Sự bùng nổ của tài chính phi tập trung (DeFi) và các tài sản số đã tạo ra một kỷ nguyên mới cho các giao dịch tài chính, nhưng đồng thời cũng mở ra những kẽ hở cho các hình thức tội phạm mạng tinh vi nhất trong lịch sử. Theo quan sát của đội ngũ chuyên gia tại Tấn Phát Digital, Wallet drainer (mã độc rút ví) đã trở thành mối đe dọa thường trực, không chỉ nhắm vào những người dùng mới thiếu kinh nghiệm mà còn cả những tổ chức tài chính chuyên nghiệp có hệ thống bảo mật phức tạp. Khác với các cuộc tấn công truyền thống nhắm vào lỗ hổng mã nguồn của hợp đồng thông minh, wallet drainer tập trung vào việc khai thác yếu tố con người thông qua kỹ thuật xã hội (social engineering) và các giao diện người dùng giả mạo để chiếm quyền kiểm soát tài sản một cách hợp pháp dưới sự xác nhận vô tình của chính nạn nhân.
Tính đến giai đoạn 2024 - 2026, các hoạt động này đã chuyển dịch từ những kịch bản phishing đơn lẻ sang một mô hình kinh doanh có tổ chức, được biết đến với tên gọi Drainer-as-a-Service (DaaS), nơi các nhà phát triển mã độc cung cấp hạ tầng cho các đối tác để thực hiện các vụ trộm quy mô lớn. Báo cáo này sẽ phân tích chi tiết về bản chất kỹ thuật, sự biến động của thị trường mã độc rút ví qua các năm, các kịch bản tấn công điển hình và những xu hướng đột phá về trí tuệ nhân tạo (AI) đang tái định hình bức tranh an ninh mạng trong năm 2026.
Phân tích thị trường và dữ liệu thiệt hại giai đoạn 2024 - 2025
Dữ liệu thống kê từ các đơn vị an ninh blockchain như Scam Sniffer và Chainalysis cho thấy một sự biến động mạnh mẽ trong tổng giá trị tài sản bị chiếm đoạt thông qua wallet drainer qua các năm. Năm 2024 được coi là đỉnh điểm của các vụ trộm ví với những con số kỷ lục, trong khi năm 2025 chứng kiến sự sụt giảm về tổng giá trị nhưng lại gia tăng đáng kể về tính chọn lọc và độ tinh vi của các cuộc tấn công.
Thống kê thiệt hại qua các năm (2023 - 2025)
Hoạt động của các wallet drainer thường tỷ lệ thuận với mức độ hưng phấn của thị trường tiền điện tử. Dưới đây là các chỉ số an ninh mạng quan trọng được tổng hợp:
Tổng thiệt hại tài sản (USD):
Năm 2023: 295 triệu
Năm 2024: 494 triệu
Năm 2025: 83,85 triệu
Thay đổi YoY (2024-2025): Giảm 83,0%
Tổng số lượng nạn nhân:
Năm 2023: 324.000
Năm 2024: 332.000
Năm 2025: 106.106
Thay đổi YoY (2024-2025): Giảm 68,0%
Vụ trộm đơn lẻ lớn nhất (USD):
Năm 2023: 24,05 triệu
Năm 2024: 55,48 triệu
Năm 2025: 6,5 triệu
Thay đổi YoY (2024-2025): Giảm 88,3%
Số vụ tổn thất từ 1 triệu USD trở lên:
Năm 2023: 13 vụ
Năm 2024: 30 vụ
Năm 2025: 11 vụ
Thay đổi YoY (2024-2025): Giảm 63,3%
Mất mát trung bình mỗi nạn nhân (USD):
Năm 2023: Khoảng 910
Năm 2024: Khoảng 1.488
Năm 2025: Khoảng 790
Thay đổi YoY (2024-2025): Giảm 46,9%
Dựa trên số liệu, sự sụt giảm thiệt hại trong năm 2025 có thể được giải thích qua việc các nhóm drainer lớn như Pink Drainer và Inferno Drainer tạm dừng hoạt động, cùng với sự nâng cao nhận thức người dùng nhờ các công cụ từ các đơn vị bảo mật như Tấn Phát Digital thường xuyên khuyến nghị.
