Tấn công đầu độc địa chỉ Ethereum nâng cấp: Sau một giao dịch, anh ấy nhận được 89 email cảnh báo

Tác giả: etherscan.eth

Biên dịch: AididiaoJP, Foresight News

Vài tuần trước, một người dùng Etherscan tên là Nima đã chia sẻ một trải nghiệm khó chịu. Sau khi chỉ thực hiện hai giao dịch stablecoin, anh ấy đã nhận được hơn 89 email thông báo giám sát địa chỉ trong thời gian ngắn.

Như Nima chỉ ra, những cảnh báo này được kích hoạt bởi các giao dịch đầu độc địa chỉ. Mục đích duy nhất của kẻ tấn công khi tạo ra các giao dịch này là cấy các địa chỉ giả có độ tương tự cao vào lịch sử giao dịch của người dùng, với ý định lừa người dùng sao chép và sử dụng nhầm các địa chỉ giả này trong lần chuyển tiền tiếp theo.

Tấn công đầu độc địa chỉ đã tồn tại trên Ethereum nhiều năm. Tuy nhiên, các sự kiện như thế này làm nổi bật việc các hoạt động tấn công loại này đã trở nên tự động hóa và quy mô hóa cao. Rác thải ngẫu nhiên trước đây giờ đây có thể được triển khai hàng loạt, với kẻ tấn công thường cấy xong giao dịch đầu độc chỉ vài phút sau khi giao dịch hợp pháp xảy ra.

Để hiểu tại sao các cuộc tấn công như vậy ngày càng phổ biến hiện nay, chúng ta cần phân tích từ hai góc độ: quá trình phát triển của phương thức tấn công đầu độc địa chỉ và nguyên nhân cốt lõi khiến nó có thể dễ dàng hoạt động trên quy mô lớn.

Ngoài ra, bài viết này sẽ tập trung trình bày một nguyên tắc phòng ngừa cốt lõi để giúp người dùng chống lại hiệu quả các cuộc tấn công loại này.

1. Sự phát triển công nghiệp hóa của tấn công đầu độc địa chỉ

Tấn công đầu độc địa chỉ từng được coi là một thủ đoạn lừa đảo thời cơ do những kẻ tấn công cơ hội sử dụng. Tuy nhiên, cho đến ngày nay, mô hình hoạt động của nó ngày càng thể hiện đặc điểm công nghiệp hóa.

Một nghiên cứu được công bố vào năm 2025, phân tích các hoạt động đầu độc địa chỉ từ tháng 7 năm 2022 đến tháng 6 năm 2024 (tức là trước bản nâng cấp Fusaka). Nghiên cứu cho thấy, đã có khoảng 17 triệu lần thử đầu độc trên Ethereum, liên quan đến khoảng 1,3 triệu người dùng, với thiệt hại đã xác nhận ít nhất là 79,3 triệu USD.

Bảng dưới đây, dựa trên kết quả từ "Nghiên cứu về Đầu độc Địa chỉ Blockchain", cho thấy quy mô hoạt động đầu độc địa chỉ trên Ethereum và BSC từ tháng 7 năm 2022 đến tháng 6 năm 2024. Dữ liệu chỉ ra rằng trên chuỗi BSC có phí giao dịch thấp hơn đáng kể, tần suất giao dịch đầu độc cao hơn 1355%.

Kẻ tấn công thường xác định mục tiêu tiềm năng bằng cách giám sát hoạt động blockchain. Một khi phát hiện giao dịch của người dùng mục tiêu, hệ thống tự động sẽ tạo ra các địa chỉ có ký tự đầu và cuối giống hệt với địa chỉ hợp pháp mà người dùng đã tương tác. Sau đó, kẻ tấn công gửi các giao dịch đầu độc chứa các địa chỉ giả này đến địa chỉ mục tiêu, làm cho chúng xuất hiện trong lịch sử giao dịch của người dùng.

