Airdrop lừa đảo là một hành vi thường thấy trong thị trường crypto, lợi dụng lòng tham từ tâm lý kiếm tiền nhanh cũng như sự non nớt của người dùng trong việc bảo vệ tài sản on-chain. Có rất nhiều dấu hiệu cho thấy bạn đang đối mặt với một đợt airdrop crypto giả mạo như không có thông báo chính thức, đột ngột đăng link claim, sử dụng post để spam,... Vậy làm sao để phát hiện và ngăn chặn tình trạng này? Hãy cùng Block24 tìm hiểu trong bài viết dưới đây.

Airdrop lừa đảo là gì?

Airdrop lừa đảo là hành vi đưa thông tin giả mạo nhằm đánh lừa người dùng và thực hiện các hoạt động nhạy cảm như chiếm quyền truy cập ví Web3, đánh cắp tài sản Crypto hoặc thông tin cá nhân.

Minh họa airdrop lừa đảo
Minh họa airdrop lừa đảo

Những chiêu trò thường thấy là giả mạo trang web, tài khoản social của dự án Web3 uy tín, sau đó đăng tải nội dung liên quan đến chương trình nhận token miễn phí kèm theo một đường link hay hợp đồng thông minh giả.  

Điều này sẽ đánh vào lòng tham muốn nhận “token miễn phí” của người dùng, từ đó khiến họ sập bẫy chỉ bằng việc bấm vào đường link đính kèm. 

Top 7 “Red Flag” Airdrop lừa đảo

Danh sách dấu hiệu Airdrop scam dưới đây được tổng hợp và phát triển dựa theo blog “10 signs an airdrop is a scam” của tác giả Dilip Kumar Patairya. Hãy cẩn trọng với các “Red flag” như: không có thông báo chính thức từ dự án, yêu cầu cung cấp seed phrase/private key, sử dụng link hoặc website giả mạo và hứa hẹn phần thưởng lớn không thực tế. Kiểm tra kỹ thông tin trên các kênh social chính thức của dự án để tránh mất tài sản nhé bạn!

Không có thông báo chính thức từ dự án

Một dấu hiệu cảnh báo rõ ràng nhất của hành vi airdrop lừa đảo là không có bất kỳ thông báo nào trên các kênh truyền thông chính thức của dự án. Những kẻ lừa đảo thường đăng bài scam trên các tài khoản clone theo kênh thật, từ đó dụ dỗ những người ít hiểu biết và thực hiện các hành vi chiếm đoạt tài sản & thông tin của họ.

Yêu cầu tiết lộ seed phrase/private key

Trong mọi trường hợp, không một dự án Web3 nào yêu cầu users tiết lộ seed phrase hay private key để nhận airdrop. Bởi vì đây là yếu tố quan trọng để khôi phục ví Crypto. Do đó, bất kỳ hành động nào yêu cầu bạn cung cấp 2 key này đều là scam. 

Thiếu thông tin minh bạch

Airdrop lừa đảo thường không cung cấp chi tiết rõ ràng về cách thức hoạt động, điều kiện tham gia hoặc mục tiêu của dự án. Trang web hoặc announcement có thể thiếu contact của team đằng sau hoặc whitepaper/roadmap cho thấy sự không chuyên nghiệp, thiếu minh bạch.

Địa chỉ web đáng ngờ

Địa chỉ airdrop ZKsync đáng ngờ
Địa chỉ airdrop ZKsync đáng ngờ

Airdrop lừa đảo thường sử dụng các trang web giả mạo với URL gần giống với trang chính thức của dự án, chỉ thay đổi một ký tự nhỏ (ví dụ: ‘zskync’ thay vì ‘ZKsync’). Nếu không để ý, bạn sẽ vô tình ký vào một hợp đồng thông minh giả dẫn đến mất tài sản hoặc thông tin cá nhân. 

Sử dụng bot để spam trên X, Telegram,...

Tin nhắn spam từ bot trên X, Telegram hoặc các nền tảng khác, quảng bá airdrop với lời mời hấp dẫn, thường là dấu hiệu fake airdrop. Những tin nhắn này có thể đến từ tài khoản giả mạo, không liên kết với dự án chính thức.

