Tin tức lừa đảo Uniswap lại bùng phát: Quảng cáo giả gây thiệt hại lớn, người dùng cần cảnh giác

Vào đầu năm 2025, một cảnh báo của Hayden Adams, sáng lập viên của Uniswap, đã gây chấn động cộng đồng tiền điện tử. Đây không chỉ là một vụ lừa đảo nữa mà còn là hình ảnh tiêu biểu của một cuộc khủng hoảng hệ thống — kẻ lừa đảo đang tìm cách đứng đầu kết quả tìm kiếm, tự xưng là Uniswap, chờ đợi những người dùng không cảnh giác chủ động cấp quyền cho ví của họ.

Sự kiện lần này thu hút sự chú ý rộng rãi không chỉ vì thiệt hại nặng nề của nạn nhân mà còn vì nó phơi bày một vấn đề căn bản: khi niềm tin bị tổn thương bởi các lỗ hổng trong cơ chế quảng cáo, ngay cả những người dùng cẩn trọng nhất cũng có thể trở thành nạn nhân.

Sáng lập viên cảnh báo trực tiếp, cách quảng cáo lừa đảo qua mặt bạn

Hayden Adams chỉ ra rằng, các ứng dụng giả mạo Uniswap đã xuất hiện từ khi còn trong quá trình xét duyệt trên App Store, và mô hình này dù đã nhiều năm bị báo cáo vẫn chưa bị loại bỏ hoàn toàn. Thêm vào đó, các thủ đoạn của kẻ lừa đảo còn tinh vi hơn — họ trực tiếp mua quảng cáo trên các công cụ tìm kiếm lớn như Google, Bing.

Khi người dùng tìm kiếm “Uniswap”, kết quả đầu tiên thường không phải là trang chính thức mà là các quảng cáo lừa đảo được thiết kế công phu. Các URL của các trang giả mạo này gần như không thể phân biệt lúc ban đầu, nút bấm cũng hoàn toàn giống nhau. Người dùng nhấn vào, kết nối ví, cấp quyền — toàn bộ quá trình chỉ mất vài giây. Một khi ví được cấp quyền, kẻ tấn công dễ dàng rút toàn bộ tài sản của người dùng.

Điều đáng sợ hơn nữa là có người dùng thẳng thắn chia sẻ trên mạng xã hội rằng họ đã mất hàng trăm nghìn đô la tiền mã hóa, và nói rằng: “Tôi tin rằng bị đánh cắp không phải là do xui xẻo. Đó là hậu quả của một chuỗi các quyết định sai lầm.” Nhưng hãy tự hỏi — “sai lầm” của người dùng về bản chất chính là niềm tin mà họ đã bị khai thác bởi các tin tức lừa đảo.

Tháng Một, thiệt hại do lừa đảo đạt đỉnh cao mới: Dữ liệu của CertiK tiết lộ mặt tối ngành

Theo thống kê của CertiK, công ty kiểm toán an ninh hàng đầu, tháng 1 năm 2025 là tháng có thiệt hại do lừa đảo trong tiền điện tử lớn nhất. Trong tháng đó, tổng thiệt hại do lừa đảo và lỗ hổng đạt khoảng 370 triệu USD, phá vỡ kỷ lục của 11 tháng trước đó.

Điều đáng sợ hơn nữa là, số tiền thiệt hại khổng lồ này không phải do các cuộc tấn công nhỏ lẻ phân tán mà tập trung vào một vụ tấn công xã hội kỹ thuật tinh vi. Một vụ tấn công duy nhất đã cướp đi khoảng 284 triệu USD từ nạn nhân, chiếm hơn 70%. Con số này cho thấy rõ ràng rằng “một vụ lừa đảo đủ để phá hủy cuộc đời của một người”.

Trong 40 vụ việc, phần lớn đều theo cùng một kịch bản: lợi dụng lòng tin vào các thương hiệu nổi tiếng, qua các quảng cáo giả hoặc trang web sao chép để lừa người dùng cấp quyền. Logic cốt lõi của các tin tức lừa đảo này đơn giản nhưng cực kỳ nguy hiểm.

Cảnh báo lịch sử: Những vụ mất mát trước đây của Uniswap

Tháng 10 năm 2024, Cointelegraph đã đưa tin về một vụ trang web sao chép Uniswap. Kẻ lừa đảo đã sao chép toàn bộ giao diện của Uniswap, nhưng đã thực hiện các chỉnh sửa tinh vi ở các vị trí then chốt:

• Thay đổi nút “Bắt đầu sử dụng” thành “Kết nối” gây hiểu lầm
• Thay thế “Đọc tài liệu” bằng tùy chọn “Cầu nối”
• Thiết kế tổng thể gần như không thể phân biệt

Người dùng vào rồi, dù chỉ để xem qua, một khi nhấn vào bất kỳ nút tương tác nào, họ sẽ bị dẫn vào quy trình cấp quyền. Cách lừa đảo kép này — mạo danh thương hiệu cộng với bẫy UI — đang trở thành công cụ tiêu chuẩn của các kẻ lừa đảo.

Tại sao các nền tảng DeFi trở thành mục tiêu của kẻ lừa đảo

Khác với các sàn giao dịch tập trung, các giao thức DeFi dựa vào uy tín mã nguồn mở chứ không phải xác thực trung tâm. Dù các dự án như Uniswap có mã rõ ràng, hoạt động phi tập trung, nhưng chính vì vậy, các kẻ lừa đảo dễ dàng giả mạo về mặt hình ảnh — chỉ cần UI giống nhau, tên miền gần giống, xếp hạng quảng cáo cao là phần lớn người dùng không thể phân biệt thật giả.

