MetaMask bị tấn công bằng 2FA giả: Cảnh báo chiêu trò lừa đảo đánh cắp cụm từ khôi phục

MetaMask bị tấn công bởi “2FA giả mạo”: Chiêu trò tinh vi đánh cắp “cụm từ khôi phục” ví người dùng

Một chiêu thức lừa đảo mới đang nhắm mục tiêu vào người dùng ví tiền mã hóa MetaMask. Theo thông tin từ công ty an ninh mạng SlowMist công bố ngày 24, các cuộc tấn công gần đây đã mô phỏng hình thức xác minh hai bước (2FA) để đánh cắp “cụm từ khôi phục” – vốn là chìa khóa duy nhất mở khóa tài sản của người dùng.

Chuyên gia bảo mật trưởng của SlowMist, 23pds, cho biết chiến dịch này hoạt động dựa trên việc tạo ra các trang giả mạo cực kỳ giống với giao diện chính thức của MetaMask. Kẻ lừa đảo dùng những đường dẫn bất thường như “mertamask” để đánh lừa người dùng truy cập vào trang đăng nhập giả. Những trang này hiển thị bộ đếm thời gian, thông báo cảnh báo và giao diện thiết kế giống y bản gốc để tạo cảm giác tin tưởng – rồi yêu cầu người dùng nhập “cụm từ khôi phục” như một phần của “quy trình xác minh”.

Từ khóa: “MetaMask”, “cụm từ khôi phục”, “xác minh hai bước(2FA)”

Phân tán rủi ro, tấn công nhiều ví nhỏ thay vì con mồi lớn

Theo báo cáo được công bố gần đây bởi CryptoNews, tổng thiệt hại do các vụ lừa đảo trong năm 2025 là khoảng 83,85 triệu USD (tương đương 1.212 tỷ đồng), giảm 83% so với năm trước. Số người bị hại cũng giảm 68%, chỉ còn khoảng 106.000 trường hợp.

Tuy nhiên, các chuyên gia cảnh báo rằng điều này không đồng nghĩa mối nguy đã biến mất. Chiêu trò lừa đảo đang trở nên tinh vi hơn và chuyển từ việc nhắm vào các cá voi (giá trị lớn) sang nhóm người dùng cá nhân với tổn thất nhỏ lẻ nhưng quy mô lớn. Trung bình mỗi giao dịch lừa đảo gây thiệt hại khoảng 790 USD (114 triệu đồng), còn thiệt hại theo từng ví thường không vượt quá 2.000 USD.

Chiến lược “chia nhỏ rủi ro” đang khiến các công cụ tấn công như Drainer – một dạng phần mềm độc hại trong lĩnh vực blockchain – lan rộng trên nhiều blockchain khác nhau. Bình luận từ giới chuyên gia nhận định rằng các cuộc tấn công này thuộc dạng “tấn công xã hội” – không chỉ dựa vào kỹ thuật mà còn khai thác yếu tố tâm lý con người.

Từ khóa: “lừa đảo 2FA”, “tấn công xã hội”, “MetaMask”

Công nghệ ngày càng tinh vi: từ giả mạo chữ ký đến deepfake

Trong quý 3 năm 2025 – giai đoạn thị trường Ethereum(ETH) đạt đỉnh – riêng thiệt hại do lừa đảo đã lên đến 31 triệu USD (khoảng 449 tỷ đồng), tương đương 29% tổng thiệt hại cả năm. Sự kiện lớn nhất được ghi nhận là vụ giả mạo chữ ký ví (wallet signature spoofing) vào tháng 9 với thiệt hại 6,5 triệu USD (94 tỷ đồng). Các phương thức như ký tự ‘Permit’ và ‘Permit2’ – cho phép giao dịch tự động mà không qua ủy quyền lần nữa – chiếm tới 38% trong các vụ lừa đảo lớn (trên 1 triệu USD thiệt hại).

Ngoài ra, bản nâng cấp Pectra của Ethereum cũng bị khai thác thông qua tiêu chuẩn mới EIP-7702. Phương thức này cho phép một lệnh ký duy nhất thực hiện nhiều lệnh phụ; nếu bị lừa, có thể dẫn tới mất tài sản lớn trong nháy mắt. Đơn cử, chỉ trong tháng 8, người dùng bị đánh cắp thông qua phương thức này đã lên tới 2,54 triệu USD (368 tỷ đồng).

Một diễn biến đáng lo khác xuất hiện vào tháng 4, khi Kenny Li – đồng sáng lập Manta Network – bị lợi dụng hình ảnh deepfake trong cuộc gọi Zoom để dụ cài đặt mã độc. Vụ việc nghi do nhóm hacker nổi tiếng Lazarus (Triều Tiên) đứng sau.

Mạng lưới tự vệ toàn cầu: Các ví bắt tay xây “lá chắn chống lừa đảo”

Để đối phó, các nền tảng ví lớn như MetaMask, Phantom, Backpack và WalletConnect vừa công bố thiết lập mạng lưới phòng chống lừa đảo toàn cầu – “SEAL” – một liên minh bảo mật blockchain. Hệ thống này cho phép người dùng báo cáo trang lừa đảo, sau đó dữ liệu được xác minh tự động và chia sẻ tới toàn bộ ví trong liên minh theo thời gian thực.

Chuyên gia bảo mật của MetaMask, Ohm Shah, bình luận: “Với các loại phần mềm độc hại như Drainer, chúng tôi đang bước vào cuộc đua liên tục. Liên minh SEAL sẽ giúp chúng tôi phản ứng nhanh hơn, ngăn ngừa tổn thất sớm hơn”.

SEAL đang sử dụng hệ thống “Báo cáo lừa đảo hợp lệ” – cho phép lọc ra các địa chỉ thật sự chứa mã độc và gửi cảnh báo tới tất cả các đối tác liên minh.

Kết luận: Đừng nhầm lẫn “xác minh 2FA” giả mạo với an toàn thực sự

Dù tổng thiệt hại do lừa đảo trong mảng tiền mã hóa đã giảm đáng kể, các chuyên gia vẫn cảnh báo cộng đồng không nên chủ quan. Những chiêu trò như lừa đảo bằng giao diện 2FA giả, giả mạo tên miền hay giả danh người nổi tiếng đang ngày càng trở nên phổ biến và tinh vi.

Người dùng cần tuyệt đối cảnh giác, đặc biệt là không bao giờ nhập “cụm từ khôi phục” của mình trên bất kỳ trang web nào. Cần kiểm tra kỹ địa chỉ website, sử dụng ví được bảo vệ bởi SEAL, cập nhật kiến thức về các hình thức lừa đảo mới và cài plugin chống lừa đảo để tự vệ hiệu quả.

Từ khóa: “MetaMask”, “cụm từ khôi phục”, “xác minh hai bước(2FA)”, “tấn công xã hội”