Cảnh báo lừa đảo Uniswap(UNI): Người dùng mất hàng trăm nghìn USD giữa làn sóng phishing bùng nổ

Theo Cointelegraph đưa tin ngày 21 (giờ địa phương), nhà sáng lập sàn phi tập trung *“Uniswap(UNI)”* Hayden Adams đã lên tiếng cảnh báo mạnh mẽ về làn sóng *“quảng cáo lừa đảo Uniswap”* đang tràn lan trên công cụ tìm kiếm và chợ ứng dụng. Vụ việc càng gây chú ý khi một người dùng tiết lộ đã mất tới *“mid six-figure”* – tương đương hàng chục vạn đô la Mỹ, tức hàng tỷ đồng – chỉ vì truy cập nhầm vào trang web giả mạo.

Adams cho biết cảnh báo này được đưa ra ngay sau khi dữ liệu cho thấy số tiền tiền mã hóa bị đánh cắp do lừa đảo và *“phishing”* trong tháng 1 vừa qua đã vọt lên mức cao nhất trong vòng 11 tháng.

Theo chia sẻ trên mạng xã hội X ngày 21 (giờ địa phương), Adams nhấn mạnh rằng các *“quảng cáo lừa đảo Uniswap”* hầu như không biến mất dù đã bị người dùng báo cáo trong nhiều năm: chúng bị gỡ rồi lại xuất hiện trở lại. Ông nói thêm, ngay cả trong giai đoạn nhóm phát triển phải chờ phê duyệt ứng dụng trên *App Store* suốt nhiều tháng, các ứng dụng giả mạo Uniswap vẫn ngang nhiên được hiển thị.

Hiện nay, các nhóm lừa đảo đang nhắm thẳng vào từ khóa liên quan đến *“Uniswap(UNI)”* trên những công cụ tìm kiếm lớn như Google. Khi người dùng gõ từ khóa Uniswap, liên kết quảng cáo được gắn nhãn “trông như chính thức” sẽ hiện lên ở vị trí đầu tiên. Nếu nhầm tưởng đây là trang chính chủ, người dùng sẽ kết nối ví, ký xác nhận giao dịch, rồi toàn bộ tài sản trong ví bị rút sạch chỉ trong vài cú nhấp chuột.

*bình luận* Vấn đề không chỉ nằm ở tên miền hay giao diện giống thật, mà ở chỗ người dùng đang gắn niềm tin vào vị trí hiển thị “trên cùng” của kết quả tìm kiếm hoặc chợ ứng dụng, vô tình biến đây thành điểm yếu mà kẻ xấu liên tục khai thác.

Một người dùng X có tên “Ika” đã thu hút sự chú ý khi đăng tải bài viết với tiêu đề: “Tôi đã mất tất cả, giờ phải làm gì?”. Anh cho biết giá trị số tài sản trong ví bị đánh cắp ở mức “mid six-figure”, tức khoảng vài trăm nghìn đô la Mỹ, tương đương quy mô tài sản nhiều tỷ đồng nếu quy đổi sang tiền Việt.

Ika khẳng định anh đã tuân thủ kỷ luật cá nhân về bảo mật trong suốt hai năm, vừa tìm kiếm cơ hội việc làm trong lĩnh vực *web3*, vừa cố gắng tích lũy tài sản đủ nhanh để trở nên độc lập tài chính. Dù vậy, chỉ cần một sai lầm, toàn bộ số tài sản ấy đã “bốc hơi” khỏi ví.

Theo Ika, đây không đơn thuần là “vận xui”: đó là “kết quả cuối cùng của chuỗi quyết định sai lầm tích tụ theo thời gian”. Không phải một cú nhầm duy nhất, mà là việc bỏ qua những bước kiểm tra nhỏ – thói quen bảo mật lỏng lẻo, xác minh đường dẫn qua loa, không đối chiếu kỹ tên miền – đã âm thầm tích tụ thành lỗ hổng lớn.

Trước khi chia sẻ bài viết dài về trải nghiệm, Ika đã đăng ảnh chụp màn hình kết quả tìm kiếm Google, cho thấy liên kết giả mạo Uniswap xuất hiện ở vị trí đầu tiên. Tên miền được ngụy trang cực kỳ tinh vi, khiến người dùng rất dễ lầm tưởng đó là trang *“Uniswap(UNI)”* chính thức, rồi vô thức kết nối ví và phê duyệt giao dịch.

*bình luận* Câu chuyện của Ika cho thấy ngay cả người dùng có kinh nghiệm trong *DeFi* và *web3* cũng có thể trở thành nạn nhân khi chỉ một lần lơ là với các bước kiểm tra cơ bản: nhìn kỹ tên miền, phân biệt “quảng cáo” và kết quả tự nhiên, xác thực lại nguồn liên kết trước khi kết nối ví.

Theo Cointelegraph đưa tin ngày 20 tháng 10 (giờ địa phương), đây không phải lần đầu *“Uniswap(UNI)”* trở thành mục tiêu của những chiến dịch *phishing* tinh vi. Từ tháng 10 năm 2024, báo cáo cho thấy kẻ xấu đã lợi dụng việc tên miền chính thức của Uniswap có “độ uy tín domain (domain authority)” chưa quá cao, từ đó tung ra các bản sao giao diện cực kỳ giống thật.