Biến động hàng tháng trong năm 2025
Quý 1: Thiệt hại 21,94 triệu USD với 22.000 nạn nhân. Bối cảnh thị trường đi ngang, hoạt động phishing giảm.
Quý 2: Thiệt hại 17,78 triệu USD với 21.000 nạn nhân. Thị trường phục hồi nhẹ, hacker tập trung vào các exploit phê duyệt quyền.
Quý 3: Thiệt hại 31,04 triệu USD với 40.000 nạn nhân. Đây là đỉnh điểm hoạt động do đà tăng của BTC và ETH, người dùng dễ mất cảnh giác vì tâm lý FOMO.
Quý 4: Thiệt hại 13,09 triệu USD với khoảng 23.000 nạn nhân. Thị trường ổn định, thiệt hại thấp nhất năm.
Anatomy của một vụ tấn công Wallet Drainer
Một vụ tấn công không xảy ra ngẫu nhiên mà là kết quả của một chuỗi thao tác kỹ thuật được tính toán kỹ lưỡng:
Dẫn dụ (Scam Airdrop & Phishing): Hacker tạo trang web giả mạo các dự án uy tín như Chainlink, BNB Chain. Chúng chiếm quyền tài khoản X (Twitter) lớn hoặc chạy quảng cáo Google Ads để đưa link lừa đảo lên đầu kết quả tìm kiếm.
Kết nối C2 (Command and Control): Khi bạn nhấn "Connect Wallet", mã độc gửi địa chỉ ví về máy chủ của hacker để phân tích số dư và quyết định loại giao dịch nào sẽ yêu cầu bạn ký.
Chuẩn bị On-chain: Hacker có thể ép ví chuyển sang mạng lưới bạn có nhiều tiền nhất (như Arbitrum hoặc BSC) và kiểm tra các quyền phê duyệt (allowance) cũ.
Thực thi rút tiền: Hacker sử dụng các lệnh như ERC-20 Approve, Chữ ký Permit (EIP-2612) hoặc SetApprovalForAll để lấy quyền điều khiển token và NFT của bạn mà không cần bạn xác nhận lại lần thứ hai.
Cơ chế kỹ thuật: Từ Approve đến Permit2 và EIP-7702
Hiểu rõ các loại chữ ký là cách tốt nhất để bảo vệ tài sản. Dưới đây là sự khác biệt:
Phê duyệt truyền thống (Approve):
Phí Gas: Phải trả cho mỗi lần phê duyệt.
Hiển thị: Rõ ràng trên ví (địa chỉ, phí gas).
Thời hạn: Vĩnh viễn cho đến khi hủy thủ công.
Rủi ro: Phổ biến nhất trong các vụ hack dApp.
Chữ ký Permit (EIP-2612):
Phí Gas: Không tốn phí cho bước phê duyệt (off-chain).
Hiển thị: Thường chỉ hiện thông báo văn bản khó hiểu, dễ bị lừa ký.
Thời hạn: Phụ thuộc vào tham số của hợp đồng.
Rủi ro: Đang tăng mạnh trong các vụ lừa đảo cá nhân.
Permit2 (Uniswap):
Phí Gas: Tối ưu hóa gas, cho phép phê duyệt hàng loạt.
Hiển thị: Có thể hiển thị thời hạn và số lượng cụ thể.
Thời hạn: Có thể cài đặt thời gian tự động hết hạn.
Rủi ro: Chiếm 38% các vụ trộm giá trị lớn năm 2025.
Cảnh báo từ Tấn Phát Digital: Tiêu chuẩn mới EIP-7702 trong bản nâng cấp Pectra cho phép ví cá nhân tạm thời hoạt động như hợp đồng thông minh. Hacker có thể lừa bạn ký một thông báo để thực hiện hàng loạt lệnh rút tiền trong một giao dịch duy nhất.
Xem thêm: Approval scam nguy hiểm thế nào và vì sao rất nhiều người dính bẫy
Hệ sinh thái Drainer-as-a-Service (DaaS)
Mô hình DaaS cho phép hacker thiếu kỹ năng vẫn có thể trộm tiền bằng cách thuê công cụ. Lợi nhuận thường chia theo tỷ lệ:
Đối tác (Affiliates): Nhận 70-80% số tiền trộm được nhờ công dẫn dụ nạn nhân.