Kẻ tấn công có xu hướng chọn những địa chỉ có tiềm năng sinh lời cao hơn làm mục tiêu. Các địa chỉ thường xuyên thực hiện chuyển tiền, nắm giữ số dư token lớn hoặc tham gia vào các giao dịch lớn thường nhận được nhiều lần thử đầu độc hơn.

Cơ chế cạnh tranh nâng cao hiệu quả tấn công

Nghiên cứu năm 2025 tiết lộ một hiện tượng đáng chú ý: thường có sự cạnh tranh lẫn nhau giữa các nhóm tấn công khác nhau. Trong nhiều hoạt động đầu độc, nhiều kẻ tấn công sẽ gửi giao dịch đầu độc đến cùng một địa chỉ mục tiêu gần như đồng thời.

Mỗi nhóm tấn công đều cố gắng là người đầu tiên cấy địa chỉ giả của họ vào lịch sử giao dịch của người dùng, với hy vọng rằng khi người dùng sao chép địa chỉ sau này, địa chỉ giả của họ sẽ được chọn đầu tiên. Kẻ nào cấy thành công đầu tiên thì xác suất địa chỉ của họ bị người dùng sao chép nhầm cũng tăng theo.

Ví dụ về địa chỉ dưới đây cho thấy đầy đủ mức độ khốc liệt của sự cạnh tranh này. Trong trường hợp này, chỉ vài phút sau khi một giao dịch USDT hợp pháp hoàn tất, đã có 13 giao dịch đầu độc được cấy vào.

Lưu ý: Etherscan mặc định ẩn các giao dịch chuyển khoản trị giá 0; đã bỏ ẩn cho mục đích minh họa

Các thủ đoạn phổ biến được sử dụng trong tấn công đầu độc địa chỉ bao gồm: giao dịch bụi (dust transfer), giao dịch token giả và giao dịch token trị giá 0.

2. Lý do khiến tấn công đầu độc địa chỉ dễ dàng hoạt động trên quy mô lớn

Thoạt nhìn, tỷ lệ thành công của tấn công đầu độc địa chỉ dường như không cao. Rốt cuộc, hầu hết người dùng không mắc bẫy. Tuy nhiên, từ góc độ kinh tế, logic của loại tấn công này hoàn toàn khác biệt.

Logic của trò chơi xác suất

Các nhà nghiên cứu phát hiện ra rằng trên Ethereum, tỷ lệ thành công của một lần thử đầu độc duy nhất là khoảng 0,01%. Nói cách khác, cứ khoảng 10.000 lần chuyển tiền đầu độc thì chỉ có khoảng 1 lần có thể khiến người dùng gửi nhầm tiền cho kẻ tấn công.

Với suy nghĩ này, các hoạt động tấn công đầu độc không còn giới hạn ở một số ít địa chỉ mà có xu hướng gửi hàng nghìn thậm chí hàng triệu lần thử đầu độc. Khi cơ sở thử nghiệm đủ lớn, ngay cả tỷ lệ thành công nhỏ cũng có thể tích lũy tạo ra lợi nhuận bất hợp pháp đáng kể.

Một lần lừa đảo chuyển tiền lớn thành công, lợi nhuận thu được có thể dễ dàng bù đắp chi phí cho hàng nghìn lần thử thất bại.

Chi phí giao dịch thấp hơn kích thích gia tăng các lần thử đầu độc

Bản nâng cấp Fusaka được kích hoạt vào ngày 3 tháng 12 năm 2025, đã giới thiệu các tối ưu hóa khả năng mở rộng, giảm hiệu quả chi phí giao dịch trên Ethereum. Sự thay đổi này, trong khi mang lại lợi ích cho người dùng và nhà phát triển thông thường, cũng làm giảm đáng kể chi phí cho kẻ tấn công để khởi động một lần chuyển tiền đầu độc duy nhất, cho phép họ gửi các lần thử đầu độc trên quy mô chưa từng có.

