Trong phần 1, chúng ta đã tìm hiểu về lừa đảo Defi và 2 cái tên đứng đầu trong danh sách: Rug pull và pump dump. Hãy cùng đến với 8 cái tên còn lại.
3. Phishing
Lừa đảo Phishing tiền điện tử là một biến thể của trò lừa đảo trực tuyến cũ – trong đó những kẻ xấu giả mạo là các công ty hoặc trang web hợp pháp để thu thập thông tin cá nhân từ nạn nhân của chúng.
Những kẻ gian lận trong thế giới tiền điện tử quan tâm đến việc lấy khóa riêng (private key) ví tiền điện tử của người dùng. Sau đó, những kẻ lừa đảo sử dụng các khóa để truy cập tiền trong ví và gửi tài sản ra ngoài.
Dưới đây là những cách phổ biến mà kẻ xấu thực hiện lừa đảo người dùng tiền điện tử:
Email lừa đảo
Lừa đảo DeFi có thể được thực hiện thông qua email; kẻ xấu giả vờ là nền tảng giao dịch hoặc giao thức DeFi.
Email thông báo cho người dùng rằng tài khoản của họ bị xâm phạm và để giải quyết vấn đề này, họ cần địa chỉ ví và mật khẩu của mình. Trong một số trường hợp, những kẻ lừa đảo yêu cầu người dùng gửi tiền để bảo mật ví của họ.
Trong một số trường hợp, email lừa đảo có thể liên kết đến một trang web giả mạo yêu cầu người dùng nhập chi tiết ví của họ. Nhập chi tiết ví của bạn trên một trang web như vậy sẽ dẫn đến việc kẻ lừa đảo lấy thông tin cá nhân của bạn
Trang web Lừa đảo
Một cách khác những kẻ lừa đảo có thể lấy cắp thông tin cá nhân của bạn là thông qua các ví tiền điện tử phi tập trung như Metamask.
Bạn ẩn danh khi sử dụng Metamask để tương tác với Web 3.0 hoặc ứng dụng phi tập trung. Tuy nhiên, trang web sẽ hiển thị rằng bạn có ví tiền điện tử; điều này là đủ để những kẻ lừa đảo bắt đầu các cuộc tấn công lừa đảo.
Địa chỉ công khai bị ẩn với ví Metamask bị khóa và những kẻ lừa đảo không thể xem bất kỳ lịch sử ví nào. Nhưng các tác nhân độc hại có một số chiến lược được nhắm mục tiêu để giúp bạn mở khóa ví của mình.
Một ví dụ là gửi ví có cảnh báo giao dịch đến giả mạo, hoặc cửa sổ bật lên metamask giả mạo để yêu cầu bạn mở khóa ví của mình. Trong một số trường hợp, họ chỉ đợi người dùng mở khóa ví.
Ví Metamask đã mở khóa sẽ hiển thị địa chỉ công khai của bạn trên tất cả các trang web bạn mở; nếu bạn chuyển đổi giữa các tài khoản, địa chỉ của tài khoản đó cũng được hiển thị. Với địa chỉ công khai, những kẻ lừa đảo có thể xem số dư của ví tiền điện tử và lịch sử giao dịch tài chính của bạn.
Với lịch sử giao dịch, kẻ lừa đảo có thể tạo các giao dịch giả mạo để cảnh báo:
- Tuyên bố rằng giao dịch gửi đi cuối cùng không thành công và yêu cầu các khóa xác thực của bạn để thử lại.
- Yêu cầu bạn ký cho một giao dịch mới đến (giao dịch giả mạo)
Kẻ gian lận có thể lợi dụng việc truy cập thông tin của người dùng.
Một cách khác là gửi cho bạn một cửa sổ bật lên Metamask khác trong số các giao dịch của bạn, với các chi tiết chính xác ngoại trừ giao dịch cuối cùng mà nó báo cáo là không thành công. Sau đó, có một lời nhắc để người dùng thử lại giao dịch trước đó.
