Quảng cáo Google giả mạo Uniswap hút cạn hơn 400.000 USD: Chiêu trò lừa đảo và cách phòng tránh

Gánh nặng tài chính ngày càng chồng chất

Cái giá phải trả về con người và tài chính của chiến dịch này là rất nghiêm trọng và đã được ghi nhận rõ ràng. Theo các nhà phân tích on-chain, chiến dịch quảng cáo Google giả mạo cụ thể nhắm vào Uniswap đã rút đi ít nhất 400.000 USD từ các nạn nhân tính đến tháng 5 năm 2026 . Tuy nhiên, con số này chỉ phản ánh một phần thiệt hại mà các kỹ thuật này đã gây ra theo thời gian. Một người dùng DeFi đơn lẻ đã mất 1,23 triệu USD trong các NFT vị thế Uniswap V3 vào tháng 7 năm 2025 sau khi ký một giao dịch độc hại trên một trang web lừa đảo giống hệt được quảng bá qua Google Ads .

Vào tháng 2 năm 2026, một nhà giao dịch trên Polymarket có tên @ika_xbt đã công khai rằng anh ta đã mất toàn bộ giá trị tài sản ròng "sáu con số" của mình chỉ trong một giao dịch sau khi nhấp vào một kết quả được tài trợ bắt chước ứng dụng Uniswap . Trường hợp của anh ta đã làm dấy lên một cảnh báo công khai từ người sáng lập Uniswap, Hayden Adams, người đã lên án việc nền tảng này không thể ngăn chặn các quảng cáo lừa đảo mặc dù cộng đồng đã báo cáo trong nhiều năm . Bối cảnh rộng lớn hơn cũng đáng báo động không kém: chỉ riêng trong tháng 1 năm 2026, số tiền mã hóa bị đánh cắp từ các vụ lừa đảo và tấn công phi kỹ thuật đã tăng vọt lên 370,3 triệu USD trên 40 vụ việc riêng biệt, theo dữ liệu từ CertiK, đánh dấu tổng số tiền hàng tháng cao nhất trong gần một năm .

Các biện pháp phòng thủ: Làm thế nào để ngăn chặn một cuộc tấn công rút ví

Sự tinh vi của những vụ lừa đảo này có nghĩa là lời khuyên truyền thống "chỉ cần cẩn thận thôi" là không đủ. Cần có một hệ thống phòng thủ chủ động và nhiều lớp, tập trung vào việc ngăn chặn cú nhấp chuột ban đầu và giới hạn thiệt hại nếu sai lầm xảy ra.

1. Loại bỏ hoàn toàn rủi ro nhấp chuột. Biện pháp hiệu quả duy nhất là không bao giờ nhấp vào kết quả tìm kiếm được tài trợ cho bất kỳ nền tảng tiền mã hóa nào. Thay vào đó, hãy đánh dấu (bookmark) URL chính thức, app.uniswap.org, và truy cập trực tiếp vào đó. Đừng tin rằng một quảng cáo Google, ngay cả khi trông có vẻ hợp pháp, đã được kiểm duyệt .

2. Soi xét URL một cách hoang tưởng. Trước khi kết nối ví, hãy nhìn vào URL trên thanh địa chỉ một cách cực kỳ cẩn thận. Đừng chỉ xác nhận rằng nó "trông có vẻ đúng"—hãy tìm kiếm những sự thay thế đồng hình tinh vi mà các cuộc tấn công Punycode khai thác. Hãy tập thói quen di chuột qua các liên kết và so sánh văn bản hiển thị với đích đến thực tế của trình duyệt .

3. Xây dựng bộ công cụ bảo mật cho ví. Ví cứng (hardware wallet) bổ sung một lớp phòng thủ quan trọng vì nó yêu cầu bạn xác minh vật lý và phê duyệt chi tiết giao dịch trên một thiết bị riêng biệt. Hãy bổ sung thêm một tiện ích mở rộng trình duyệt được thiết kế riêng cho bảo mật tiền mã hóa. Các công cụ như Pocket Universe, Wallet Guard và Scam Sniffer có thể mô phỏng kết quả của một giao dịch và gắn cờ các hợp đồng độc hại đã biết trước khi bạn ký, ngăn chặn hiệu quả cuộc tấn công ngay cả khi bạn truy cập vào một trang web nhân bản.

4. Hạn chế rủi ro bằng cách thu hồi các phê duyệt. Mỗi giao dịch "phê duyệt" (approve) bạn ký là một giấy phép vĩnh viễn cho phép một hợp đồng thông minh truy cập vào token của bạn. Theo thời gian, ví sẽ tích lũy hàng tá các phê duyệt cũ này, tạo ra một bề mặt tấn công khổng lồ. Hãy sử dụng một công cụ chuyên dụng như Revoke.cash hoặc trình kiểm tra phê duyệt token của Etherscan để thường xuyên kiểm tra và thu hồi các quyền bạn không còn cần đến. Biện pháp vệ sinh đơn giản này đảm bảo rằng ngay cả khi bạn mắc sai lầm, khả năng rút sạch tài sản của một hợp đồng độc hại cũng bị hạn chế nghiêm trọng.

Để giữ an toàn, bạn cũng cần phải cập nhật thông tin. Theo dõi các nhà điều tra on-chain như ZachXBT và các nhà phân tích như @realScamSniffer của Scam Sniffer để nhận cảnh báo theo thời gian thực, cũng như các tuyên bố công khai từ các nhà lãnh đạo ngành như Hayden Adams, sẽ cung cấp một hệ thống cảnh báo sớm về các phương thức tấn công mới và đang phát triển .