10 chiêu lừa đảo DeFi phổ biến và cách phòng tránh chúng
Giống như các lĩnh vực tiền điện tử khác, DeFi cũng dễ bị lừa đảo và đã chứng kiến sự gia tăng đáng kể của các vụ lừa đảo trong năm ngoái. Một báo cáo của Elliptic, một công ty phân tích blockchain, đã báo cáo rằng hơn 10 tỷ USD đã bị mất trong các vụ lừa đảo DeFi từ tháng 1 đến tháng 11/2021.
Lý do chính là việc lập chính sách DeFi đặt ra một thách thức lớn hơn do sự phân quyền hoàn toàn. Không có cơ quan quản lý nào để thực thi và ngăn chặn lừa đảo vì người dùng đang kiểm soát tài sản của họ. Bên cạnh đó, sự phát triển nhanh chóng trong lĩnh vực DeFi đã thu hút sự chú ý của nhiều người, bao gồm cả những hacker.
Ví dụ, các khoản vay nhanh - một loại hình vay tức thì không cần thế chấp - đã trở thành một lĩnh vực lừa đảo chính. Hacker sử dụng hợp đồng thông minh để lừa người cho vay rằng khoản vay đã được hoàn trả.
Tuy nhiên, điều này không làm lu mờ nhiều lợi ích của DeFi; người dùng chỉ cần phải cẩn thận hơn để tránh rơi vào lừa đảo.
Các loại lừa đảo DeFi
Lừa đảo DeFi có thể được chia thành hai nhóm:
-
Lừa đảo Cơ hội Đầu tư hoặc Kinh doanh liên quan đến việc chuyển tài sản của người dùng trực tiếp vào ví tiền điện tử của kẻ lừa đảo. Điều đó có thể là do mạo danh hoặc các khoản đầu tư gian lận như Rug pull.
-
Lừa đảo liên quan đến các tác nhân độc hại giành quyền truy cập vào ví của người dùng hoặc thông tin bảo mật như khóa riêng của họ. Sau đó sẽ chuyển tài sản sang ví lừa đảo của chúng và chiếm đoạt tài sản người dùng.
Các trò lừa đảo DeFi phổ biến và cách phát hiện chúng
Rug Pulls
Các kế hoạch Rug Pulls hiện là một trong những trò lừa đảo DeFi phổ biến nhất. Trong những vụ lừa đảo phức tạp này, các nhà phát triển quảng bá các dự án tiền điện tử có ý tưởng thú vị, mang tính cách mạng với nhiều tiềm năng. Họ thu hút được rất nhiều người theo dõi và quảng cáo trên các nền tảng truyền thông xã hội và cộng đồng tiền điện tử.
Khi họ kêu gọi đủ tiền, hàng trăm nghìn, đôi khi hàng triệu đô la, họ chỉ cần bán mã thông báo và biến mất cùng với số tiền đó.
Đôi khi, những nhà phát triển này lập trình một cửa sau vào các hợp đồng thông minh của dự án để cho phép họ thoát ra. Và khiến nhà đầu tư không bán được. Các nhà đầu tư đột nhiên bị bỏ lại với các mã thông báo vô giá trị và dự án ngừng tồn tại, do đó có tên là "Rug pull".
Rug Pulls nổi lên vào năm 2021 sau vụ lừa đảo SQUID. Vào tháng 11, meme coin SQUID được tạo ra và được đặt tên theo phim trên NetFlix nổi tiếng của Hàn Quốc, Squid Game. SQUID bắt đầu được bán với giá 1 USD, sau đó nó tăng vọt lên trên 90 USD trước khi các nhà phát triển đánh sập nó.
Một cách khác mà các nhà phát triển thực hiện Rug Pull là thông qua các nhóm thanh khoản. Các nhà phát triển tạo một mã thông báo mới trên DEX (Sàn giao dịch phi tập trung) và ghép nối nó với một trong những loại tiền điện tử lớn như Bitcoin hoặc Ethereum.