Sau bản nâng cấp Fusaka, hoạt động mạng Ethereum tăng cường đáng kể. Trong 90 ngày sau nâng cấp, khối lượng giao dịch xử lý hàng ngày tăng 30% so với 90 ngày trước nâng cấp. Cùng kỳ, số lượng địa chỉ mới được tạo hàng ngày tăng trung bình khoảng 78%.

Ngoài ra, chúng tôi quan sát thấy hoạt động giao dịch bụi tăng lên đáng kể. Trong các giao dịch này, kẻ tấn công gửi các giao dịch cùng loại token với lịch sử giao dịch của người dùng nhưng với số lượng cực nhỏ.

Dữ liệu dưới đây so sánh hoạt động giao dịch bụi đối với một số tài sản chính trong 90 ngày trước và sau bản nâng cấp Fusaka. Đối với các stablecoin như USDT, USDC và DAI, giao dịch bụi đề cập đến các giao dịch dưới 0,01 USD; đối với ETH, đó là các giao dịch dưới 0,00001 ETH.

USDT

• Trước nâng cấp: 4,2 triệu lần
• Sau nâng cấp: 29,9 triệu lần
• Mức tăng: +25,7 triệu lần (+612%)

USDC

• Trước nâng cấp: 2,6 triệu lần
• Sau nâng cấp: 14,9 triệu lần
• Mức tăng: +12,3 triệu lần (+473%)

DAI

• Trước nâng cấp: 142.405 lần
• Sau nâng cấp: 811.029 lần
• Mức tăng: +668.624 lần (+470%)

ETH

• Trước nâng cấp: 1,045 tỷ lần
• Sau nâng cấp: 1,697 tỷ lần
• Mức tăng: +65,2 triệu lần (+62%)

Dữ liệu cho thấy ngay sau bản nâng cấp Fusaka, hoạt động giao dịch bụi (dưới 0,01 USD) đã tăng mạnh, đạt đỉnh điểm và sau đó giảm xuống, nhưng vẫn cao hơn đáng kể so với mức trước nâng cấp. Ngược lại, hoạt động giao dịch trên 0,01 USD trong cùng kỳ vẫn tương đối ổn định.

Biểu đồ: So sánh xu hướng giao dịch bụi (<0.01 USD) của USDT, USDC và DAI trong 90 ngày trước và sau nâng cấp Fusaka

Biểu đồ: So sánh xu hướng giao dịch thông thường (>0.01 USD) của USDT, USDC và DAI trong 90 ngày trước và sau nâng cấp Fusaka

Trong nhiều hoạt động tấn công, kẻ tấn công đầu tiên phân phối hàng loạt token và ETH đến các địa chỉ giả mạo mới được tạo, sau đó các địa chỉ giả mạo này lần lượt gửi các giao dịch bụi đến các địa chỉ mục tiêu. Vì giao dịch bụi liên quan đến số tiền cực thấp, cùng với chi phí giao dịch giảm, kẻ tấn công có thể hoạt động trên quy mô lớn với chi phí cực thấp.

Minh họa: Địa chỉ Fake_Phishing1688433 gửi hàng loạt token và ETH đến nhiều địa chỉ giả mạo khác nhau trong một giao dịch

Cần làm rõ, không phải tất cả giao dịch bụi đều là hành vi đầu độc. Giao dịch bụi cũng có thể bắt nguồn từ các hoạt động hợp pháp, chẳng hạn như trao đổi token hoặc tương tác nhỏ giữa các địa chỉ. Tuy nhiên, sau khi xem xét một lượng lớn hồ sơ giao dịch bụi, có thể đánh giá rằng một phần đáng kể trong số đó rất có thể là các lần thử đầu độc.

3. Nguyên tắc phòng ngừa cốt lõi

Trước khi gửi bất kỳ khoản tiền nào, vui lòng kiểm tra kỹ địa chỉ đích.

Dưới đây là một số đề xuất thiết thực để giảm thiểu rủi ro khi sử dụng Etherscan:

Sử dụng định danh địa chỉ có thể nhận dạng

Đối với các địa chỉ bạn thường xuyên tương tác, hãy đặt nhãn tên riêng tư trên Etherscan. Hành động này giúp làm cho địa chỉ hợp pháp dễ dàng phân biệt giữa nhiều địa chỉ tương tự.

