How can I tell if a smart contract is legitimate before signing?

Always verify the contract address on Etherscan or your chain's block explorer, check that it matches the official project documentation (not just social media), and review the contract source code for suspicious functions. Look for transfers to unknown addresses, infinite approvals, or hidden drain mechanisms. If the code is unverified or you don't understand it, ask in legitimate community channels or use AI contract analysis tools, but never sign without understanding what permissions you're granting.

Can my funds be recovered after I sign a malicious smart contract?

Unfortunately, blockchain transactions are permanent and irreversible once confirmed. However, you should immediately revoke all token approvals using Revoke.cash, move any remaining funds to a secure wallet, and report the scam address to blockchain security platforms and the FBI's IC3. Some advanced recovery services can attempt to intercept pending transactions if you act within minutes, but success is extremely rare. Prevention is far more effective than recovery.

Why do legitimate-looking websites trick me into authorizing malicious contracts?

Scammers create pixel-perfect replicas of real DeFi platforms using stolen code and design assets, making them nearly indistinguishable from the original. They hide malicious smart contract code within seemingly normal transaction requests, exploiting the fact that most users don't read or understand the contract details they're authorizing. MetaMask and other wallets display warnings, but users often click through them without reading because legitimate transactions also generate these warnings.

What should I do immediately if I think I've signed a malicious contract?

First, stop using that wallet for any transactions. Immediately revoke all token approvals by visiting Revoke.cash or Etherscan's token approval page and disconnecting the malicious contract. Move any remaining funds to a secure wallet that has never been connected to the scam dApp. Do not sign any additional transactions from that wallet. Finally, document the scammer's wallet address and contract address, and report the incident to the FBI IC3 website and blockchain security platforms like Etherscan's abuse report feature.

How do I verify if a project announcement is real or a scam?

Treat all unsolicited announcements with extreme skepticism. Visit the official project website directly (type the URL yourself, don't click links) and check their primary verified social media accounts (marked with official blue checkmarks). Legitimate projects announce major updates on their official channels first, never through private messages or obscure links. If you're unsure, ask on the official verified Discord or Telegram, but be cautious of fake support accounts that may try to help you into a scam.

Nghiêm trọng Thiệt hại trung bình: $20,000 Thời gian thường thấy: 1-7 days

Lừa Đảo Kỹ Thuật Xã Hội Qua Hợp Đồng Thông Minh

Lừa đảo kỹ thuật xã hội qua hợp đồng thông minh là một mối đe dọa đang phát triển nhanh chóng nhắm vào những người nắm giữ tiền điện tử, đặc biệt là những người có kiến thức kỹ thuật trung bình. Khác với các hình thức phishing đơn giản, các chiêu trò này lợi dụng tính hợp pháp của các giao dịch blockchain bằng cách lừa người dùng tự nguyện ký các hợp đồng thông minh cho phép kẻ lừa đảo truy cập vào tài sản kỹ thuật số của họ. Thủ đoạn thường diễn ra trong vòng 1-7 ngày, với nạn nhân mất trung bình khoảng 460 triệu đồng, trong khi các mục tiêu tinh vi hơn có thể mất nhiều hơn rất nhiều. Kẻ lừa đảo sử dụng kết hợp nội dung do AI tạo ra, các trang web dự án giả mạo và giả danh các giao thức DeFi hợp pháp để tạo ra sự cấp bách giả tạo xung quanh các đợt airdrop token giới hạn thời gian, cơ hội yield farming hoặc sự kiện mint NFT. Theo công ty bảo mật blockchain Certik, các vụ khai thác hợp đồng thông minh và lừa đảo kỹ thuật xã hội đã tăng 156% trong năm 2023, với thiệt hại vượt quá 320 nghìn tỷ đồng trong lĩnh vực lừa đảo DeFi rộng lớn hơn. Điều làm cho mối đe dọa này đặc biệt nguy hiểm là giao dịch blockchain một khi đã ký là vĩnh viễn và không thể đảo ngược, và nạn nhân thường không nhận ra quỹ của mình đã bị xâm phạm cho đến vài ngày sau khi cho phép ban đầu.

