1. Thực trạng lừa đảo Crypto

Theo Chainalysis, năm 2024 ghi nhận tổng giá trị giao dịch bất hợp pháp trong thị trường crypto chạm mốc 40,9 tỷ USD, và con số này có thể vượt 51 tỷ USD nếu phát hiện thêm các ví lừa đảo. Dù giảm nhẹ so với 46,1 tỷ USD của năm 2023, các vụ lừa đảo vẫn là mối đe dọa lớn với các thủ thuật ngày càng tinh vi.

Dưới đây là những hình thức lừa đảo nổi bật:

  • Pig Butchering (Lừa đảo tình cảm hoặc cơ hội làm giàu): Kẻ gian xây dựng các mối quan hệ qua mạng xã hội hoặc ứng dụng hẹn hò, dụ dỗ nạn nhân đầu tư vào các dự án crypto giả. Hình thức này tăng 40% về giá trị thiệt hại so với năm 2023.
  • Pump-and-Dump (Thổi giá và bán tháo): Các dự án hoặc nhóm cá nhân thao túng giá token bằng cách quảng bá rầm rộ, sau đó bán tháo khi giá đạt đỉnh. Trò này gây thiệt hại 2,57 tỷ USD cho nhà đầu tư trong năm 2024.
  • Hack ví và sàn giao dịch: Các vụ tấn công khai thác lỗ hổng bảo mật trong khóa riêng tư, ví nóng, hoặc giao thức DeFi đã gây tổn thất 2,2 tỷ USD, tăng 21% so với năm 2023.

Những con số trên cho thấy thị trường crypto vẫn còn tiềm ẩn rất nhiều rủi ro. Vậy làm thế nào để nhận diện và phòng tránh những cạm bẫy này? Cùng 5 Phút Crypto tìm hiểu nhé!

Chiêu trò lừa đảo Crypto ngày càng tinh vi
Chiêu trò lừa đảo Crypto ngày càng tinh vi

2. Các chiêu trò lừa đảo phổ biến trong Crypto

2.1. Đánh cắp Private Key và Seed Phrase

Private Key là một chuỗi ký tự đặc biệt ví dụ như “5Kb8kLf9zgWQnogidDA76MzPL6TsZZY36hWXMssSzNydYXYB9KF” còn Seed Phrase là dãy 12 hoặc 24 từ tiếng anh ngẫu nhiên, cả 2 đều đóng vai trò như “mật khẩu” để truy cập và quản lý ví Crypto. Nếu kẻ lừa đảo lấy được khóa riêng tư, chúng có thể kiểm soát toàn bộ ví và rút sạch tài sản chỉ trong vài phút. Chúng thường lợi dụng những sai lầm của người dùng như:

  • Lưu trữ không an toàn: Nhiều người mới thường lưu Private Key trong ghi chú điện thoại, ảnh chụp màn hình, Google Drive hoặc trên file Excel. Những cách lưu trữ này rất dễ bị đánh cắp nếu thiết bị của người dùng bị hack.
  • Sử dụng phần mềm hoặc tài khoản từ nguồn không rõ ràng: Một số người dùng, đặc biệt là người mới, tìm cách tiết kiệm bằng cách tải phần mềm crack, ứng dụng miễn phí, hoặc mua tài khoản ví từ các nguồn không uy tín. Những phần mềm này thường chứa mã độc (malware) có khả năng quét và đánh cắp khóa riêng tư từ thiết bị.
  • Tự cung cấp khóa riêng tư: Kẻ lừa đảo giả danh nhân viên chăm sóc của ví hoặc admin của các dự án uy tín để dụ người dùng gửi khóa riêng tư qua tin nhắn hoặc email. Sau khi nhận được Private Key, chúng lập tức rút sạch tài sản trong ví của nạn nhân.
Hacker dẫn dụ người dùng đến với trang Web giả mạo
Hacker dẫn dụ người dùng đến Website giả mạo

Cách phòng tránh:

