Hai lỗi ví và các cuộc tấn công phishing khiến người dùng thiệt hại 62 triệu USD

Trong tháng 1, một người dùng crypto đã mất 12,25 triệu USD do sao chép nhầm địa chỉ ví. Trước đó vào tháng 12, một trường hợp khác cũng thiệt hại tới 50 triệu USD vì lỗi tương tự.

Theo nền tảng bảo mật Web3 Scam Sniffer, hai sự cố này cộng lại đã gây thất thoát khoảng 62 triệu USD.

Sai sót người dùng và làn sóng tấn công phishing

Các vụ tấn công signature phishing cũng tăng mạnh trong tháng 1. Scam Sniffer ghi nhận 6,27 triệu USD đã bị đánh cắp từ 4.741 nạn nhân, tăng 207% so với tháng 12.

Someone lost $12.25M in January by copying the wrong address from their transaction history. In December, another victim lost $50M the same way.

Two victims. $62M gone.

Signature phishing also surged — $6.27M stolen across 4,741 victims (+207% vs Dec).

Top cases:
· $3.02M —… pic.twitter.com/7D5ynInRrb

— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) February 8, 2026

Những vụ lớn nhất bao gồm khoảng 3,02 triệu USD liên quan đến SLVon và XAUt thông qua cơ chế permit/increaseAllowance, cùng 1,08 triệu USD từ aEthLBTC qua permit. Chỉ riêng hai ví đã chiếm tới 65% tổng thiệt hại do phishing.

Address poisoning là hình thức lừa đảo trong đó kẻ tấn công gửi các giao dịch nhỏ từ những địa chỉ ví có ký tự gần giống địa chỉ thật, nhằm khiến người dùng sao chép nhầm từ lịch sử giao dịch. Khi đó, tài sản có thể bị chuyển thẳng tới ví của kẻ lừa đảo.

Signature phishing làm rủi ro tăng thêm khi dụ người dùng ký các quyền phê duyệt độc hại, cho phép kẻ tấn công di chuyển tài sản về sau. Những phương thức này chủ yếu khai thác yếu tố kỹ nghệ xã hội và sai sót con người, khiến ngay cả người dùng có kinh nghiệm cũng có thể trở thành nạn nhân.

Vụ mất 3 triệu đô la PYTH do địa chỉ giả mạo

Tháng 11 năm ngoái, một holder crypto đã mất hơn 3 triệu USD token PYTH sau khi gửi nhầm tài sản vào ví của kẻ lừa đảo. Sự cố xảy ra khi nạn nhân sao chép địa chỉ nạp tiền giả từ lịch sử giao dịch.

Các nhà phân tích blockchain tại Lookonchain cho biết kẻ tấn công đã tạo một địa chỉ “nhái” trùng bốn ký tự đầu với ví thật và gửi một giao dịch SOL nhỏ để tạo cảm giác hợp lệ. Sau đó, nạn nhân chuyển 7 triệu PYTH mà không kiểm tra kỹ địa chỉ, dẫn đến một vụ address poisoning. Số token này khi đó trị giá khoảng 3,08 triệu USD.

Safe cảnh báo chiến dịch lừa đảo quy mô lớn

Trước tần suất các cuộc tấn công gia tăng, ví non-custodial Safe (trước đây là Gnosis Safe) cũng phát cảnh báo về một chiến dịch address poisoning và kỹ nghệ xã hội quy mô lớn nhắm vào các ví multisig.

🚨 Security update: large-scale address poisoning + social engineering campaign targeting multisig users

We’ve identified a coordinated effort by malicious actor(s) to create thousands of lookalike Safe addresses designed to trick users into sending funds to the wrong…

— Safe{Labs} (@SafeLabs_) February 6, 2026

Nền tảng cho biết kẻ tấn công đã tạo hàng nghìn địa chỉ Safe giả mạo nhằm dụ người dùng chuyển tiền nhầm. Safe nhấn mạnh đây không phải là lỗi giao thức, hạ tầng hay lỗ hổng smart contract.

Safe đã xác định khoảng 5.000 địa chỉ độc hại và gắn cờ, đồng thời loại bỏ chúng khỏi giao diện Safe Wallet để giảm nguy cơ người dùng chuyển tài sản nhầm.