Sử dụng dịch vụ tên miền như ENS cũng có thể cải thiện khả năng nhận dạng của địa chỉ trong toàn bộ trình duyệt.

Đồng thời, nên sử dụng tính năng sổ địa chỉ của ví, thêm các địa chỉ thường dùng vào danh sách trắng để đảm bảo tiền luôn được gửi đến đúng đích dự kiến.

Kích hoạt tính năng làm nổi bật địa chỉ

Tính năng làm nổi bật địa chỉ của Etherscan có thể giúp người dùng phân biệt trực quan các địa chỉ trông giống nhau. Nếu hai địa chỉ trông gần giống nhau nhưng cách thức làm nổi bật không nhất quán, thì rất có thể một trong số đó là địa chỉ đầu độc.

Nhất định xác nhận kép trước khi sao chép địa chỉ

Etherscan sẽ chủ động hiển thị cửa sổ nhắc nhở khi người dùng sao chép các địa chỉ có thể liên quan đến hoạt động đáng ngờ. Các hoạt động đáng ngờ này bao gồm:

• Chuyển token giá trị thấp
• Chuyển token giả mạo
• Token có danh tiếng kém
• Token chưa cập nhật thông tin

Khi bạn thấy những lời nhắc như vậy, hãy nhất định tạm dừng thao tác và kiểm tra kỹ xem địa chỉ bạn đã sao chép có phải là địa chỉ đích mà bạn thực sự muốn tương tác hay không.

Hãy nhớ rằng, thế giới crypto không có nút "hoàn tác". Một khi tiền đã được gửi đến sai địa chỉ, khả năng thu hồi là rất thấp.

Tổng kết

Khi chi phí giao dịch giảm khiến các chiến lược tấn công quy mô lớn trở nên khả thi hơn về mặt kinh tế, các cuộc tấn công đầu độc địa chỉ trên Ethereum ngày càng có xu hướng hoành hành. Các cuộc tấn công loại này cũng ảnh hưởng tiêu cực đến trải nghiệm người dùng, với một lượng lớn thông tin rác đầu độc tràn ngập trong các giao diện lịch sử giao dịch hướng đến người dùng.

Việc chống lại hiệu quả các cuộc tấn công đầu độc địa chỉ vừa đòi hỏi người dùng nâng cao nhận thức an ninh của chính mình, vừa không thể thiếu sự hỗ trợ của thiết kế giao diện tối ưu hơn. Đối với người dùng, thói quen cốt lõi nhất cần hình thành là: trước khi gửi tiền, nhất định phải kiểm tra kỹ địa chỉ đích.

Đồng thời, các công cụ và giao diện người dùng liên quan cũng nên đóng vai trò quan trọng hơn trong việc giúp người dùng nhanh chóng xác định các hoạt động đáng ngờ.

Nhãn địa chỉ đầu độc trên Etherscan (https://etherscan.io/accounts/label/poisoning-address)

Etherscan tiếp tục nỗ lực cải thiện giao diện trình duyệt và dịch vụ API để hỗ trợ người dùng dễ dàng nhận dạng các cuộc tấn công loại này. Chúng tôi chủ động gắn nhãn các địa chỉ giả mạo, xác định và ẩn các giao dịch token trị giá 0, gắn nhãn token giả. Bằng cách cung cấp những dữ liệu đã được sắp xếp này, người dùng không cần phải lọc thủ công một lượng lớn hồ sơ giao dịch để dễ dàng phát hiện các lần thử đầu độc địa chỉ tiềm năng.

Khi các cuộc tấn công đầu độc được nâng cấp nhờ các phương tiện tự động hóa và giao dịch bụi quy mô lớn, việc trình bày rõ ràng các tín hiệu rủi ro này là rất quan trọng để giúp người dùng phân biệt hoạt động đáng ngờ với giao dịch hợp pháp.