Thủ đoạn phổ biến Cách nhận biết Cách tự bảo vệ Ví dụ thực tế Câu hỏi thường gặp Nơi báo cáo

Thủ đoạn phổ biến

• Tạo các trang web giả mạo thuyết phục của các nền tảng DeFi hợp pháp như Uniswap hoặc OpenSea, với thương hiệu bị đánh cắp và URL gần như giống hệt (ví dụ: 'uniswap-swap.net' thay vì 'uniswap.org'), sau đó nhúng mã hợp đồng thông minh độc hại vào giao diện.
• Gửi tin nhắn nhắm mục tiêu qua Discord hoặc Telegram giả danh quản trị viên dự án, cung cấp phân bổ token độc quyền hoặc quyền truy cập sớm vào các đợt presale yêu cầu kết nối ví qua một dApp giả, tự động kích hoạt chữ ký phê duyệt hợp đồng.
• Tạo video YouTube hoặc không gian Twitter do AI sản xuất với phiên bản deepfake của các influencer tiền điện tử nổi tiếng quảng bá các chiến lược yield farming giả với lợi suất APY trên 500%, hướng người xem đến các hợp đồng lừa đảo trong vài phút.
• Sử dụng hợp đồng honeypot trông có vẻ tạo lợi nhuận trong các giao dịch thử nghiệm (hiển thị lợi nhuận nhỏ từ 230.000 đến 1.150.000 đồng) trước khi nạn nhân ký hợp đồng rút tiền thực sự, khai thác niềm tin tâm lý rằng họ đã xác nhận cơ hội.
• Nhúng mã hợp đồng độc hại trong các trang mint NFT có vẻ hợp pháp, nơi người dùng cho phép giới hạn chi tiêu token (thường đặt không giới hạn) với niềm tin rằng họ chỉ trả phí gas, rồi ví của họ bị rút cạn vài tuần sau đó.
• Thực hiện kỹ thuật đảo ngược kỹ thuật xã hội bằng cách hack các tài khoản mạng xã hội dự án hợp pháp và đăng các thông báo rút tiền hoặc hoán đổi token liên kết đến hợp đồng lừa đảo, tận dụng lòng tin đã được xây dựng trong cộng đồng.

Cách nhận biết

Ví kết nối hiển thị các giao dịch bạn chưa từng thực hiện, hoặc bạn nhận được thông báo về các phê duyệt token mà bạn không nhớ đã cho phép, cho thấy một hợp đồng với chức năng rút tiền ẩn đã được thực thi.
Một 'cơ hội' mới được phát hiện xuất hiện qua tin nhắn không mong muốn từ người tự xưng là quản lý dự án, cung cấp quyền truy cập độc quyền vượt qua các kênh công khai thông thường như trang web chính thức.
URL trang web có lỗi chính tả nhỏ hoặc sử dụng các phần mở rộng tên miền tương tự nhưng khác (.net thay vì .org, hoặc có dấu gạch ngang ở vị trí bất thường) so với trang chính thức của dự án hợp pháp.
Khi xem hợp đồng trên các trình khám phá blockchain như Etherscan, mã nguồn không được xác minh, hoặc các chức năng hợp đồng bao gồm các quyền đáng ngờ như 'transferFrom' với hạn mức không giới hạn mặc dù tuyên bố chỉ hỗ trợ hoán đổi token.
Cơ hội hứa hẹn lợi nhuận toán học không thể xảy ra hoặc vượt xa mức thị trường (lợi suất APY trên 400%), kết hợp với áp lực thời gian cực lớn thông báo ưu đãi hết hạn trong vài giờ.
Số dư ví của bạn giảm bất ngờ ngay sau khi bạn cho phép tương tác hợp đồng mà bạn nghĩ là vô hại, với hồ sơ blockchain cho thấy các chuyển token đến các địa chỉ ví lạ.

