Mất hơn 12 triệu USD ETH vì bẫy “đầu độc địa chỉ”
Một nhà giao dịch tiền mã hóa vừa mất hơn 12 triệu USD Ethereum (ETH) sau khi chuyển nhầm tiền vào ví giả mạo, theo dữ liệu on-chain cho thấy đây là một vụ tấn công address poisoning (đầu độc địa chỉ) thành công.
Sự cố liên quan đến địa chỉ nạn nhân được gắn nhãn 0xd674, vốn có thói quen chuyển lượng lớn ETH vào ví nạp tiền của Galaxy Digital.
Theo phân tích do Lookonchain chia sẻ ngày 31/1, kẻ tấn công đã tạo một địa chỉ ví có ký tự đầu và cuối gần giống với địa chỉ nạp tiền hợp pháp của Galaxy Digital, nhằm đánh lừa thị giác người dùng.
A victim (0xd674) lost 4556 $ETH($12.4M) due to a copy-paste address mistake.
Victim 0xd674 frequently transfers funds to Galaxy Digital via
0x6D90CC…dD2E48.The attacker generated a poison address with the same first and last 4 characters as Galaxy Digital's deposit address… pic.twitter.com/oXI3exESzE
— Lookonchain (@lookonchain) January 31, 2026
Cách kẻ tấn công giăng bẫy bằng giao dịch “bụi”
Lịch sử giao dịch cho thấy kẻ xấu liên tục gửi các khoản ETH rất nhỏ (dust transactions) đến ví nạn nhân trong thời gian dài.
Mục tiêu là khiến địa chỉ độc hại xuất hiện trong danh sách giao dịch gần đây, đứng cạnh các địa chỉ hợp pháp, từ đó tăng khả năng người dùng sao chép nhầm khi chuyển tiền.
Khoảng 11 giờ trước khi phát hiện tổn thất, nạn nhân thực hiện một giao dịch ETH mới, dự định chuyển cho Galaxy Digital.
Tuy nhiên, địa chỉ đích đã được sao chép trực tiếp từ lịch sử giao dịch, không kiểm tra thủ công.
Kết quả là 4.556 ETH (khoảng 12,4 triệu USD tại thời điểm đó) đã được gửi thẳng đến ví do kẻ tấn công kiểm soát — chỉ trong một giao dịch duy nhất, không có giao dịch sửa sai nào tiếp theo.
Bài học đắt giá về an toàn ví tiền mã hóa
Giao dịch đã được xác nhận và không có dấu hiệu hoàn tiền, phù hợp với tính không thể đảo ngược của các giao dịch trên blockchain Ethereum.
Vụ việc nhấn mạnh sự gia tăng của các cuộc tấn công address poisoning, vốn khai thác sai sót của người dùng thay vì lỗ hổng kỹ thuật trong smart contract hay giao thức.
Điều đáng lo là ngay cả nhà giao dịch dày dạn kinh nghiệm cũng có thể mắc bẫy khi xử lý giao dịch giá trị lớn.
Khuyến nghị an toàn gồm: xác minh từng ký tự địa chỉ, sử dụng danh bạ ví (address book), đặt cảnh báo dust, và thực hiện giao dịch thử với số tiền nhỏ trước khi chuyển khoản lớn.
