Một người dùng crypto mất 50 triệu USDT vì bẫy lừa đảo “đầu độc địa chỉ” on-chain

Một người dùng crypto đã mất gần 50 triệu USDT sau khi sập bẫy lừa đảo “đầu độc địa chỉ” (address poisoning) trong một vụ hack on-chain quy mô lớn.

Theo công ty an ninh Web3 Antivirus, vụ việc xảy ra sau khi nạn nhân thực hiện một giao dịch thử trị giá 50 USDT để kiểm tra địa chỉ nhận tiền, trước khi chuyển toàn bộ số dư còn lại.

Chỉ trong vài phút, kẻ lừa đảo đã tạo ra một địa chỉ ví có hình thức gần như trùng khớp với địa chỉ đích, đặc biệt là các ký tự ở phần đầu và cuối. Do hầu hết ví crypto chỉ hiển thị dạng rút gọn (prefix và suffix), kẻ tấn công biết rằng người dùng rất dễ nhầm lẫn.

Tiếp đó, kẻ lừa đảo gửi cho nạn nhân một lượng token cực nhỏ, còn gọi là “dust”, nhằm làm ô nhiễm lịch sử giao dịch. Tin rằng địa chỉ nhận tiền là hợp lệ và đã được nhập chính xác, nạn nhân sao chép địa chỉ từ lịch sử giao dịch và vô tình chuyển 49.999.950 USDT vào ví của kẻ lừa đảo.

How to lose $50M in under an hour. This is one of the largest on-chain scam losses we’ve seen recently.

A single victim lost $50M in $USDT to an address poisoning scam. The funds had arrived less than 1h earlier.

The user first sent a small test tx to the correct address. Mins… pic.twitter.com/Umsr8oTcXC

— Web3 Antivirus (@web3_antivirus) December 19, 2025

Những giao dịch “dust” như vậy thường được gửi hàng loạt tới các ví có số dư lớn, với mục tiêu đánh vào thói quen copy–paste địa chỉ của người dùng. Các bot thực hiện chiến thuật này hoạt động trên diện rộng, chờ đợi sai sót — và trong trường hợp này, chúng đã thành công.

Dữ liệu blockchain cho thấy số tiền bị đánh cắp sau đó được hoán đổi sang ETH và luân chuyển qua nhiều ví khác nhau. Một số địa chỉ liên quan đã tương tác với Tornado Cash, dịch vụ trộn crypto đang bị Mỹ trừng phạt, nhằm che giấu dấu vết dòng tiền.

Trước diễn biến này, nạn nhân đã đăng tải một thông điệp trực tiếp trên blockchain, yêu cầu kẻ tấn công hoàn trả 98% số tiền bị đánh cắp trong vòng 48 giờ. Thông điệp kèm theo cảnh báo pháp lý, đồng thời đề nghị để lại cho hacker 1 triệu USD như một khoản “white-hat bounty” nếu toàn bộ tài sản được hoàn trả.

Nếu không tuân thủ, thông điệp nêu rõ nạn nhân sẽ tiến hành các bước pháp lý tiếp theo và theo đuổi trách nhiệm hình sự. “Đây là cơ hội cuối cùng để giải quyết vấn đề một cách hòa bình,” nạn nhân viết. “Nếu không hợp tác, chúng tôi sẽ leo thang vụ việc thông qua các kênh thực thi pháp luật quốc tế.”

Lừa đảo address poisoning không khai thác lỗ hổng trong mã nguồn hay thuật toán mật mã, mà lợi dụng chính thói quen của người dùng — đặc biệt là việc chỉ đối chiếu một phần địa chỉ ví và sao chép địa chỉ từ lịch sử giao dịch.