Cách tự bảo vệ

Luôn truy cập các nền tảng DeFi bằng cách gõ trực tiếp URL chính thức đầy đủ vào trình duyệt hoặc sử dụng dấu trang, không bao giờ nhấp vào các liên kết từ mạng xã hội, email hoặc tin nhắn dù nguồn có đáng tin cậy đến đâu.
Trước khi kết nối ví với bất kỳ dApp nào hoặc ký bất kỳ tương tác hợp đồng nào, hãy xem địa chỉ hợp đồng trên Etherscan hoặc PolygonScan, xác minh nó khớp với tài liệu chính thức của dự án và kiểm tra mã nguồn xem có chuyển token đến địa chỉ lạ không.
Sử dụng các công cụ phê duyệt hợp đồng như Revoke.cash hoặc trang phê duyệt token của Etherscan để giới hạn quyền chi tiêu token ở mức cụ thể hoặc số lần giao dịch thay vì cấp phép không giới hạn.
Tạo các ví tiền điện tử riêng biệt chỉ dành cho các tương tác DeFi với số tiền hạn chế, giữ phần lớn tài sản trong ví phần cứng an toàn hoặc ví lưu trữ riêng biệt không bao giờ kết nối với dApp.
Kích hoạt các công cụ mô phỏng giao dịch có sẵn qua tính năng bảo mật của MetaMask hoặc các dịch vụ độc lập như Tenderly để xem trước chính xác hợp đồng thông minh sẽ làm gì trước khi ký, chú ý các chuyển token không được phép.
Xác minh mọi thông báo quan trọng qua các kênh chính thức của dự án (trang web chính, tài khoản Twitter đã xác minh có dấu tích xanh, Discord/Telegram chính thức) trước khi hành động, và đối chiếu trên các trang bảo mật blockchain độc lập như CertiK hoặc Trail of Bits.

Ví dụ thực tế

Một người dùng nhận được tin nhắn Discord từ tài khoản hiển thị huy hiệu quản trị viên OpenSea (mua qua tính năng xác minh trả phí của Discord) cung cấp quyền truy cập sớm độc quyền cho một đợt NFT lớn. Tin nhắn chứa liên kết đến trang web giống hệt OpenSea, nơi người dùng kết nối ví MetaMask để 'xác nhận đủ điều kiện.' Trang kết nối hiển thị yêu cầu phê duyệt token cho 'quản lý phí gas,' người dùng ký mà không đọc kỹ hợp đồng. Trong vòng sáu giờ, ví người dùng bị rút cạn 15 ETH (khoảng 620 triệu đồng lúc đó) vì hợp đồng chứa điều khoản phê duyệt vô hạn cho phép kẻ lừa đảo rút toàn bộ token ERC-20.

Một nhà giao dịch tiền điện tử xem video YouTube có vẻ là một influencer DeFi nổi tiếng (thực chất là deepfake do AI tạo) trình bày chiến lược yield farming mới trên giao thức không rõ. Video cho thấy các giao dịch thử nghiệm tạo ra 8 ETH lợi nhuận trong 30 phút. Kẻ lừa đảo cung cấp URL rút gọn dẫn đến giao diện hợp đồng. Sau khi nạn nhân gửi 2 ETH và nhận được 8 ETH như đã hứa (do kẻ lừa đảo tài trợ để tạo niềm tin), họ ký hợp đồng thứ hai cho 'phí rút tiền.' Hợp đồng này chứa chức năng rút tiền ngay lập tức chuyển toàn bộ 10 ETH và nhiều token khác đến ví kẻ lừa đảo, tổng thiệt hại khoảng 740 triệu đồng.