Các nhà phát triển yêu cầu các nhà đầu tư gửi hai mã thông báo vào nhóm thanh khoản (tức là mã thông báo mới và BTC). Ngoài ra, để có được mã thông báo mới, các nhà đầu tư phải hoán đổi BTC của họ lấy mã thông báo đó.
Sau đó, những kẻ lừa đảo sẽ rút cạn lượng thanh khoản của đồng tiền lớn (trong trường hợp này là BTC), đẩy giá của đồng tiền về 0 và để lại cho các nhà đầu tư những đồng tiền vô giá trị.
Làm thế nào để phát hiện rug pulls?
Lừa đảo rug pulls là một trong những trò lừa đảo dễ phát hiện nhất nếu bạn chú ý. Dưới đây là một số dấu hiệu quan trọng:
-
Độ tin cậy của team thấp hoặc không có: Trong hầu hết các trường hợp, bạn không thể tìm thấy bất cứ điều gì về nhóm sáng lập hoặc có dấu hiệu mờ ám, hay đã có tiền lệ lừa đảo.
-
Whitepaper mơ hồ: Cảnh báo đáng lưu ý là whitepaper không xác định chính xác ý tưởng dự án, hay không có mục tiêu cụ thể.
-
Lộ trình không thực tế: Cũng giống như các khoản đầu tư lừa đảo, nếu dự án mang lại lợi nhuận quá tốt để trở thành sự thật, thì nguy cơ lừa đảo là rất cao.
-
Marketing quá mức: Mặc dù không phải tất cả các dự án DeFi được marketing rầm rộ đều là lừa đảo, nhưng bạn nên thận trọng nếu nhận thấy một chiến lược marketing quá mức. Đó là bởi vì các nhà phát triển và nhà sáng lập kém uy tín có xu hướng trả tiền quá cao cho việc quảng cáo. Thực hiện nghiên cứu của bạn trước khi làm theo những lời quảng cáo thổi phồng.
-
Ít người nắm giữ mã thông báo hoặc chỉ niêm yết trên một DEX: Trước khi đầu tư, hãy đảm bảo bạn xác minh số lượng người sở hữu mã thông báo bằng công cụ khám phá khối như Etherscan. Một tìm kiếm đơn giản, nhanh chóng trên Coingecko hoặc Coin Market Cap sẽ tiết lộ thêm thông tin về đồng tiền hoặc dự án. Kiểm tra xem mã thông báo có được niêm yết trên các sàn giao dịch phổ biến hay không và số lượng người sở hữu mã thông báo. Đó có thể là một dấu hiệu quan trọng xem dự án có thực sự hoạt động hay không.
-
Kiểm tra phương tiện truyền thông xã hội: Tra cứu dự án trên Reddit, Twitter và Telegram. Những người dùng hoặc nhà phát triển khác nói gì về dự án? Bạn có thể nhanh chóng phát hiện ra các cảnh báo khác.
HYIP là gì? Rủi ro tiềm ẩn từ ván bài đầu tư siêu lợi nhuận
Pump and Dump
Pump and Dump là một thủ đoạn lừa đảo cũ trên thị trường chứng khoán được sử dụng để nhanh chóng nâng giá các tài sản vô giá trị, thường là một cổ phiếu penny. Các nhà môi giới bán bớt tài sản của họ khi giá tăng, bán phá giá tài sản và kiếm lời.
Trong các trò gian lận tiền điện tử Pump và Dump, giá của một tài sản vô giá trị (đôi khi là đồng meme) được tăng cao thông qua hoạt động marketing.
Những người sáng lập/kẻ lừa đảo có thể sử dụng các chiến lược quảng cáo khác nhau, bao gồm các bài đăng trên mạng xã hội, đồng coin có ký hiệu tương tự, người có ảnh hưởng và tuyên bố sai dễ gây hiểu lầm. Sự bơm thổi giá đột ngột tạo làn sóng FOMO trong các nhà đầu tư (Sợ bỏ lỡ).