Trong vụ việc đó, trang giả mạo hầu như không khác gì bản gốc nếu chỉ nhìn lướt qua. Tuy nhiên, bố cục nút bấm bên trong đã bị “đổi vị trí” đầy dụng ý: khu vực lẽ ra là nút “Get Started” lại được thay bằng nút “Connect Wallet”, còn vị trí của mục “Read the Docs” lại được cài nút “Bridge”. Cách bố trí này kéo người dùng đi theo một kịch bản đã được thiết kế sẵn: kết nối ví càng nhanh, chuyển tài sản càng sớm.

Ở thời điểm hiện tại, các chiến dịch lừa đảo mượn danh những giao thức *DeFi* nổi tiếng như *“Uniswap(UNI)”* đang dần nâng cấp thành các đòn tấn công “kỹ nghệ xã hội” (social engineering) hoàn chỉnh. Không chỉ người mới bước vào thị trường, mà ngay cả nhà đầu tư dày dạn kinh nghiệm cũng có nguy cơ bị đánh lừa nếu chỉ đánh giá độ an toàn thông qua “cảm quan giao diện”.

Theo dữ liệu on-chain tổng hợp ngày 31 tháng 1 (giờ địa phương), bức tranh toàn thị trường tiền mã hóa trong tháng 1 cho thấy mức độ rủi ro an ninh ngày càng đáng lo ngại. Tổng số tiền bị đánh cắp qua các vụ hack, lừa đảo và phishing riêng trong tháng này đã đạt 370,3 triệu đô la Mỹ (khoảng 5.366 tỷ đồng), tương đương mức cao nhất trong vòng 11 tháng trở lại đây. So với tháng 1 năm 2025, con số này gần như tăng gấp bốn lần.

Báo cáo của công ty bảo mật blockchain CertiK cho biết, trong 40 vụ việc được ghi nhận trong tháng 1, phần lớn giá trị thiệt hại lại tập trung vào một nạn nhân duy nhất. Nạn nhân đó được cho là đã để mất khoảng 284 triệu đô la Mỹ (khoảng 4.114 tỷ đồng) trong một cuộc tấn công dựa trên kỹ nghệ xã hội.

Các cuộc tấn công kỹ nghệ xã hội không chủ yếu dựa vào lỗ hổng kỹ thuật, mà tận dụng tâm lý và niềm tin của con người. Kẻ xấu có thể giả làm thành viên đội ngũ dự án, nhà đầu tư chiến lược hoặc đối tác uy tín; sau khi tạo được lòng tin, chúng sẽ khéo léo dụ nạn nhân nhấp vào liên kết, kết nối ví, hoặc cấp quyền truy cập không giới hạn cho các hợp đồng thông minh độc hại. *“Quảng cáo lừa đảo Uniswap(UNI)”* và các trang giả mạo trong kết quả tìm kiếm đều thuộc nhóm tấn công này.

Theo các chuyên gia bảo mật, làn sóng tấn công nhắm vào *“Uniswap(UNI)”* và các giao thức *DeFi* cho thấy đã đến lúc không chỉ bản thân dự án, mà cả những nền tảng phân phối lưu lượng truy cập như công cụ tìm kiếm, chợ ứng dụng, mạng quảng cáo phải đối diện câu hỏi về trách nhiệm. Thực tế, tình trạng người dùng liên tục tố cáo nhưng *“quảng cáo lừa đảo Uniswap”* vẫn xuất hiện ở vị trí hàng đầu cho thấy lớp phòng vệ hiện tại chưa theo kịp mức độ tinh vi của kẻ xấu.

Tuy nhiên, giới chuyên môn cũng thừa nhận khó có giải pháp tuyệt đối để chặn toàn bộ các đường dẫn lừa đảo trong thời gian thực, trong bối cảnh tội phạm mạng liên tục đăng ký tên miền mới và điều chỉnh nội dung quảng cáo để qua mặt bộ lọc. Điều này khiến vai trò của người dùng như *“tuyến phòng thủ cuối cùng”* trở nên ngày càng quan trọng.

Các chuyên gia khuyến nghị, để tránh rơi vào bẫy *“quảng cáo lừa đảo Uniswap(UNI)”* hay phishing tương tự, người dùng nên duy trì một “checklist” tối thiểu:

- Luôn kiểm tra xem liên kết đang bấm có gắn nhãn “quảng cáo” hay không

- Đối chiếu kỹ tên miền với địa chỉ chính thức do dự án công bố

- Tạm dừng vài giây để rà soát lại trang web trước khi kết nối ví hoặc cấp quyền truy cập

Nếu bỏ qua những bước tưởng chừng đơn giản này, ngay cả nhà đầu tư dày dạn kinh nghiệm cũng có thể đánh mất số tài sản tích lũy nhiều năm chỉ sau một quyết định vội vàng.

*bình luận* Các vụ *phishing* mượn danh *“Uniswap(UNI)”* và thống kê thiệt hại kỷ lục trong tháng 1 đang cho thấy một thực tế rõ ràng: khi hệ sinh thái *DeFi* và *web3* mở rộng, mặt trái về rủi ro an ninh cũng phình to theo. Nếu không đồng thời siết lại khung quản lý, nâng chuẩn kiểm duyệt quảng cáo ở cấp nền tảng, và phổ cập kiến thức bảo mật cho người dùng, câu chuyện “tôi đã mất tất cả” rất có thể sẽ tiếp tục lặp lại với quy mô ngày càng lớn.