Dự án đột ngột đăng link airdrop

Khi một dự án đột ngột đăng post airdrop cùng lời kêu gọi (call to action - CTA) bấm vào đường link lạ trong bài viết, rất có thể tài khoản social của họ đã bị kẻ xấu chiếm quyền kiểm soát. Hacker đang thực hiện các hành vi mạo danh, nhắm tới những “con mồi ngây thơ”.

Hứa hẹn phần thưởng lớn

Đôi khi Airdrop lừa đảo không đến từ những kẻ xấu mà từ chính đội ngũ phát triển dự án. Đã có rất nhiều project từng nói sẽ phát airdrop lớn cho cộng đồng nhưng chỉ là hứa hươu hứa vượn. Nhiều users đã tin và “cúng” hàng nghìn USD cho những chiến dịch vô nghĩa và đương nhiên phần thưởng gần như bằng 0.

Một số Airdrop bị kẻ gian lợi dụng

Hamster Kombat

Nổi lên nhờ trend tap-to-earn vào giữa năm 2024, Hamster Kombat (HMSTR) đã từng có hơn 300 triệu người dùng sử dụng nền tảng. Dự án này cũng đã từng đăng tải các nội dung hứa hẹn rằng đợt airdrop lớn nhất lịch sử. Tuy nhiên, mọi thứ diễn ra hoàn toàn ngược lại và Hamster Kombat nhận phải sự chỉ trích nặng nề từ cộng đồng. 

Số lượng người dùng Hamster Kombat giảm sau airdrop. Nguồn: iProtos
Số lượng người dùng Hamster Kombat giảm sau airdrop. Nguồn: iProtos

Phần đông người tham gia cho biết phần thưởng được phân bổ không công bằng, với số lượng token HMSTR nhận được quá thấp so với kỳ vọng, đặc biệt đối với những người đã đầu tư nhiều thời gian và công sức vào việc tham gia các hoạt động tap-to-earn của dự án. Kể từ đó, số người dùng hoạt động trên nền tảng sụt giảm một cách nghiêm trọng, giảm hơn 260 triệu chỉ sau 3 tháng.

Sui Network

Trang web giả mạo airdrop Sui Network
Trang web giả mạo airdrop Sui Network

Sui là blockchain layer 1 chạy ngôn ngữ lập trình Move tương tự như Aptos, cả 2 đều khởi chạy testnet và rất nhiều người đã tham gia. Tuy nhiên, khác với Aptos, Sui không hề airdrop cho cộng đồng mà mở bán IDO cho những người đủ điều kiện. 

Lợi dụng sự nổi tiếng của dự án này, nhiều kẻ xấu đã mạo danh và đăng tải thông tin về airdrop kèm theo những đường link claim hòng chiếm đoạt tài sản.

LayerZero

Trong chiến dịch airdrop, LayerZero sử dụng hệ thống claim token độc đáo gọi là Proof-of-Donation, yêu cầu người dùng đủ điều kiện phải quyên góp 0,1 USD cho mỗi token ZRO họ muốn nhận. Số tiền này được chuyển đến Protocol Guild - tổ chức hỗ trợ core developers của Ethereum.

Tài khoản mạo danh LayerZero
Tài khoản mạo danh LayerZero

Tuy nhiên, vào tháng 7/2023, công ty bảo mật CertiK đã đưa ra cảnh báo liên quan đến việc xuất hiện airdrop mạo danh dự án này . Những kẻ lừa đảo đã tạo ra các tài khoản LayerZero fake trên nền tảng X nhằm dụ dỗ người dùng nhấp vào các liên kết dẫn đến một website giả mạo trông giống hệt trang chính chủ.

Cách phòng tránh Airdrop lừa đảo

Nhìn chung, chiêu trò fake airdrop rất đa dạng. Dẫu vậy, theo tác giả Dilip Kumar Patairya, sẽ có một số mẹo giúp users tránh được rủi ro. Hãy bắt đầu bằng việc nghiên cứu kỹ dự án, xác minh thông tin qua tài khoản social chính thức hoặc các kênh chuyên về airdrop. Tiếp theo, luôn kiểm tra URL trước khi nhấp vào, chỉ tin tưởng link từ nguồn uy tín như trang chủ, X, Discord của dự án. Cuối cùng, đừng quên sử dụng ví phụ và công cụ như Pocket Universe nhằm hạn chế khả năng mất mát tài sản!