"Khi giá tăng, những người thổi giá sẽ bán ra trong lúc các nhà đầu tư khác đang FOMO mua vào, kéo theo đó là sự sụt giá khiến những người mua mới thua lỗ ngay tức thì, gây ra những tổn thất không thể thu hồi được."
CTFC (Ủy ban Giao dịch Hàng hóa Tương lai) đã phát hành Cảnh báo bảo vệ nhà đầu tư khỏi kế hoạch Pump and Dump đầu tiên vào năm 2018.
Theo Tuyên bố:
"Khách hàng nên biết rằng những trò gian lận này đã phát triển và phổ biến trên mạng. Ngay cả những nhà đầu tư có kinh nghiệm cũng có thể trở thành mục tiêu của những kẻ lừa đảo chuyên nghiệp, những người chuyên triển khai những thông tin có vẻ đáng tin cậy trong nỗ lực lừa gạt."
Cách xác định kế hoạch Pump and Dump
Bài viết của VIC Nhận diện một kế hoạch Pump-and-dump (bơm và xả) tiền điện tử đã nếu rất cụ thể cách nhận diện kế hoạch Pump and Dump các bạn hãy theo dõi nhé.
Phishing
Phishing tiền điện tử là một biến thể của trò lừa đảo trực tuyến cũ - trong đó những kẻ xấu giả mạo là các công ty hoặc trang web hợp pháp để thu thập thông tin cá nhân từ nạn nhân của chúng.
Những kẻ lừa đảo trong thế giới tiền điện tử quan tâm đến việc lấy khóa riêng của ví người dùng. Sau đó, những kẻ lừa đảo sử dụng các khóa để truy cập tiền trong ví và gửi tài sản ra ngoài.
Dưới đây là những cách phổ biến mà kẻ lừa đảo thực hiện:
-
Email lừa đảo
Lừa đảo DeFi có thể được thực hiện thông qua email, người gửi giả vờ là nền tảng giao dịch hoặc giao thức DeFi.
Email thông báo cho người dùng rằng tài khoản của họ bị xâm phạm và để giải quyết vấn đề này, họ cần địa chỉ ví và mật khẩu của mình. Trong một số trường hợp, những kẻ lừa đảo yêu cầu người dùng gửi tiền để bảo mật ví.
Email lừa đảo có thể liên kết đến một trang web giả mạo yêu cầu người dùng nhập chi tiết ví của họ. Nhập chi tiết ví của bạn trên một trang web như vậy sẽ dẫn đến việc kẻ lừa đảo lấy thông tin cá nhân của bạn và đột nhập ví.
-
Trang web Lừa đảo
Một cách khác những kẻ lừa đảo có thể thu thập thông tin cá nhân của bạn là thông qua các ví tiền điện tử phi tập trung như Metamask.
Bạn ẩn danh khi sử dụng Metamask để tương tác với Web 3.0 hoặc ứng dụng phi tập trung. Tuy nhiên, trang web sẽ hiển thị rằng bạn có ví tiền điện tử; điều này là đủ để những kẻ lừa đảo bắt đầu các cuộc tấn công.
Thực chất, việc giả mạo website trong tấn công Phishing chỉ là làm giả một Landing page chứ không phải toàn bộ website. Trang được làm giả thường là trang đăng nhập để cướp thông tin của nạn nhân. Kỹ thuật làm giả website có một số đặc điểm sau:
- Thiết kế giống tới 99% so với website gốc
- Đường link (url) chỉ khác 1 ký tự duy nhất. VD: reddit.com (thật) vs redit.com (giả); google.com vs gugle.com; microsoft.com vs mircosoft.com hoặc verify-microsoft.com.
- Luôn có những thông điệp khuyến khích người dùng nhập thông tin cá nhân vào website (call-to-action).
