Trong thế giới tiền điện tử đầy biến động, nơi mà lợi nhuận và rủi ro luôn song hành, những câu chuyện về các vụ lừa đảo hay tấn công mạng không phải là hiếm. Tuy nhiên, câu chuyện về một nhà giao dịch và người có ảnh hưởng (KOL) dày dạn kinh nghiệm bị rút sạch gần 1 triệu USD chỉ sau vài cuộc gọi tưởng chừng như vô hại đã gióng lên một hồi chuông cảnh tỉnh cho toàn bộ cộng đồng.
Đây không chỉ là một câu chuyện về mất mát tài chính, mà còn là một bài học đắt giá về sự tinh vi của tội phạm mạng và những lỗ hổng an ninh mà ngay cả người trong cuộc cũng có thể bỏ qua.
Nạn nhân, một nhân vật có tiếng trong không gian crypto, đã chia sẻ lại toàn bộ quá trình mình bị lừa đảo như một lời cảnh báo, "bởi vì nếu nó có thể xảy ra với tôi, với tất cả kinh nghiệm trong lĩnh vực này, nó có thể xảy ra với bất kỳ ai."
Đọc thêm: 12 triệu USD bị đánh cắp trong tháng 8 vì các vụ lừa đảo giả danh
Màn kịch hoàn hảo bắt đầu từ một lời mời hợp tác
Mọi chuyện bắt đầu vào ngày 2 tháng 9 năm 2025, khi một tài khoản X (Twitter) có tên SparkTokenSOL liên hệ với nạn nhân để đề nghị một cơ hội hợp tác.
Hình ảnh về tài khoản X mang tên SparkTokenSOL trước khi xảy ra vụ việc lừa đảo.
Thoạt nhìn, tài khoản này có vẻ hoàn toàn hợp pháp. Nó có sự tương tác từ nhà sáng lập dự án, có nhiều bạn chung (mutuals) uy tín và thậm chí được theo dõi bởi những người bạn của nạn nhân là các "cá voi" (whale) của token $SPARK. Mọi thứ đều "trông có vẻ sạch sẽ", khiến nạn nhân không một chút nghi ngờ và xem đây là cơ hội để kết nối với các nhà sáng lập khác trong thế giới Web3.
Sau vài dòng trao đổi, phía lừa đảo đề nghị một cuộc gọi để thảo luận chi tiết hơn và gửi một liên kết Calendly để đặt lịch. Nạn nhân đã không ngần ngại lên lịch cho một cuộc họp vào lúc 3 giờ chiều.
Khi thấy phía lừa đảo gửi liên kết tạo cuộc họp thì nạn nhân không nghi ngờ gì và đã tạo cuộc hẹn vào lúc 3 giờ chiều.
Xây dựng lòng tin bằng sự chuyên nghiệp giả tạo
Cuộc gọi đầu tiên diễn ra vô cùng suôn sẻ. Nạn nhân đã nói chuyện với một người đàn ông tự giới thiệu là "Dan", nói giọng Mỹ chuẩn, sử dụng từ ngữ chuyên nghiệp và có phong thái tự tin. "Dan" đã trình bày một cách bài bản về "lý lịch của anh ta với Spark", các dự án đang xây dựng và kế hoạch cho tương lai.
Cuộc trao đổi diễn ra như một buổi gặp gỡ công việc bình thường. Nạn nhân cũng chia sẻ về kinh nghiệm của mình trong lĩnh vực crypto. Điều quan trọng là trong suốt cuộc gọi, anh khẳng định: "Tôi không chấp nhận bất kỳ một yêu cầu cấp quyền (permission) nào."
Sau cuộc gọi khoảng 30 phút, mọi thứ vẫn bình thường. Nạn nhân cẩn thận kiểm tra các ví tiền điện tử của mình trên máy tính và toàn bộ tài sản vẫn còn nguyên vẹn. Kẻ lừa đảo thậm chí còn nhắn tin cảm ơn và hẹn sẽ kết nối anh với một "đồng sáng lập khác".
Hai ngày sau, một cuộc gọi thứ hai được diễn ra. Lần này, ngoài "Dan" còn có "đồng sáng lập Cory" và một cô gái tên "Emily" đóng vai trò ghi chép. Buổi họp tiếp tục diễn ra với không khí chuyên nghiệp, thảo luận về các kế hoạch và tầm nhìn. Đến lúc này, mọi nghi ngờ còn sót lại trong đầu nạn nhân đã hoàn toàn tan biến. Tiền của anh vẫn an toàn.
Những cuộc gọi liên tục được diễn ra với không một chút nghi ngờ gì từ phía nạn nhân.