Mọi thứ đều chính xác ngoại trừ địa chỉ ví đích. Kẻ lừa đảo thay đổi địa chỉ và nếu thành công, người dùng sẽ vô tình gửi tiền điện tử đến địa chỉ của kẻ lừa đảo.
Quảng cáo Google giả mạo
Những kẻ lừa đảo cũng có thể đưa ra một quảng cáo google giả mạo để chiếm vị trí đầu tiên khi người dùng tìm kiếm một dự án cụ thể. Người dùng nhấp vào quảng cáo đó sẽ được dẫn đến trang web sai của những kẻ lừa đảo.
Cách phát hiện các cuộc tấn công Phishing
- Đừng nhấp vào các liên kết đáng ngờ
Các cuộc tấn công Phishing tập trung vào việc nạn nhân nhập thông tin chi tiết của họ trên các trang web giả mạo. Đảm bảo rằng bạn luôn kiểm tra địa chỉ liên hệ email của mình. Hầu hết các lần, địa chỉ liên hệ email lừa đảo đều chứa đầy các ký tự ngẫu nhiên.
Không liên kết hoặc theo bất kỳ liên kết nào từ các địa chỉ email đáng ngờ. Bên cạnh đó, các trao đổi hoặc giao thức sẽ không yêu cầu khóa cá nhân của bạn qua email.
- Hãy cẩn thận khi trực tuyến
Luôn kiểm tra kỹ để đảm bảo rằng bạn đang truy cập đúng trang web. Các trang web sao chép thường sử dụng một biến thể của địa chỉ trang web gốc, chẳng hạn như thay đổi miền hoặc thêm / xóa một chữ cái.
Ví dụ: thay vì Metamask.io, địa chỉ sao chép có thể là Metamask.com hoặc Metamaskk.io.
Để tránh trở thành nạn nhân, hãy luôn kiểm tra lại URL của trang web. Ngoài ra, hãy đảm bảo rằng URL có chứng chỉ bảo mật (HTTPS // không phải HTTP). Bạn có thể quyết định điều hướng trang web theo cách thủ công thay vì theo liên kết từ nguồn khác.
4. Wallet Drub
Wallet Drub, hay đơn giản là “phủi bụi”, là một chiến lược gian lận tinh vi nhắm vào các ví nóng. Nó đặc biệt phổ biến giữa các ví phi tập trung như Metamask hoặc Trust Wallet. Trong một trò lừa đảo phủi bụi, kẻ lừa đảo sẽ gửi một lượng nhỏ token ít người biết đến vào ví của bạn.
Các trò gian lận thường liên quan đến hàng chục nghìn ví. Những kẻ lừa đảo chủ yếu sử dụng các trò gian lận để xác định các cá nhân có lượng tiền điện tử nắm giữ rộng rãi. Các token mà họ gửi đến ví hoạt động như một bộ theo dõi.
Ngay lập tức bạn bán hoặc giao dịch những token đó, những kẻ gian lận có thể bắt đầu truy tìm các giao dịch trên blockchain đến ví của bạn, nơi bạn giữ các đồng tiền khác. Nếu họ có thể xác định thành công ví, họ có thể bắt đầu các cuộc tấn công lừa đảo có chủ đích để hack ví.
Làm thế nào để tránh lừa đảo Wallet Drub
Tránh giao dịch hoặc giao dịch token nếu bạn không chắc chắn về nguồn của chúng, đặc biệt nếu khối lượng nhỏ.
5. Honey Pot
Các trò gian lận trong Honey pot khá giống với các trò lừa đảo pump và dump, ngoại trừ, trong trường hợp này, chỉ có các nhà phát triển mới có thể bán token đang nắm giữ của họ.
Những người sáng lập thu hút các nhà đầu tư đầu tư vào các dự án của họ với những dự đoán và tiếp thị về giá cao. Khi nhiều người đầu tư hơn, giá của tài sản tăng lên (hướng đến mặt trăng).
