn các giao dịch có giá trị bằng 0; ở đây các giao dịch này đã được hiển thị để minh họa.
Những chiến thuật phổ biến trong các cuộc tấn công đầu độc địa chỉ gồm có
các giao dịch dust, giao dịch token giả mạo và giao dịch token giá trị bằng 0
2) Vì Sao Các Cuộc Tấn Công Này Dễ Dàng Triển Khai Quy Mô Lớn
Thoạt nhìn, đầu độc địa chỉ có vẻ không hiệu quả. Phần lớn người dùng sẽ không bị lừa. Tuy nhiên, yếu tố kinh tế của các cuộc tấn công này lại cho thấy điều ngược lại.
Trò Chơi Con Số
Các nghiên cứu chỉ ra rằng một lần đầu độc có tỷ lệ thành công khoảng 0,01% trên Ethereum. Tức là chỉ khoảng 1/10.000 giao dịch đầu độc mới khiến người dùng chuyển nhầm tài sản cho kẻ tấn công.
Thay vì chỉ nhắm vào vài địa chỉ, các chiến dịch đầu độc thường gửi hàng nghìn hoặc hàng triệu giao dịch đầu độc. Khi số lần thử đủ lớn, dù tỷ lệ thành công rất nhỏ cũng vẫn mang lại lợi nhuận đáng kể.
Chỉ cần một giao dịch lớn thành công đã đủ bù chi phí cho hàng nghìn lần thất bại.
Chi Phí Giao Dịch Thấp Thúc Đẩy Nhiều Lần Đầu Độc Hơn
https://etherscan.io/chart/avg-txfee-usd
Bản nâng cấp Fusaka, triển khai ngày 3 tháng 12 năm 2025, mang lại cải tiến mở rộng giúp giảm chi phí giao dịch trên Ethereum. Điều này vừa có lợi cho người dùng và nhà phát triển, vừa khiến chi phí cho mỗi giao dịch đầu độc giảm, giúp kẻ tấn công gửi nhiều giao dịch đầu độc hơn.
Sau Fusaka, hoạt động mạng tăng mạnh. Trong 90 ngày sau nâng cấp, Ethereum xử lý trung bình tăng 30% số giao dịch mỗi ngày so với 90 ngày trước đó. Cùng kỳ, số lượng địa chỉ mới tạo mỗi ngày tăng trung bình khoảng 78%.
Ngoài ra, chúng tôi còn ghi nhận hoạt động giao dịch dust tăng mạnh, khi kẻ tấn công gửi một lượng nhỏ token giống loại người dùng từng chuyển.
Dữ liệu dưới đây so sánh hoạt động giao dịch dust trên một số tài sản lớn trong 90 ngày trước và sau nâng cấp Fusaka. Với các stablecoin như USDT, USDC, DAI, giao dịch dust là khoản dưới 0,01 USD. Với ETH, là các khoản dưới 0,00001 ETH.
USDT Trước: 4,2 triệu
Sau: 29,9 triệu
Tăng: +25,7 triệu (+612%)
USDC Trước: 2,6 triệu
Sau: 14,9 triệu
Tăng: +12,3 triệu (+473%)
DAI Trước: 142.405
Sau: 811.029
Tăng: +668.624 (+470%)
ETH Trước: 104,5 triệu
Sau:
169,7 triệu
Tăng: +65,2 triệu (+62%)
Các giao dịch dust (dưới 0,01 USD) tăng đột biến ngay sau nâng cấp Fusaka, rồi giảm dần nhưng vẫn cao hơn hẳn trước Fusaka. Ngược lại, các giao dịch trên 0,01 USD vẫn ổn định trong cùng kỳ.
Ảnh chụp màn hình: Giao dịch dust <0,01 USD với USDT, USDC, DAI trong 90 ngày trước và sau Fusaka. (Nguồn)
Ảnh chụp màn hình: Giao dịch >0,01 USD với USDT, USDC, DAI trong 90 ngày trước và sau Fusaka. (Nguồn)
Trong nhiều chiến dịch, kẻ tấn công thường gửi token và ETH hàng loạt tới các địa chỉ giả mạo vừa tạo, sau đó các địa chỉ này tiếp tục thực hiện giao dịch dust tới từng địa chỉ mục tiêu. Do giá trị giao dịch dust rất nhỏ, chúng có thể được triển khai quy mô lớn với chi phí thấp khi phí giao dịch giảm.
Ảnh chụp màn hình: Fake_Phishing1688433 gửi token và ETH hàng loạt tới các địa chỉ giả mạo khác nhau trong một giao dịch. (Nguồn)
Lưu ý rằng không phải mọi giao dịch dust đều là giao dịch đầu độc. Dust có thể phát sinh từ các hoạt động hợp lệ như chuyển đổi token hoặc tương tác giá trị nhỏ giữa các địa chỉ. Tuy nhiên, khi xem danh sách giao dịch dust, phần lớn có dấu hiệu là đầu độc.