Thêm vào đó, chi phí quảng cáo kỹ thuật số hiện nay khá rẻ, trong khi thuật toán tìm kiếm đôi khi không thể phân biệt rõ ý định của quảng cáo, khiến các kẻ lừa đảo dễ dàng bắt chước các thương hiệu lớn. Ưu thế của các nền tảng phi tập trung, trong bối cảnh các tin tức lừa đảo tập trung ngày càng nhiều, lại trở thành điểm yếu.

Bài học từ thiệt hại hàng trăm nghìn đô: Người dùng tự vệ thế nào

Với người dùng phổ thông, khi gặp quảng cáo đáng ngờ, nên làm gì? Một số biện pháp phòng vệ đơn giản nhưng hiệu quả:

Kiểm tra tên miền: Không nhấn vào liên kết quảng cáo, mà tự nhập chính xác URL chính thức vào trình duyệt. Trang chính thường có ghi rõ trên các mạng xã hội chính thức của dự án.

Kiểm tra HTTPS và biểu tượng bảo mật: Trang hợp lệ chắc chắn có biểu tượng khóa bảo mật. Các trang giả thường sơ sài về phần này.

Cẩn thận cấp quyền: Trước khi xác nhận trong ví, tạm dừng. Hỏi chính mình ba câu hỏi: Trang này có phải do tôi chủ ý truy cập không? Tại sao nó yêu cầu tôi cấp quyền không giới hạn? Tôi có thể tìm thấy hướng dẫn này trong tài liệu chính thức không?

Tin vào cảm giác nghi ngờ của chính mình: Nếu giao diện có chút gì đó kỳ lạ, đừng tiếp tục. Trang chính thức của Uniswap sẽ không bắt buộc bạn kết nối ví qua quảng cáo.

Trách nhiệm của nền tảng, công cụ tìm kiếm và người dùng trong cảnh báo lừa đảo

Để kiểm soát sự lan rộng của các tin tức lừa đảo, cần có sự phối hợp nhiều phía.

Trách nhiệm của các công cụ tìm kiếm: Google, Bing cần đặt ra các tiêu chuẩn kiểm duyệt chặt chẽ hơn đối với quảng cáo liên quan đến tiền điện tử, nhanh chóng loại bỏ các quảng cáo lừa đảo, và thêm cảnh báo rõ ràng trong kết quả tìm kiếm.

Trách nhiệm của các cửa hàng ứng dụng: App Store và các nền tảng tương tự cần tăng cường kiểm tra các ứng dụng giả mạo, không để các ứng dụng lừa đảo xuất hiện trong quá trình xét duyệt.

Trách nhiệm của các dự án DeFi: Các dự án như Uniswap nên tăng cường cảnh báo trong sản phẩm, ví dụ như khi kết nối với các trang web lạ, hiển thị cảnh báo màu đỏ, yêu cầu người dùng xác nhận lại.

Trách nhiệm của người dùng: Nâng cao cảnh giác, học các kỹ năng xác thực cơ bản, không dựa dẫm vào quảng cáo để chọn lựa.

Tương lai ngành: Từ phản ứng thụ động đến phòng thủ chủ động

Khi các thủ đoạn lừa đảo ngày càng tinh vi, các biện pháp phòng vệ cũng cần nâng cấp. Các hướng đi tiềm năng trong tương lai gồm:

• Hệ sinh thái xác thực quảng cáo minh bạch hơn — xây dựng tiêu chuẩn ngành cho quảng cáo tiền điện tử, yêu cầu xác thực danh tính thật của nhà quảng cáo.

• Hệ thống danh tính trên chuỗi — giúp người dùng xác minh đối tác trước khi tương tác hợp đồng.

• Chính sách quản lý nhà nước — có thể đặt ra tiêu chuẩn về quảng cáo tiền điện tử, bảo vệ thương hiệu và trách nhiệm của nền tảng.

• Chương trình giáo dục cộng đồng — ngành cần đầu tư nhiều hơn để dạy người dùng phân biệt giao diện thật giả.

Cảnh báo của Hayden Adams không phải là sự kiện đơn lẻ, mà là lời nhắc nhở toàn bộ hệ sinh thái: các tin tức lừa đảo liên tục xuất hiện không phải vì thiếu công nghệ, mà vì thiếu các động lực phòng vệ và ý thức của người dùng. Khi thiệt hại 370 triệu USD tập trung vào tháng 1 năm 2025, và một vụ tấn công xã hội kỹ thuật có thể phá hủy tài sản của một người dùng, chúng ta không thể nói “chỉ cần cẩn thận là đủ”.

Tương lai của DeFi phụ thuộc vào sự kết hợp giữa công nghệ bảo vệ, hệ sinh thái xác thực và truyền thông minh bạch. Chừng nào các kẻ lừa đảo còn chạy quảng cáo trên đầu trang tìm kiếm, còn trang web clone còn lừa đảo được người dùng, còn các tin tức lừa đảo vẫn xảy ra thường xuyên, thì cuộc chiến về niềm tin này vẫn chưa kết thúc. Sức bền của hệ sinh thái cuối cùng sẽ dựa vào quản lý rủi ro chủ động, sửa lỗi nhanh và giáo dục liên tục cho người dùng.