Nhà phát triển (Developers): Nhận 20-30% phí để duy trì hạ tầng mã độc.
Các nhóm nổi bật bao gồm:
Monkey Drainer: Đã đóng cửa, chuyển sang các nhóm khác.
Inferno Drainer: Vẫn hoạt động ẩn danh với hạ tầng proxy tinh vi.
MS Drainer: Tập trung vào người dùng di động và ứng dụng Google Play giả mạo.
Eleven Drainer: Nhóm mới nổi, thường xuyên tặng thưởng "xe sang" cho các đối tác trộm được nhiều tiền nhất.
Xu hướng năm 2026: Trí tuệ nhân tạo và Công nghiệp hóa gian lận
Năm 2026, Tấn Phát Digital ghi nhận sự xuất hiện của Agentic AI — các tác nhân AI tự trị có khả năng tự tìm kiếm ví "cá mập", tự tạo địa chỉ giả và vượt qua các bước xác minh KYC bằng deepfake mà không cần con người can thiệp.
Kỹ thuật Injection Attack cũng trở nên nguy hiểm khi hacker không giả khuôn mặt trước camera mà "tiêm" thẳng luồng video kỹ thuật số vào dữ liệu ứng dụng để vượt qua FaceID. Ngoài ra, Deepfake Elon Musk hoặc Brad Garlinghouse livestream tặng quà vẫn là cái bẫy FOMO phổ biến trên YouTube và X.
Tấn công đầu độc địa chỉ (Address Poisoning)
Hacker tận dụng thói quen sao chép địa chỉ ví từ lịch sử giao dịch. Chúng tạo ra các địa chỉ ví "Vanity" có 4-5 ký tự đầu và cuối giống hệt ví của bạn. Sau đó, chúng gửi một lượng tiền cực nhỏ (dust) vào ví bạn để "đầu độc" lịch sử. Nếu bạn sơ ý sao chép địa chỉ này cho lần chuyển tiền sau, tiền sẽ vào thẳng túi hacker.
Chiến lược phòng thủ và công cụ bảo mật 2026
Để bảo vệ tài sản, Tấn Phát Digital khuyến nghị người dùng trang bị các lớp phòng thủ sau:
Pocket Universe / Wallet Guard: Công cụ giả lập giao dịch, giúp bạn thấy trước kết quả "Bạn sẽ mất bao nhiêu tiền" trước khi ký.
Revoke.cash: Công cụ thiết yếu để quản lý và hủy bỏ các quyền phê duyệt token vô hạn đã cấp trong quá khứ.
Kerberus Sentinel3: Tiện ích chặn web lừa đảo thời gian thực và bảo vệ chống đầu độc địa chỉ với tỷ lệ chính xác cao.
Rabby Wallet: Ví có sẵn các cảnh báo rủi ro tích hợp, an toàn hơn so với các loại ví mặc định.
Ledger / Trezor (Ví cứng): Lưu trữ 90% tài sản trong ví lạnh và chỉ dùng 10% trong ví nóng để giao dịch.
Xem thêm: Rug Pull thường xảy ra ở giai đoạn nào của dự án Crypto
Quy trình xử lý khẩn cấp khi bị xâm nhập
Nếu nghi ngờ ví bị hack, hãy thực hiện ngay 4 bước sau:
Hủy phê duyệt: Truy cập Revoke.cash để hủy toàn bộ quyền truy cập token.
Di tản tài sản: Chuyển số tiền còn lại sang một ví hoàn toàn mới được tạo trên thiết bị sạch.
Quét mã độc: Kiểm tra thiết bị xem có bị cài phần mềm theo dõi (keylogger) không.
Báo cáo: Liên hệ các sàn giao dịch để phong tỏa ví hacker và trình báo cơ quan chức năng.
10 Câu hỏi thường gặp (FAQ)
Wallet Drainer thực chất là gì? Wallet drainer là các đoạn mã độc được nhúng vào các ứng dụng phi tập trung (dApp) giả mạo, thiết kế để lừa người dùng trao quyền kiểm soát ví. Ngay khi được cấp quyền, hacker sẽ dùng bot tự động rút sạch mọi tài sản giá trị nhất trong vài giây.
