Tin tức 
Thông tin Coin 
Về chúng tôi 
Lừa đảo *NFT XRP* dạng “*fake NFT pass*” đang lan rộng trên *XRP Ledger(XRPL)*, nhắm vào *ví XRP* của người dùng thông qua chiêu thức *social engineering* thay vì tấn công kỹ thuật. Thay vì hack giao thức, kẻ xấu chỉ chờ một “cú nhầm tay” của người dùng để chiếm đoạt tài sản, khiến cộng đồng *XRP* ngày càng cảnh giác.
Theo chia sẻ trên nền tảng X ngày 24 (giờ địa phương) từ nhà phát triển Wietse Wind – người đứng sau ví Xaman, anh khẳng định bản thân và đội ngũ “không phát hành bất kỳ dạng pass hay NFT nào”. Nếu người dùng nhận được thông báo trong ví về việc “nhận pass”, “airdrop NFT”, hay các tài sản lạ xuất hiện như một sự kiện tặng thưởng, khả năng cao đó là mồi nhử của kẻ lừa đảo chứ không phải sự kiện chính thức.
Cốt lõi của chiêu trò này nằm ở cách kẻ tấn công chủ động gửi một NFT bất kỳ vào ví nạn nhân rồi kiên nhẫn chờ chủ ví tương tác với *offer* (đề nghị giao dịch) gắn với NFT đó. Ngay khi người dùng chấp nhận offer hoặc ký một giao dịch liên quan, bề ngoài trông giống như một giao dịch trao đổi “hời”, nhưng thực chất người dùng lại đang đem tài sản có giá trị đổi lấy những token vô giá trị hoặc thậm chí độc hại. Wind cảnh báo đây chẳng khác nào “tự nguyện ký vào một thỏa thuận giao dịch tồi” do chính kẻ lừa đảo đưa ra.
Các chuyên gia quan sát bảo mật cũng nhấn mạnh đây không phải là lỗi kỹ thuật, lỗ hổng giao thức hay sự cố hack trên *XRPL*, mà là vấn đề nằm ở hành vi người dùng. Việc một NFT lạ, token lạ bất ngờ xuất hiện trong ví phải được xem là “đèn đỏ cảnh báo”. Người dùng được khuyên tuyệt đối không bấm vào, không ký, không kết nối và không tương tác dưới bất kỳ hình thức nào với những tài sản mà mình không chủ động yêu cầu hoặc không hiểu rõ nguồn gốc. Theo đánh giá của Wind, vì điểm yếu nằm ở con người chứ không phải ở mã nguồn của NFT hay giao thức, nên việc chỉnh sửa ở cấp độ code cũng khó thể giải quyết triệt để.
Để giảm thiểu rủi ro, Wind hướng dẫn cụ thể cách xử lý cho người dùng ví Xaman. Chủ ví có thể truy cập mục “Events” và “Requests” để rà soát các đề nghị giao dịch đáng ngờ, sau đó dùng nút “Cancel” (hủy) để xóa bỏ các offer này. Anh cho biết, chỉ cần người dùng phớt lờ, không tương tác thì sẽ không bị mất tiền, tuy nhiên việc chủ động hủy ngay lập tức giúp loại bỏ cảm giác bất an và giảm nguy cơ nhầm lẫn về sau.
Trong cộng đồng, một số trường hợp thực tế đã được chia sẻ công khai nhằm cảnh báo rộng rãi. Trên nền tảng X, một người dùng hoạt động với tên “Crypto Analytics” cho biết đã nhận được offer tương tự dạng lừa đảo khi sử dụng ví Bithomp. Theo người này, phía XRPL Labs đã đánh dấu các offer NFT đáng ngờ là “scam” để bổ sung thêm một lớp cảnh báo cho người dùng ngay trong giao diện ví.
Vụ việc cho thấy rủi ro không nằm ở chuyện chỉ “nắm giữ” *NFT XRP* hay bất kỳ NFT nào, mà xuất hiện trong bước tiếp theo khi người dùng bấm chấp nhận offer, ký giao dịch và cho phép chuyển tài sản. Trong bối cảnh lừa đảo dựa trên *social engineering* ngày càng tinh vi trên *XRP Ledger(XRPL)* cũng như toàn thị trường tiền mã hóa, việc cộng đồng chủ động chia sẻ thông tin cảnh báo, đồng thời tuân thủ các nguyên tắc an toàn cơ bản khi giao dịch *NFT XRP* và sử dụng *ví XRP* đang trở thành yếu tố then chốt để hạn chế thiệt hại.
Bình luận 0