Một thành viên nhóm Telegram thông báo airdrop giới hạn thời gian cho token quản trị DeFi mới, khẳng định có 10.000 token dành cho 100 thành viên cộng đồng đầu tiên kết nối ví và xác minh danh tính. Quá trình yêu cầu ký tương tác hợp đồng trong vòng hai giờ. Nạn nhân truy cập trang web được cung cấp, kết nối ví và ký hợp đồng yêu cầu token tiêu chuẩn. Không biết rằng hợp đồng chứa mã ẩn giám sát ví cho bất kỳ token được phê duyệt nào và tự động chuyển chúng đến địa chỉ kẻ lừa đảo. Trong ba ngày tiếp theo, khi nạn nhân thực hiện các hoạt động DeFi bình thường và tương tác với các giao thức hợp pháp, nhiều lần chuyển token trái phép xảy ra, gây thiệt hại tổng cộng khoảng 430 triệu đồng trên nhiều loại token.

Câu hỏi thường gặp

Làm sao tôi biết hợp đồng thông minh có hợp pháp trước khi ký?

Luôn xác minh địa chỉ hợp đồng trên Etherscan hoặc trình khám phá blockchain của chuỗi bạn dùng, kiểm tra xem nó có khớp với tài liệu chính thức của dự án (không chỉ mạng xã hội) và xem xét mã nguồn hợp đồng để phát hiện các chức năng đáng ngờ. Tìm các chuyển token đến địa chỉ lạ, phê duyệt vô hạn hoặc cơ chế rút tiền ẩn. Nếu mã nguồn không được xác minh hoặc bạn không hiểu, hãy hỏi trong các kênh cộng đồng hợp pháp hoặc sử dụng công cụ phân tích hợp đồng AI, nhưng tuyệt đối không ký nếu không hiểu rõ quyền bạn đang cấp.

Tôi có thể lấy lại tiền sau khi ký hợp đồng thông minh độc hại không?

Rất tiếc, các giao dịch blockchain một khi đã xác nhận là vĩnh viễn và không thể đảo ngược. Tuy nhiên, bạn nên ngay lập tức thu hồi tất cả các phê duyệt token bằng Revoke.cash, chuyển số tiền còn lại sang ví an toàn và báo cáo địa chỉ lừa đảo lên các nền tảng bảo mật blockchain và IC3 của FBI. Một số dịch vụ phục hồi nâng cao có thể cố gắng chặn các giao dịch đang chờ xử lý nếu bạn hành động trong vài phút, nhưng khả năng thành công rất thấp. Phòng ngừa luôn hiệu quả hơn phục hồi.

Nơi báo cáo — Việt Nam

Các kênh chính thức trong khu vực của bạn để báo cáo lừa đảo này.

Cục An toàn thông tin (Bộ TT&TT)

Tội phạm mạng

Cổng tiếp nhận phản ánh tin nhắn rác, cuộc gọi rác và lừa đảo trực tuyến.

Truy cập →

Bộ Công an - Cảnh báo lừa đảo

Báo cáo

Trang cảnh báo và tiếp nhận tố giác lừa đảo của Bộ Công an.

113 Truy cập →

Cục Cạnh tranh và Bảo vệ người tiêu dùng

Bảo vệ người tiêu dùng

Tổng đài bảo vệ người tiêu dùng — miễn phí cuộc gọi.

1800-6838 Truy cập →

Ngân hàng Nhà nước Việt Nam

Cơ quan tài chính

Báo cáo các trường hợp lừa đảo tài chính, ngân hàng, đầu tư bất hợp pháp.

Truy cập →

Nghi ngờ gặp phải lừa đảo này?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), lừa đảo kỹ thuật xã hội qua hợp đồng thông minh is described at https://scamlens.org/vi/encyclopedia/smart-contract-social-engineering.

https://scamlens.org/vi/encyclopedia/smart-contract-social-engineering

Bắt đầu từ đây

Kiểm Tra An Toàn

Tình Báo

Công Cụ & Báo Cáo

Dịch Vụ Cao Cấp

Tiện Ích & API