Vấn đề bắt đầu khi các nhà đầu tư quyết định thu về lợi nhuận, bạn nhận được thông báo lỗi như “giao dịch không thể thành công do lỗi không xác định; điều này có thể là do sự cố với một trong các token bạn đang hoán đổi.”
Kẻ lừa đảo đã chèn một dòng mã vào hợp đồng thông minh khiến các nhà đầu tư không thể bán cổ phần của họ.
Làm thế nào để phát hiện ra lừa đảo Honey Pot
Giống như phát hiện các lần rug pull hay pump và dump, hãy đảm bảo bạn thực hiện thẩm định trước khi đầu tư vào bất kỳ dự án DeFi nào.
6. Lừa đảo khai thác trên nền tảng đám mây
Trong kế hoạch đầu tư này, các nền tảng lừa đảo thuyết phục các nhà đầu tư và người mua bán lẻ bỏ vốn trả trước để đảm bảo nguồn năng lượng khai thác đang diễn ra.
Các công ty khai thác trên nền tảng đám mây cho phép bạn thuê phần cứng khai thác mà họ sẽ vận hành với một khoản trả trước cố định. Đổi lại, các nhà đầu tư nhận được một phần doanh thu. Bằng cách đó, các nhà đầu tư có thể khai thác từ xa mà không cần mua phần cứng đắt tiền.
Mấu chốt của các công ty lừa đảo khai thác trên đám mây là các nền tảng này không sở hữu tỷ lệ băm mà họ nói là họ có. Do đó, các nhà đầu tư sẽ mất vốn và không nhận được bất kỳ khoản lợi tức nào từ khoản thanh toán trước.
7. Lừa đảo NFTs
Lừa đảo NFT có thể xảy ra theo một số cách, bao gồm rug pull, Phishing , phủi bụi ví, NFT giả và lừa đảo giá thầu. Dưới đây là các trò gian lận NFTs phổ biến.
- NFT Rug pull : Người tạo ngừng ủng hộ NFT và lấy tiền của nhà đầu tư sau khi giá tăng. Kết quả là, giá trị và kết xuất NFT giảm xuống gần như bằng không.
- Tấn công lừa đảo : Tin tặc cố gắng lấy các khóa riêng của bạn để xâm nhập vào bộ sưu tập NFT. Một biến thể phổ biến là ví tiền; tin tặc gửi một NFT Airdrop giả mạo vào ví của bạn. Giao tiếp với NFT này trong ví của bạn có thể cấp cho họ quyền truy cập để xâm nhập vào ví của bạn.
- NFT giả : Trong trường hợp này, những kẻ lừa đảo đánh cắp tác phẩm của một nghệ sĩ / người sáng tạo và mở một NFT giả trên thị trường NFT khác. Nếu không cẩn thận, người mua không nghi ngờ sẽ mua phải NFT giả. Bạn phải luôn đảm bảo rằng bạn đang mua từ nghệ sĩ gốc để tránh điều này.
- Pump and Dump : Điều này xảy ra khi một nhóm người tăng giá trị của một số NFT một cách giả tạo, lừa người dùng nghĩ rằng họ có giá trị. Một khi giá thầu tăng lên, những kẻ lừa đảo giảm tải các NFT, khiến các nhà đầu tư mất tiền.
- Lừa đảo giá thầu : Lừa đảo đấu thầu xảy ra khi những người đấu thầu chuyển đổi đơn vị tiền tệ ưa thích của bạn sang một đơn vị tiền tệ có giá trị thấp hơn mà bạn không nghi ngờ điều đó. Điều này xảy ra khi các nhà đầu tư muốn bán NFT của họ trên thị trường thứ cấp.
8. Lừa đảo Airdrop
Airdrop là một trong những cách giao thức DeFi có thể phân phối token miễn phí cho các thành viên cộng đồng. Một số giao thức sử dụng Airdrop để nâng cao nhận thức cho dự án mới của họ.