Cú sốc kinh hoàng - Gần 1 triệu USD "bốc hơi" trong vài phút
Khoảng hai ngày sau cuộc gọi thứ hai, bi kịch đã ập đến. Khi đang ngồi cùng bạn bè lên kế hoạch cho chuyến du lịch sinh nhật sắp tới, nạn nhân bất ngờ nhận được thông báo trên điện thoại: một vài trăm USDC đã được chuyển ra khỏi một trong các ví của anh.
Linh tính có chuyện chẳng lành, anh vội vàng kiểm tra máy tính và chết lặng khi phát hiện ra tất cả các ví của mình đã bị rút sạch đến từng xu cuối cùng.
"Tôi sẽ không bao giờ quên cảm giác này trong suốt phần đời còn lại. Cảm giác như tim mình bị ai đó xé toạc ra khỏi lồng ngực," anh đau đớn chia sẻ.
Sau hơn một giờ đồng hồ kiểm tra trên Solscan và Zapper, anh phát hiện ra gần 150 ví Phantom và Metamask khác nhau đã bị rút cạn, với số tiền từ lớn nhất là 100.000 USD cho đến nhỏ nhất là 12 USD. Tổng thiệt hại lên tới 996.000 USD.
Hàng loạt các lệnh chuyển tiền đi từ phía lừa đảo, con số lên đến gần 1 triệu USD.
Bài học đắt giá và những lời cảnh báo sâu sắc
Chỉ sau khi thảm kịch xảy ra, nạn nhân mới bắt đầu đào sâu nghiên cứu và phát hiện ra sự thật. Trang "Spark" trông có vẻ uy tín thực chất có lượng người theo dõi giả (botted followers) và lịch sử tên người dùng cho thấy nó từng là @humansrealm, một dự án lừa đảo theo kiểu "rug pull" trước đây.
@FBI pic.twitter.com/OCqk4UoOss
— Liquicrux♦️ (@xeogy92298766) August 9, 2025
Một dự án rug pull trước đó của tài khoản @humansrealm trước khi được đổi tên thành @SparkTokenSOL.
Nạn nhân cũng chia sẻ những bài học xương máu mà anh đã phải trả một cái giá quá đắt để có được:
Đừng bao giờ chỉ nhìn bề nổi
Bất kể bạn có bao nhiêu bạn chung hay người quen cùng theo dõi một dự án, hãy luôn tự mình nghiên cứu thật kỹ (Do Your Own Research - DYOR).
Cảnh giác tuyệt đối với các cuộc gọi từ bên thứ ba
Không bao giờ tham gia các cuộc gọi qua Microsoft Teams, Zoom, Google Meets từ những người lạ hoặc các dự án chưa được kiểm chứng kỹ lưỡng.
Luôn là người chủ trì (host) cuộc họp
Nếu bạn phải tham gia một cuộc họp, hãy là người tạo ra nó. Nếu đối phương từ chối tham gia nếu họ không phải là người chủ trì, đó là một "cờ đỏ" (red flag) báo hiệu sự nguy hiểm.
Hiểm họa từ các tiện ích mở rộng (extension)
Nạn nhân cho rằng vụ hack có thể đã xảy ra mà không cần anh phải nhấp vào bất kỳ liên kết độc hại nào. Rất có thể một mã độc đã được kích hoạt thông qua một tiện ích mở rộng của trình duyệt ngay khi anh tham gia cuộc gọi.
Quản lý tài sản thông minh
Nạn nhân thừa nhận sai lầm khi để một số tiền lớn như vậy (gần 1 triệu USD) trong các ví nóng (hot wallet) trên máy tính. May mắn là phần lớn tài sản của anh vẫn an toàn trong ví lạnh (cold wallet) và tiền pháp định (fiat). Từ giờ trở đi, anh quyết định sẽ chỉ giữ số tiền cần thiết cho giao dịch trên các ví trực tuyến.
Những đúc kết cho một tương lai không còn sai lầm và sự chủ quan
Câu chuyện này không chỉ là lời cảnh báo về một vụ hack tài sản, mà là minh chứng cho thấy chiến trường an ninh trong crypto đã dịch chuyển. Kẻ tấn công không còn chỉ tìm cách bẻ khóa những dòng code; chúng đang tìm cách "hack" vào thứ phức tạp và dễ tổn thương nhất: lòng tin của con người. Vụ lừa đảo trị giá 1 triệu USD này đã không khai thác lỗ hổng của blockchain, mà là lỗ hổng trong tâm lý và sự chủ quan.
Trong thế giới Web3, nơi chúng ta đề cao sự phi tín nhiệm (trustless), bài học lớn nhất có lẽ là phải học cách hoài nghi ngay cả những tương tác tưởng chừng chuyên nghiệp nhất. Bởi lẽ, lớp bảo mật quan trọng nhất không nằm trên ví lạnh, mà nằm trong chính tư duy phản biện của mỗi chúng ta.
Hãy cảnh giác, tự chủ động trong mọi cuộc gặp gỡ online và offline vì một tương lai không còn nạn lừa đảo diễn ra.