Nghiên cứu kỹ dự án

Nếu thấy thông tin liên quan đến airdrop như chiến dịch, testnet, claim token,... hãy recheck chúng trên các tài khoản social của dự án để xác thực. Ngoài ra, cũng có thể tham khảo từ các kênh chuyên về airdrop để double check. Một số kênh tham khảo: 

Kiểm tra đường link trước khi truy cập

Luôn kiểm tra kỹ URL của trang web airdrop, để chắc chắn, chỉ nên bấm vào liên kết từ những kênh thông tin chính thức của dự án như X, Discord, trang chủ,... Đặc biệt, nên cẩn trọng với các URL được rút gọn vì chúng có thể dẫn đến các trang web scam hoặc phishing.

Không cung cấp quyền truy cập ví

Tuyệt đối không tiết lộ private key hay seed phrase, dù đó là yêu cầu để được nhận airdrop. Nếu gặp những trường hợp như thế này, bạn hãy mặc định là lừa đảo. 

Kiểm tra ví trước khi ký

Hãy kiểm tra trước các thông tin hợp đồng trên ví trước khi ký để đảm bảo đó không phải là một cuộc tấn công lừa đảo. Ngoài ra, bạn có thể sử dụng các tiện ích như Pocket Universe hay Revoke.cash để phát hiện các hợp đồng thông minh giả. 

Cẩn trọng với vấn nạn hack tài khoản X

Bạn nên kiểm tra kỹ tài khoản social của dự án trước khi truy cập link claim airdrop. Vì đã có nhiều trường hợp dự án bị kẻ gian hack tài khoản. Nhìn chung, khi có link claim, không cần phải quá vội vàng.

Sử dụng ví phụ

Nếu không thật sự cần thiết, hãy sử dụng các sub-wallet được tạo ra từ wallet chính nhằm đảm bảo an toàn cho tài sản. Bạn có thể phân chia chức năng cho từng ví phụ này để tiện theo dõi và phục vụ các nhu cầu như airdrop, DeFi, lưu trữ, trading,...

FAQ

Vì sao fake, scam airdrop lại xuất hiện nhiều?

Fake và scam airdrop phổ biến trong thị trường crypto do ba lý do chính:

  • Tính ẩn danh của blockchain: Điều này giúp bảo vệ quyền riêng tư nhưng cũng đồng thời cũng tạo điều kiện cho kẻ xấu dễ dàng lập dự án crypto giả mà không bị truy cứu.
  • Tâm lý kiếm tiền nhanh: Nhiều người mới ham nhận token miễn phí, thiếu cảnh giác nên dễ bị dụ bởi lời hứa thưởng lớn.
  • Thiếu kiến thức bảo mật: Không biết cách kiểm tra URL hay nhận diện dấu hiệu lừa đảo, từ đó dễ trở thành nạn nhân của scam airdrop.

Làm gì nếu lỡ tham gia Airdrop lừa đảo?

Nếu bạn nghi ngờ mình đã tham gia một chương trình airdrop không hợp pháp, hãy nhanh chóng ngắt kết nối ví, thay đổi mật khẩu và revoke toàn bộ quyền approve token.

Làm thế nào để báo cáo một Airdrop lừa đảo?

Bạn có thể báo cáo airdrop lừa đảo trên các nền tảng mạng xã hội chứng thức của dự án bị giả mạo như X, Telegram hay Discord. 

Tấn công lừa đảo trong airdrop hoạt động như thế nào?

Tấn công lừa đảo trong airdrop thường dùng tiền điện tử giả mạo hoặc hợp đồng thông minh giả. Nếu bạn vô tình ký hoặc approve, kẻ xấu sẽ dễ dàng đánh cắp tài sản ra khỏi ví của bạn.

Tổng kết

Trên đây là bài hướng dẫn chi tiết của Block24 về Airdrop lừa đảo và cách phòng tránh tình trạng này. Chúc bạn thực hiện thành công.

Lưu ý: Nội dung bên trên không phải là lời khuyên đầu tư. Anh em chỉ nên tham khảo và tự mình tìm hiểu kỹ trước khi quyết định xuống tiền. Hãy là nhà đầu tư có trách nhiệm với tài sản của mình, chúc bạn thành công!