3) Một Quy Tắc Phải Nhớ
👉👉 Luôn xác minh địa chỉ nhận trước khi gửi tài sản 👈👈
Một số mẹo giúp bạn giảm rủi ro khi dùng Etherscan:
1. Làm Địa Chỉ Dễ Nhận Diện
Hãy sử dụng nhãn tên riêng tư trên Etherscan cho các địa chỉ bạn thường xuyên giao dịch. Điều này giúp địa chỉ thật nổi bật giữa các địa chỉ giả mạo.
Dùng tên miền như ENS cũng giúp nhận diện địa chỉ dễ dàng hơn trên explorer.
Bạn cũng nên sử dụng sổ địa chỉ của ví để đưa các địa chỉ thường dùng vào danh sách trắng, đảm bảo luôn biết chính xác nơi gửi tài sản.
2. Dùng Chức Năng Làm Nổi Địa Chỉ
Tính năng Làm nổi địa chỉ của Etherscan giúp bạn phân biệt trực quan các địa chỉ gần giống nhau. Nếu hai địa chỉ gần như giống hệt nhưng không được làm nổi như nhau, khả năng cao một trong số đó là địa chỉ đầu độc.
Nếu không thấy tính năng này hoạt động, hãy kiểm tra đã bật trong Cài đặt trang web chưa.
3. Luôn Kiểm Tra Kỹ Khi Sao Chép
Etherscan cũng sẽ nhắc nhở khi bạn sao chép các địa chỉ có thể liên quan hoạt động đáng ngờ, bao gồm:
Khi xuất hiện các nhắc nhở này, hãy kiểm tra kỹ địa chỉ bạn sao chép có đúng là địa chỉ bạn cần tương tác không.
Nếu bạn muốn có danh sách kiểm tra chi tiết hơn để phòng tránh các cuộc tấn công này, hãy tham khảo hướng dẫn đầy đủ tại đây
.
Nhớ rằng, trong tiền điện tử không có nút hoàn tác. Nếu gửi nhầm địa chỉ, gần như không thể lấy lại tài sản.
Kết Luận
Các cuộc tấn công đầu độc địa chỉ ngày càng phổ biến trên Ethereum, nhất là khi chi phí giao dịch thấp giúp các chiến lược quy mô lớn dễ triển khai hơn. Các cuộc tấn công này cũng ảnh hưởng đến trải nghiệm người dùng, khi lịch sử giao dịch trên nhiều giao diện bị lấp đầy bởi thư rác đầu độc.
Để phòng tránh, người dùng cần chủ động nâng cao nhận thức và các giao diện cần được thiết kế tốt hơn. Đối với người dùng, thói quen quan trọng nhất là luôn kiểm tra kỹ địa chỉ nhận trước khi gửi tài sản.
Đồng thời, các công cụ và giao diện cũng đóng vai trò quan trọng giúp người dùng phát hiện hoạt động đáng ngờ nhanh chóng hơn.
Nhãn Poisoning Address trên Etherscan (https://etherscan.io/accounts/label/poisoning-address)
Tại Etherscan, chúng tôi liên tục cải tiến giao diện explorer và dịch vụ API để giúp người dùng phát hiện các cuộc tấn công này dễ dàng hơn. Chúng tôi chủ động gắn nhãn địa chỉ giả mạo, đánh dấu và ẩn giao dịch token giá trị bằng 0, cũng như gắn thẻ token giả mạo để dữ liệu được chọn lọc có thể cảnh báo các dấu hiệu đầu độc mà không cần người dùng tự kiểm tra từng giao dịch.
Khi các chiến dịch đầu độc mở rộng nhờ tự động hóa và giao dịch dust quy mô lớn, việc hiển thị tín hiệu cảnh báo này ngày càng quan trọng để giúp người dùng phân biệt hoạt động đáng ngờ với giao dịch hợp lệ.
Nếu bạn có góp ý hoặc đề xuất để nâng cao các biện pháp bảo vệ này, hãy liên hệ với chúng tôi.
Lưu ý:
-
Bài viết này được đăng lại từ [etherscan]. Mọi bản quyền thuộc về tác giả gốc [etherscan]. Nếu có ý kiến về việc đăng lại, vui lòng liên hệ đội ngũ Gate Learn để được xử lý kịp thời.
-
Miễn trừ trách nhiệm: Quan điểm và ý kiến trong bài viết này hoàn toàn thuộc về tác giả và không cấu thành bất kỳ lời khuyên đầu tư nào.
-
Việc dịch bài viết sang các ngôn ngữ khác do đội ngũ Gate Learn thực hiện. Trừ khi được đề cập, nghiêm cấm sao chép, phân phối hoặc đạo văn các bài dịch này.