  • Lưu trữ khóa riêng tư một cách an toàn: Ghi Private Key và Seed Phrase ra giấy hoặc khắc lên vật liệu bền như bìa nhựa, rồi cất vào két sắt hoặc nơi bảo mật. Tránh lưu trữ khóa trên thiết bị điện tử có kết nối internet.
  • Tạo mã khóa giả để bảo mật: Bạn có thể thay đổi một vài ký tự trong Private Key trước khi lưu trữ chúng. Ví dụ, thay vì ghi chính xác mã “5Kb8kLf9zg”, bạn có thể đảo ngược hoặc thêm ký tự giả, chẳng hạn như “gz9fLk8bK5“. Tương tự như Seed Phrase, bạn có thể thay đổi thứ tự các từ với nhau. Tuy nhiên, cần đảm bảo bạn có cách để nhớ được phiên bản gốc của chúng.
  • Không bao giờ chia sẻ khóa riêng tư: Hãy ghi nhớ rằng bạn là người duy nhất sở hữu và kiểm soát Private Key của ví. Không chia sẻ Private Key với bất kỳ ai, dù họ có tự xưng là nhân viên của sàn giao dịch, ví, hay dự án nào đó. Đặc biệt, không tin vào các yêu cầu qua email hoặc tin nhắn.

2.2. Phishing

Phishing là chiêu trò lừa đảo mà kẻ xấu giả mạo các website, email, hoặc tin nhắn từ dự án, sàn giao dịch uy tín để dụ bạn nhập thông tin nhạy cảm như khóa riêng tư, mật khẩu, hoặc kết nối ví. Đây là một trong những hình thức lừa đảo phổ biến nhất, đặc biệt trên mạng xã hội và công cụ tìm kiếm. Ví dụ:

  • Liên kết giả mạo trên mạng xã hội: Kẻ lừa đảo sử dụng bot để đăng bình luận chứa link giả ngay dưới bài viết của các dự án lớn trên X, tinh vi hơn là chúng còn hack cả tài khoản X của dự án, và post bài viết có gắn link giả mạo. Nếu bạn bất cẩn truy cập và kết nối ví hoặc gửi một lượng nhỏ token để xác minh. Đồng nghĩa với việc bạn đã cấp quyền truy cập của ví đó cho trang web lừa đảo và tiện tay giúp chúng rút sạch tài sản. 
  • Quảng cáo giả trên Google: Kẻ xấu tạo website giả giống hệt trang chính thức của dự án và chạy quảng cáo trên Google. Website giả sẽ xuất hiện ở vị trí TOP đầu dưới dạng “Sponsor”, dễ khiến người dùng nhầm lẫn. Nếu bạn không cẩn thận và ký xác nhận giao dịch hoặc cung cấp thông tin nhạy cảm, kẻ lừa đảo có thể chiếm quyền kiểm soát ví của bạn và đánh cắp tài sản. Một số trang giả mạo còn sử dụng kỹ thuật chuyển hướng proxy, hiển thị URL đúng ban đầu nhưng sau khi truy cập lại redirect sang web giả.
Trang web giả mạo của Rabby Wallet
Trang web giả mạo của Rabby Wallet

Cách phòng tránh:

  • Nhập trực tiếp URL chính thức của dự án (ví dụ: rabby.io) thay vì nhấp vào liên kết từ tìm kiếm. Đồng thời kiểm tra một lần nữa URL cẩn thận, đặc biệt chú ý tên miền có đúng không.
  • Lưu sẵn (bookmark) những trang Web thường sử dụng vào thanh công cụ của trình duyệt, để mỗi lần truy cập đều chắc chắn vào đúng địa chỉ.
  • Sử dụng công cụ như Scam Sniffer, Pocket Universe,… hoặc ví có tính năng cảnh báo như Rabby Wallet để phát hiện trang web giả.
Sử dụng công cụ cảnh báo Web giả mạo
Sử dụng công cụ cảnh báo Web giả mạo

2.3. Rug Pull

Rug Pull là chiêu trò mà các dự án Crypto dự án sẽ lôi kéo nhà đầu tư mua token hoặc NFT, rồi bất ngờ rút toàn bộ vốn, bỏ rơi dự án, khiến người dùng mất trắng. Các dự án Rug Pull thường đánh vào tâm lý tham lam và sợ bỏ lỡ của cộng đồng bằng cách đưa ra những lời  lời hứa hẹn hấp dẫn như nắm giữ token sẽ nhận được lãi 50 – 100%/năm hoặc chúng sẽ bỏ tiền để đẩy giá token lên cao gấp 5 – 10 lần. Sau khi thu hút hàng triệu USD từ nhà đầu tư, đội ngũ rút sạch thanh khoản từ pool, khiến token mất hoàn toàn giá trị.