-
Quảng cáo Google giả mạo
Những kẻ lừa đảo cũng có thể đưa ra một quảng cáo google giả mạo để chiếm vị trí đầu tiên khi người dùng tìm kiếm một dự án cụ thể. Người dùng nhấp vào quảng cáo đó sẽ được dẫn đến trang web sai của những kẻ lừa đảo.
Cách phòng tránh Phishing
-
Đừng nhấp vào các liên kết đáng ngờ
Các cuộc tấn công lừa đảo tập trung vào việc nạn nhân nhập thông tin chi tiết của họ trên các trang web giả mạo. Đảm bảo rằng bạn luôn kiểm tra địa chỉ liên hệ email của mình. Hầu hết các lần, địa chỉ liên hệ email lừa đảo đều chứa đầy các ký tự lỗi.
Không liên kết hoặc đi theo bất kỳ đường dẫn nào từ các địa chỉ email đáng ngờ. Bên cạnh đó, các nền tảng hoặc giao thức sẽ không yêu cầu khóa cá nhân của bạn qua email.
-
Hãy cẩn thận khi truy cập
Luôn kiểm tra kỹ để đảm bảo rằng bạn đang truy cập đúng trang web. Các trang web giả mạo thường sử dụng một biến thể của địa chỉ trang web gốc, chẳng hạn như thay đổi miền hoặc thêm/xóa một chữ cái.
Ví dụ: thay vì Metamask.io, địa chỉ sao chép có thể là Metamask.com hoặc Metamaskk.io.
Để tránh trở thành nạn nhân, hãy luôn kiểm tra lại URL của trang web. Ngoài ra, hãy đảm bảo rằng URL có chứng chỉ bảo mật (HTTPS // không phải HTTP). Bạn có thể quyết định điều hướng trang web theo cách thủ công thay vì theo liên kết từ nguồn khác.
Wallet Dusting
Wallet Dusting là một chiến lược lừa đảo tinh vi nhắm vào các ví nóng. Nó đặc biệt phổ biến giữa các ví phi tập trung như Metamask hoặc Trust Wallet. Trong một trò lừa đảo Dusting, kẻ lừa đảo sẽ gửi một lượng nhỏ đồng coin ít người biết đến vào ví của bạn.
Các trò gian lận thường liên quan đến hàng chục nghìn ví. Mục tiêu của trò lừa đảo này là các ví có số lượng coin lớn. Các đồng tiền mà họ gửi đến ví hoạt động như một bộ theo dõi.
Ngay khi bạn bán hoặc giao dịch những đồng tiền đó, những kẻ lừa đảo có thể bắt đầu truy tìm các giao dịch trên blockchain đến ví của bạn, nơi bạn giữ các đồng tiền khác. Nếu họ có thể xác định thành công ví, họ có thể bắt đầu các cuộc tấn công có chủ đích để hack ví.
Làm thế nào để tránh Dusting
Tuyệt đối không giao dịch hay swap bất kỳ mã thông báo không rõ nguồn gốc nào.
The Honey Pot
Các trò gian lận Honey pot khá giống với các trò lừa đảo Pump and Dump ngoại trừ việc trong trò lừa này chỉ có các nhà phát triển mới có thể bán số tiền nắm giữ của họ.
Những người sáng lập thu hút các nhà đầu tư đầu tư vào các dự án của họ với những dự đoán và quảng cáo về giá cao. Khi nhiều người đầu tư hơn, giá của tài sản tăng lên (To the moon).
Vấn đề bắt đầu khi các nhà đầu tư chốt lời, bạn nhận được thông báo lỗi như "giao dịch không thể thành công do lỗi không xác định; điều này có thể là do sự cố với một trong các mã thông báo bạn đang hoán đổi."
Kẻ lừa đảo đã chèn một dòng mã vào hợp đồng thông minh khiến các nhà đầu tư không thể bán cổ phần của họ.