Hacker thường dùng chiêu trò gì để dẫn dụ nạn nhân? Chúng khai thác tâm lý sợ bỏ lỡ cơ hội (FOMO) thông qua các chương trình Airdrop miễn phí, Mint NFT giới hạn hoặc phần thưởng DeFi. Các liên kết lừa đảo thường xuất hiện trên quảng cáo X (Twitter), Discord, hoặc quảng cáo trả phí trên Google.
Tại sao chữ ký Permit lại nguy hiểm hơn giao dịch thông thường? Vì chữ ký Permit (EIP-2612) diễn ra off-chain và không tốn phí gas ngay lúc đó, nhiều ví không thể mô phỏng hoặc hiển thị cảnh báo đỏ rõ ràng. Người dùng thường ký mà không biết mình vừa trao quyền rút tiền cho hacker.
EIP-7702 ảnh hưởng thế nào đến an toàn ví năm 2026? Đây là một "vector tấn công" mới. Chỉ với một lần ký duy nhất, hacker có thể biến ví của bạn thành một "gateway" cho phép chúng thực hiện hàng loạt hành động rút tài sản (ETH, NFT, Token) mà không cần thêm bất kỳ xác nhận nào khác.
Address Poisoning là gì và làm sao để tránh? Hacker gửi một lượng tiền rất nhỏ từ địa chỉ ví trông gần giống ví của bạn (nhờ công cụ Vanity) vào lịch sử giao dịch. Để tránh mất tiền, bạn tuyệt đối không được sao chép địa chỉ từ lịch sử giao dịch mà phải sao chép từ nguồn chính thức hoặc danh bạ ví tin tưởng.
Làm cách nào để nhận biết video Deepfake lừa đảo trên YouTube/X? Hãy chú ý đến các dấu hiệu như cử động môi không khớp với tiếng, mắt ít chớp hoặc có các bóng mờ kỳ lạ quanh khuôn mặt. Luôn kiểm tra xem tài khoản đăng tải có dấu tích xanh xác minh hoặc trang web được nhắc tới có phải tên miền chính thức không.
Tôi nên dùng công cụ nào để "soi" giao dịch trước khi ký? Các tiện ích như Pocket Universe hoặc Wallet Guard là lựa chọn hàng đầu. Chúng sẽ hiển thị bằng ngôn ngữ dễ hiểu: "Bạn sẽ mất 1000 USDT" thay vì các mã hex phức tạp, giúp bạn kịp thời dừng lại.
Tại sao chuyên gia khuyên nên dùng chiến lược 90/10? Vì ví nóng (trên điện thoại/máy tính) luôn có rủi ro bị hack qua web. Giữ 90% tài sản trong ví lạnh (hardware wallet) giúp đảm bảo an toàn tuyệt đối cho số tiền lớn, trong khi 10% ví nóng chỉ dùng để "săn" kèo hoặc chi tiêu nhỏ.
Nếu lỡ bấm ký vào link lừa đảo, tôi phải làm gì đầu tiên? Phải hành động trong "vàng": Truy cập ngay Revoke.cash để hủy bỏ (Revoke) mọi quyền phê duyệt vừa cấp. Nếu ví có dấu hiệu bị rút sạch ETH liên tục, hãy tạo ví mới và chuyển mọi tài sản còn lại đi ngay lập tức.
Tình trạng lừa đảo ví năm 2026 có giảm bớt không? Dù thiệt hại tổng thể giảm trong năm 2025, nhưng hệ sinh thái drainer vẫn rất năng động. Hacker đang chuyển từ số lượng sang chất lượng, sử dụng AI để thực hiện các cuộc tấn công tinh vi nhắm vào những tài khoản có giá trị cao.
Trong kỷ nguyên AI 2026, công nghệ bảo mật dù mạnh đến đâu cũng không thay thế được sự cảnh giác của chính bạn. Hãy luôn hoài nghi các lời mời chào "miễn phí" và luôn sử dụng công cụ mô phỏng trước khi nhấn bất kỳ nút xác nhận nào trên ví điện tử.