Hoặc các bộ sưu tập NFT được quảng bá rầm rộ với hình ảnh bắt mắt và roadmap hoành tráng. Nhưng sau khi bán hết NFT, đội ngũ lập tức biến mất và không thực hiện đúng lời hứa mà roadmap đã đề ra. Chỉ còn lại người mua với những tấm ảnh số vô giá trị trên blockchain.

Du an Squid Game rug pull nha dau tu
Dự án Squid Game rug pull nhà đầu tư

Cách phòng tránh:

  • Đọc kỹ whitepaper, kiểm tra roadmap, và tìm hiểu đội ngũ phát triển. Nếu thông tin mơ hồ hoặc thiếu minh bạch, hãy cân nhắc lại.
  • Tra cứu thông tin đội ngũ trên LinkedIn, GitHub, hoặc các kênh chính thức. Tránh đầu tư vào dự án có đội ngũ ẩn danh hoặc không rõ ràng.
  • Đừng vội vàng đầu tư vì sợ bỏ lỡ mà hãy nên dành thời gian nghiên cứu và chỉ đầu tư khi bạn hiểu rõ dự án.

2.4 Lừa đảo qua các mối quan hệ

Lừa đảo qua các mối quan hệ, thường được gọi là pig butchering (nuôi heo để thịt), là chiêu trò mà kẻ xấu xây dựng lòng tin thông qua các mối quan hệ giả mạo, như giả vờ yêu đương, mời gọi đầu tư, tuyển dụng, hoặc đóng vai nhân viên chăm sóc khách hàng. Chúng dụ dỗ người dùng chuyển tiền hoặc token vào các nền tảng lừa đảo, sau đó biến mất cùng tài sản. Chiêu này đặc biệt nguy hiểm vì khai thác cảm xúc và lòng tin của nạn nhân.

  • Giả mạo mối quan hệ tình cảm hoặc đầu tư: Kẻ lừa đảo liên hệ qua Telegram, WhatsApp, X hoặc ứng dụng hẹn hò, giả vờ xây dựng mối quan hệ thân thiết sau đó giới thiệu cơ hội đầu tư với lợi nhuận gấp chục, gấp trăm lần. Sau khi bạn nạp tiền, nền tảng chỉ hiển thị số tiền ảo, nhưng khi muốn rút, bạn buộc nạp thêm hoặc tài khoản bị khóa. Và bạn cứ nạp liên tục nhưng vẫn mãi không rút ra được.
  • Lừa đảo qua tuyển dụng: Những bài đăng tuyển làm quản trị viên (MOD, Admin) với lương rất cao thường là cái bẫy. Kẻ xấu sẽ yêu cầu bạn tải phần mềm lạ hoặc nhấp vào đường link giả mạo, từ đó chiếm quyền điều khiển máy tính và đánh cắp tất cả tài sản trong ví của bạn.
  • Giả danh chăm sóc khách hàng: Tương tự, kẻ lừa đảo giả danh nhân viên chăm sóc khách hàng của sàn giao dịch (như Binance, OKX) hoặc ví (như MetaMask, OKX Wallet), liên hệ qua tin nhắn hoặc email để giúp bạn khắc phục sự cố tài khoản hoặc ví, chúng sẽ yêu cầu cung cấp thông tin đăng nhập, private key hoặc seed phrase của ví… Sau đó kẻ gian sẽ rút toàn bộ tài sản của bị chỉ trong vòng 1 phút.
Lừa đảo qua tuyển dụng
Lừa đảo qua tuyển dụng

Cách phòng tránh:

  • Phải luôn cảnh giác với các mối quan hệ trên mạng, đặc biệt là với những người lạ.
  • Tránh xa các dự án hoặc công việc hứa hẹn lợi nhuận cao hoặc thu nhập dễ dàng thường là lừa đảo.
  • Tuyệt đối không cung cấp thông tin nhạy cảm như tài khoản đăng nhập sàn, private key hoặc seed phrase của ví cho bất kỳ ai, kể cả khi họ tự xưng là nhân viên sàn giao dịch hay ví Crypto.