Làm thế nào để phát hiện ra The Honey Pot
Dấu hiệu nhận biết tương tự với chiêu thức Pump and Dump, hãy đảm bảo bạn thực hiện thẩm định trước khi đầu tư vào bất kỳ dự án DeFi nào.
Cloud Mining scams
Với trò lừa này, các nền tảng lừa đảo thuyết phục các nhà đầu tư và người mua nhỏ lẻ bỏ vốn trước để đảm bảo nguồn khai thác.
Các công ty khai thác trên nền tảng đám mây cho phép bạn thuê phần cứng khai thác mà họ sẽ vận hành với một khoản trả trước cố định. Đổi lại, các nhà đầu tư nhận được một phần doanh thu. Bằng cách đó, các nhà đầu tư có thể khai thác từ xa mà không cần mua phần cứng đắt tiền.
Mấu chốt của các công ty lừa đảo khai thác trên đám mây là các nền tảng này không mang lại bất kỳ hash rate nào như họ đã hứa hẹn. Do đó, các nhà đầu tư sẽ mất vốn và không nhận được bất kỳ khoản lợi tức nào từ khoản thanh toán trước.
Lừa đảo NFTs
Lừa đảo NFT có thể xảy ra theo một số cách, bao gồm rug pull, phishing, wallet dusting, NFTs giả, và lừa đảo giá thầu. Dưới đây là các trò gian lận NFTs phổ biến:
-
NFT rug pull : Người tạo ngừng ủng hộ NFT và lấy tiền của nhà đầu tư sau khi giá tăng. Kết quả là, NFT giảm và giá sàn xuống gần như bằng không.
-
Tấn công Phishing : Tin tặc cố gắng lấy các khóa riêng của bạn để xâm nhập vào bộ sưu tập NFT. Mục tiêu phổ biến là ví tiền; tin tặc gửi một NFT Airdrop giả mạo vào ví của bạn. Giao dịch NFT này có thể cấp cho họ quyền truy cập để xâm nhập vào ví của bạn.
-
NFT giả : Trong trường hợp này, những kẻ lừa đảo đánh cắp tác phẩm của một nghệ sĩ/người sáng tạo và tạo một NFT giả trên sàn NFT khác. Nếu không cẩn thận, người mua không nghi ngờ sẽ mua phải NFT giả. Bạn phải luôn đảm bảo rằng bạn đang mua từ nghệ sĩ gốc để tránh điều này.
-
Pump and Dump : Điều này xảy ra khi một nhóm người cố tình đẩy giá NFT lên. Một khi giá thầu tăng lên, những kẻ lừa đảo sẽ bán tháo các NFT đó, khiến các nhà đầu tư mất tiền.
-
Lừa đảo giá thầu : Lừa đảo đấu thầu xảy ra khi những người đấu thầu chuyển đổi đơn vị tiền tệ ưa thích của bạn sang một đơn vị tiền tệ có giá trị thấp hơn và lợi dụng sự chủ quan của người mua.
Lừa đảo Airdrop
Airdrop là một trong những cách giao thức DeFi có thể phân phối mã thông báo miễn phí cho các thành viên cộng đồng của họ. Một số giao thức sử dụng Airdrop để nâng cao nhận thức cho dự án mới.
Người dùng được yêu cầu thực hiện các tác vụ đơn giản như tweet về dự án hoặc tham gia cộng đồng. Sau đó, họ được thưởng bằng Airdrop.
Tuy nhiên, không phải tất cả Airdrop cho ví tiền điện tử của bạn đều là chính thống. Trong một số trường hợp, đó là một cách để tin tặc truy cập vào ví của bạn.
Những kẻ lừa đảo lừa mọi người nghĩ rằng họ đã nhận được Airdrop trị giá hàng nghìn đô la. Airdrop chỉ có thể được đổi bằng cách kết nối ví của bạn với trang web đó.
