Gần đây tôi đã thấy Hayden Adams, người sáng lập Uniswap, công khai cảnh báo về một vấn đề ngày càng tinh vi hơn: các quảng cáo lừa đảo bắt chước nền tảng. Và thành thật mà nói, điều này phản ánh một vấn đề lớn hơn đang diễn ra trong không gian crypto.

Những gì đang xảy ra là rất tinh vi từ phía các kẻ lừa đảo. Họ đang mua quảng cáo trên các công cụ tìm kiếm để xuất hiện khi mọi người tìm kiếm "Uniswap". Kết quả trả phí trông giống đến mức nhiều người dùng thậm chí không nhận ra sự khác biệt. Khi nhấp vào và kết nối ví của họ, kẻ tấn công đơn giản là rút hết tiền trong đó. Hayden Adams đã chỉ ra rằng đây là một mô hình liên tục, ngay cả khi họ đang chờ phê duyệt trên App Store.

Có một trường hợp cụ thể minh họa rõ ràng chi phí thực sự của vấn đề này: ai đó đã mất một số tiền sáu chữ số trong một vụ lừa đảo như vậy. Chính người đó sau đó đã suy nghĩ và nói rằng đó không phải là xui xẻo, mà là hậu quả của một chuỗi các quyết định sai lầm. Đây là một lời nhắc nhở không thoải mái rằng an ninh trong crypto vẫn là trách nhiệm của người dùng, nhưng cũng cho thấy rằng các kẻ tấn công liên tục hoàn thiện chiến thuật của họ.

Số liệu tháng 1 năm 2025 đặc biệt đáng báo động. Các khoản mất mát do lừa đảo và khai thác đạt khoảng 370 triệu đô la, tháng tồi tệ nhất trong gần một năm. Điều thú vị là phần lớn số tiền đó đến từ một cuộc tấn công xã hội duy nhất đã rút khoảng 284 triệu đô la từ một nạn nhân duy nhất. Điều này cho thấy các kẻ tấn công ngày càng nhắm vào các mục tiêu có giá trị cao, tận dụng sự tin tưởng vào các thương hiệu nổi tiếng.

Đây không phải là vấn đề mới đối với Uniswap. Ngay từ tháng 10 năm 2024, đã có các báo cáo về các trang web sao chép giả mạo thay đổi các yếu tố của giao diện để hướng người dùng đến các hành động không an toàn. Các nút bấm lừa đảo, các tùy chọn điều hướng bị sửa đổi, tất cả đều nhằm gây nhầm lẫn. Khoảng cách giữa giao diện hợp pháp và giả mạo đang ngày càng thu hẹp.

Theo quan điểm của tôi, những gì Hayden Adams đang chỉ ra là một rủi ro hệ thống thực sự. Rào cản giữa quảng cáo hợp pháp và giả mạo đang sụp đổ trong lĩnh vực tìm kiếm. Ngay cả những người dùng cẩn trọng cũng có thể vô tình cấp quyền truy cập khiến họ mở rộng quyền truy cập toàn bộ vào ví của mình mà không nhận ra rằng họ đang ở trên một trang web giả mạo.

Đối với những người xây dựng hoặc sử dụng không gian này, kết luận rõ ràng là: các tín hiệu xác thực thương hiệu, kiểm soát tên miền và giáo dục người dùng không phải là tùy chọn. Chúng phải là một phần không thể thiếu trong thiết kế. Các tương tác hợp pháp cần có xác nhận rõ ràng trước khi thực hiện các hành động nhạy cảm, đặc biệt là phê duyệt ví.

Sức mạnh của hệ sinh thái phụ thuộc vào quản lý rủi ro chủ động và khắc phục nhanh chóng khi xảy ra các lỗ hổng. Trong khi các nhà quản lý và nhà vận hành nền tảng vạch ra hướng đi tiếp theo, có thể chúng ta sẽ thấy nhiều biện pháp bảo vệ kỹ thuật hơn và các hệ sinh thái xác thực mạnh mẽ hơn. Nhưng hiện tại, việc người dùng cảnh giác vẫn là yếu tố then chốt.