Người dùng được yêu cầu thực hiện các tác vụ đơn giản như tweet về dự án hoặc tham gia cộng đồng. Sau đó, họ được thưởng bằng Airdrop.
Tuy nhiên, không phải tất cả Airdrop cho ví tiền điện tử của bạn đều là chính hãng. Trong một số trường hợp, đó là một cách để tin tặc truy cập vào ví của bạn.
Những kẻ lừa đảo lừa mọi người nghĩ rằng họ đã nhận được Airdrop trị giá hàng nghìn đô la sau một dự án / trang web mờ ám. Airdrop chỉ có thể được đổi bằng cách kết nối ví của bạn với trang web đó.
Phần khó khăn là không có tính thanh khoản trên Airdrop. Và nếu bạn kết nối ví của mình với trang web đó, bạn đã cấp cho hợp đồng thông minh độc hại quyền truy cập vào ví của mình. Những kẻ lừa đảo có thể xâm nhập vào ví của bạn và rút tài sản của bạn.
Làm thế nào để ngăn chặn lừa đảo Airdrop
Các trò gian lận trong airdrop hoàn toàn phụ thuộc vào việc bạn kết nối ví của mình với các hợp đồng thông minh độc hại. Không đổi bất kỳ Airdrop nào nếu bạn không chắc chắn về nguồn của nó.
9. Lừa đảo ICO
ICO (Cung cấp tiền xu ban đầu) là các phương tiện không được kiểm soát mà các dự án tiền điện tử có thể gây quỹ cho dự án mới của họ. Ý tưởng cơ bản là những người sáng lập bán một số token của họ cho các nhà đầu tư với giá thấp hơn.
Các nhà đầu tư thường nhận được token của họ sau một khoảng thời gian khi dự án khởi chạy.
Trong các vụ lừa đảo ICO, các nhà đầu tư không nhận được bất kỳ phần chia sẻ token nào ở cuối vách đá bởi vì dự án là một trò lừa đảo.
Các nhà phát triển này có thể cố gắng biến dự án trở nên “hợp pháp”, bao gồm cả việc đầu tư vào tiếp thị cấp cao và các văn bản pháp lý giả mạo.
10. Lừa đảo trên mạng xã hội
- Lừa đảo lãng mạn (Lợn mổ thịt)
Những trò gian lận tình cảm thường bắt đầu trên các trang web hẹn hò trực tuyến; kẻ lừa đảo sử dụng hình ảnh hồ sơ hấp dẫn (đánh cá) để thu hút nạn nhân của họ (lợn).
Những kẻ gian lận thiết lập mối quan hệ với nạn nhân thông qua tin nhắn trực tuyến. Khi các nạn nhân đến gần và tin tưởng họ, kẻ lừa đảo sẽ nói với họ về các khoản đầu tư tiền điện tử và những khoản lợi nhuận khổng lồ mà họ đã kiếm được.
Sau đó, họ lôi kéo nạn nhân tham gia vào một số khoản đầu tư sai lầm. Họ thuyết phục nạn nhân gửi một lượng lớn tài sản tiền điện tử vào một ví lừa đảo.
- Kẻ mạo danh và lừa đảo Quà tặng
Tài khoản gian lận mạo danh những người nổi tiếng và những người có ảnh hưởng trong không gian tiền điện tử. Những kẻ mạo danh này sau đó tiếp cận với những kẻ mạo danh đến những nạn nhân không nghi ngờ về một dự án mới hoặc quà tặng. Sau đó, họ yêu cầu mọi người gửi một số tài sản tiền điện tử trước khi họ có thể truy cập các quà tặng này.
Ví dụ, từ tháng 9 năm 2020 đến tháng 4 năm 2021, đã có báo cáo về hơn 2 triệu đô la được chuyển cho những kẻ mạo danh Elon Musk trên Twitter . Và theo FTC, 14% tất cả các loại lừa đảo mạo danh là bằng tiền điện tử.
Biên tập: Bình Phạm