2.5. Airdrop giả mạo

Airdrop giả mạo là chiêu trò mà kẻ lừa đảo mạo danh các dự án hoặc sàn giao dịch uy tín, tung các chiến dịch airdrop miễn phí. Nhưng thực chất, những “phần thưởng” này chỉ là cái bẫy để đánh cắp tài sản, chuyên nhắm vào những người mới có ít kinh nghiệm. Ví dụ:

  • Chương trình airdrop giả: Một nhóm Telegram tự xưng là “Uniswap Official airdrop” với hàng chục nghìn thành viên (chủ yếu là bot) mời bạn tham gia chương trình tặng 1000 UNI miễn phí. Để nhận thưởng, bạn phải kết nối ví và gửi một lượng nhỏ ETH để kích hoạt nhận airdrop. Sau khi hoàn tất kẻ lừa đảo rút toàn bộ token trong ví của bạn. Hình thức này tương tự với các nền tảng khác như X, Facebook,…
  • Link claim airdrop giả mạo: Kẻ lừa đảo tạo một đường link claim airdrop giả mạo và tung lên mạng xã hội. Tận dụng sự hào hứng của người dùng muốn nhận token nhanh chóng, họ sẽ nhấp vào link, kết nối ví để claim airdrop, nhưng thực chất là mở cửa cho hacker rút sạch tài sản trong ví.
Tài khoản giả mạo APE
Tài khoản giả mạo APE

Cách phòng tránh:

Để an toàn, hãy luôn kiểm tra kỹ các chương trình airdrop qua website, Twitter, hoặc Discord chính thức của dự án. Bạn có thể tham gia kênh 5Money airdrop – Research để tham gia các kèo airdrop chọn lọc, hạn chế rủi ro lừa đảo.

3. Cách lưu trữ tài sản Crypto an toàn

Một lỗi mà người mới thường hay mắc phải nhất chính là sử dụng đúng một thiết bị, một ví dùng cho mọi hoạt động như cày Airdrop, tham gia DeFi, giao dịch và hold coin. Điều này vô tình tiếp tay cho hacker chiếm đoạt hết số tài sản nếu chúng hack được thiết bị hoặc ví.

Vì thế để bảo vệ túi tiền và tự tin hơn khi tham gia thị trường, bạn cần làm theo các bước sau:

Bước 1: Tạo ví và trình duyệt riêng cho các hoạt động rủi ro cao

  • Tạo trình duyệt mới: Sử dụng một trình duyệt sạch, chẳng hạn Google Chrome hoặc Brave, không cài đặt tiện ích mở rộng không rõ nguồn gốc. Tốt nhất, tạo một hồ sơ người dùng (profile) riêng trên trình duyệt để cách ly hoàn toàn với các hoạt động cá nhân khác.
  • Tạo ví nóng mới: Cài đặt ví như MetaMask, OKX Wallet, Rabby, hoặc Trust Wallet trên trình duyệt này. Ví này chỉ dùng cho các hoạt động rủi ro cao, điển hình là săn airdrop và tham gia các hoạt động DeFi như swap, farming, add thanh khoản,…
  • Không lưu trữ tài sản lớn: Chỉ giữ một lượng tiền vừa đủ trong ví này, đủ để thực hiện các giao dịch cần thiết. Tài sản lớn nên chuyển sang ví HOLD (xem bước 3).
Tạo một trình duyệt Chrome mới và ví mới
Tạo một trình duyệt Chrome mới và ví mới

Tại sao cần làm điều này?
Hầu hết các dApp đều yêu cầu ví kết nối với hợp đồng thông minh (smart contract), nhưng không phải dApp nào cũng an toàn. Ngay cả các dự án uy tín cũng có thể bị tấn công. Ví dụ:

  • Cetus (sàn DEX lớn trên Sui) bị hack mất 223 triệu USD vào tháng 5/2025 do lỗ hổng trong hợp đồng thông minh.
  • Ronin Network (blockchain GameFi) bị khai thác 615 triệu USD vào tháng 3/2022 do lỗi bảo mật cầu nối (bridge).

Do đó, việc sử dụng ví và trình duyệt riêng giúp giới hạn thiệt hại nếu một dApp hoặc dự án bị xâm nhập.

Bước 2: Sử dụng ví trên sàn CEX uy tín cho giao dịch và đầu cơ

  • Chọn sàn uy tín: Đăng ký tài khoản trên các sàn giao dịch tập trung (CEX) đáng tin cậy như Binance, OKX, Bybit, hoặc Coinbase. Những sàn này có đội ngũ bảo mật mạnh và lịch sử hoạt động lâu dài.
  • Bật xác minh tất cả các lớp như Gmail, Số điện thoại và Google Authenticator, sinh trắc học,…để tăng bảo mật cho tài khoản.
  • Chỉ giữ lượng tiền cần thiết cho giao dịch trên sàn. Tài sản lớn nên chuyển sang ví HOLD (xem bước 3).