Nếu bạn kết nối ví của mình với trang web đó, bạn đã cấp cho hợp đồng thông minh độc hại quyền truy cập vào ví. Những kẻ lừa đảo có thể xâm nhập vào ví và rút tài sản của bạn.
Làm thế nào để ngăn chặn lừa đảo Airdrop
Các trò gian lận trong airdrop hoàn toàn phụ thuộc vào việc bạn kết nối ví của mình với các hợp đồng thông minh độc hại. Không đổi bất kỳ Airdrop nào nếu bạn không chắc chắn về nguồn của nó.
Lừa đảo ICO
ICO là hình thức gây quỹ gọi vốn từ các nhà đầu tư nhỏ lẻ không chịu bất kỳ kiểm soát nào. Ý tưởng cơ bản là những người sáng lập bán một số mã thông báo của họ cho các nhà đầu tư với giá thấp hơn.
Các nhà đầu tư thường nhận được token của họ sau một khoảng thời gian khi dự án khởi chạy.
Trong các vụ lừa đảo ICO, các nhà đầu tư không nhận được bất kỳ phần phân bổ mã thông báo nào khi đến hạn bởi vì dự án là một trò lừa đảo.
Các nhà phát triển này có thể cố gắng biến dự án trở nên "hợp pháp", bao gồm cả việc đầu tư vào marketing và các văn bản pháp lý giả mạo.
Lừa đảo trên mạng xã hội
Những trò gian lận tình cảm thường bắt đầu trên các trang web hẹn hò trực tuyến; kẻ lừa đảo sử dụng hình ảnh hồ sơ hấp dẫn (đánh cá) để thu hút nạn nhân của họ (lợn).
Những kẻ lừa đảo thiết lập mối quan hệ với nạn nhân thông qua tin nhắn trực tuyến. Khi các nạn nhân đến gần và tin tưởng họ, kẻ lừa đảo sẽ nói với họ về các khoản đầu tư tiền điện tử và những khoản lợi nhuận khổng lồ mà họ đã kiếm được.
Sau đó, họ lôi kéo nạn nhân tham gia vào một số khoản đầu tư sai lầm. Họ thuyết phục nạn nhân gửi một lượng lớn tài sản tiền điện tử vào một ví lừa đảo.
-
Kẻ mạo danh và lừa đảo Quà tặng
Tài khoản lừa đảo mạo danh những người nổi tiếng và những người có ảnh hưởng trong không gian tiền điện tử. Những kẻ mạo danh này sau đó tiếp cận với những kẻ mạo danh đến những nạn nhân không nghi ngờ về một dự án mới hoặc quà tặng. Sau đó, họ yêu cầu mọi người gửi một số tài sản tiền điện tử trước khi họ có thể truy cập các quà tặng này.
Ví dụ, từ tháng 9/2020 đến tháng 4/2021, đã có báo cáo về hơn 2 triệu USD được chuyển cho những kẻ mạo danh Elon Musk trên Twitter . Và theo FTC, 14% tất cả các loại lừa đảo mạo danh là bằng tiền điện tử.
Kết luận
Các trò gian lận DeFi được nêu trong bài viết này vẫn chưa phải là tất cả Những kẻ lừa đảo luôn nghĩ ra những cách mới để tấn công các nhà đầu tư tài sản tiền điện tử.
Để tránh trở thành nạn nhân, bạn nên cẩn thận với các hoạt động trực tuyến của mình. Không truy cập bất kỳ liên kết đáng ngờ nào và đảm bảo rằng bạn xác minh tất cả các giao dịch trước khi bạn chấp thuận.
VIC Crypto tổng hợp
Tin tức liên quan:
Điều gì xảy ra nếu bạn bị mất hoặc bị hỏng ví cứng tiền điện tử?
Các nguyên tắc bảo mật ví cá nhân
Vụ trộm lịch sử gây rúng động thị trường mã hóa: Hơn 580.000 Bitcoin "không cánh mà bay"