Tại sao cần làm điều này?
Sàn CEX cung cấp giao diện thân thiện và thanh khoản cao, phù hợp để giao dịch. Tuy nhiên, sàn cũng là mục tiêu của hacker. Ví dụ, Mt. Gox bị hack mất 850.000 BTC vào năm 2014, gây thiệt hại hàng tỷ USD. Việc bật đầy đủ lớp bảo mật giúp giảm thiểu rủi ro nếu tài khoản bị nhắm đến.

Tạo một ví sàn trên các sàn CEX và bật xác minh tất cả các lớp
Tạo một ví sàn trên các sàn CEX và bật xác minh tất cả các lớp

Bước 3: Sử dụng ví lạnh hoặc “ví nóng cách ly” để nắm giữ dài hạn

Lưu trữ tài sản dài hạn như BTC, ETH trong ví lạnh hoặc ví nóng cách ly giúp bảo vệ chúng khỏi các rủi ro hack, lừa đảo, tránh rủi ro sàn phá sản hoặc khóa tài khoản.

  • Ví nóng thông thường (như MetaMask) kết nối internet dễ bị tấn công qua phần mềm độc hại, trang web giả mạo, hoặc lỗ hổng dApp.
  • Các sàn CEX thì bạn lại không có quyền kiểm soát hoàn toàn tài sản Crypto của mình. Sàn hoàn toàn có thể phá sản sau một vụ hack hoặc khóa tài sản của bạn với bất kỳ lý do nào.

Ngược lại, ví lạnh giữ khóa riêng ngoại tuyến, gần như miễn nhiễm hacker. Với ví nóng cách ly, bạn cũng giảm rủi ro bằng cách ngắt kết nối thiết bị. Phương pháp này đảm bảo an toàn cho tài sản giá trị cao, trao bạn toàn quyền kiểm soát, và hạn chế rủi ro không đáng có.

Lựa chọn ví:

  • Sử dụng ví lạnh: Mua ví phần cứng như Ledger Nano X, Trezor Model T, hoặc SafePal S1 từ trang chính thức (giá 50-150 USD). Kết nối ví với máy tính/điện thoại, làm theo hướng dẫn để tạo ví mới, nhận seed phrase (12-24 từ), và chuyển tài sản vào. Sau đó, ngắt kết nối và cất ví ở nơi an toàn.
  • Sử dụng ví nóng cách ly: Tạo ví nóng (MetaMask, Trust Wallet) trên một thiết bị riêng (điện thoại/laptop cũ) không cài ứng dụng khác. Chuyển tài sản vào ví, ngắt Wi-Fi, tắt nguồn thiết bị, và chỉ bật khi cần rút/bán.
Giá bán của ví Ledger Nano X
Giá bán của ví Ledger Nano X

Lưu ý:

  • Lưu seed phrase: Ghi 12-24 từ của seed phrase trên giấy hoặc kim loại chống cháy, cất trong két sắt hoặc nơi bí mật. Không chụp ảnh, không lưu trên máy tính/đám mây.
  • Kiểm tra định kỳ: Mỗi 3-6 tháng, bật ví lạnh/ví cách ly để kiểm tra tài sản, đảm bảo không bị lỗi phần cứng.
  • Tránh Wi-Fi công cộng: Không kết nối ví khi dùng Wi-Fi không an toàn để tránh bị chặn dữ liệu.

4. Tổng kết

Thị trường Crypto mở ra vô vàn cơ hội, nhưng vẫn còn khá mới mẻ và ẩn chứa nhiều rủi ro, từ người dùng cá nhân đến các dự án lớn đều có thể trở thành con mồi của kẻ lừa đảo. Dù bạn là người mới bước chân vào thị trường hay đã dày dặn kinh nghiệm. Do đó, sự cẩn trọng trong từng quyết định là chìa khóa để bạn bảo vệ tài sản.

Qua bài viết này, 5 Phút Crypto hy vọng mang đến cho bạn góc nhìn rõ nét về các chiêu trò lừa đảo phổ biến, cùng những mẹo thực tiễn để bạn tự tin tham gia thị trường mà không lo rơi vào bẫy.