What's the difference between approving a transaction and approving a token?

A transaction approval signs a single, specific action (like swapping 10 USDC for ETH). A token approval grants permission to a smart contract to move ANY amount of that token from your wallet, multiple times, until you revoke it. Scammers exploit this confusion by making users think they're signing a one-time transaction when they're actually giving unlimited access.

Can I recover tokens after they've been drained?

Recovery is extremely difficult once tokens are transferred. Blockchain transactions are irreversible, and attackers quickly move tokens through mixers (Tornado Cash) or to decentralized exchanges. Your only option is contacting the receiving exchange if you identify where tokens were sold, but this rarely results in recovery. Prevention through approval management is far more effective than recovery attempts.

Is it safe to connect my wallet to any dApp?

Connecting your wallet to a dApp only shows them your public address and balance; it doesn't automatically give access to your tokens. However, signing transactions (including approvals) is what grants permissions. Only sign transactions on verified dApps with clear descriptions of what you're approving, and always use the official domain.

How do I revoke token approvals I've already given?

You can revoke approvals using Revoke.cash, Etherscan's Approvals tab, or your wallet's built-in approval manager. Simply connect your wallet, find the approved token and contract address, and execute a revoke transaction (which costs a small gas fee). This immediately removes that contract's permission to transfer your tokens, even if it previously had unlimited access.

Why would a legitimate dApp ask for unlimited approval?

Some DeFi protocols request unlimited approval for convenience—it reduces transaction costs since users won't need to re-approve for each interaction. However, legitimate platforms like Uniswap now default to set-approval limits. If a dApp insists on unlimited approval or won't let you set a custom amount, that's a red flag indicating it may not be trustworthy.

Nghiêm trọng Thiệt hại trung bình: $20,000 Thời gian thường thấy: 1-3 days

Lỗ Hổng Phê Duyệt Token: Cách Kẻ Lừa Đảo Rút Cạn Ví Web3

Lỗ hổng phê duyệt token là một chiêu trò lừa đảo Web3 tinh vi, trong đó kẻ tấn công thao túng người dùng ký số một giao dịch hợp đồng thông minh cho phép chuyển token không giới hạn từ ví của họ. Khác với hack truyền thống, cuộc tấn công này đòi hỏi sự đồng ý rõ ràng từ người dùng — nhưng nạn nhân không hiểu rõ họ đang cho phép điều gì. Khi đã được phê duyệt, kẻ lừa đảo thực hiện các giao dịch rút token về địa chỉ do chúng kiểm soát, thường chỉ trong vài giờ. Cuộc tấn công ngày càng phổ biến khi tài chính phi tập trung (DeFi) phát triển; công ty phân tích blockchain Chainalysis báo cáo rằng các vụ trộm dựa trên phê duyệt tăng 400% từ 2022 đến 2023, với tổng thiệt hại của nạn nhân vượt 280 triệu USD mỗi năm. Cơ chế này lợi dụng nguyên tắc thiết kế cơ bản của Web3: hợp đồng thông minh cần quyền phê duyệt để tương tác với token người dùng. Kẻ lừa đảo lợi dụng điều này bằng cách ngụy trang yêu cầu phê duyệt thành các giao dịch hợp pháp (như mint NFT, hoán đổi token hoặc bỏ phiếu quản trị) trong khi thực tế là cấp quyền chuyển token không giới hạn. Điều đặc biệt nguy hiểm là sự trì hoãn thời gian — nạn nhân có thể không nhận ra ví bị xâm phạm cho đến vài ngày hoặc vài tuần sau, khi token đã được chuyển sang dịch vụ trộn hoặc sàn giao dịch, khiến việc thu hồi gần như không thể.

Thủ đoạn phổ biến Cách nhận biết Cách tự bảo vệ Ví dụ thực tế Câu hỏi thường gặp Nơi báo cáo

Thủ đoạn phổ biến

• Lừa đảo qua giao diện dApp giả mạo: Kẻ lừa đảo tạo các ứng dụng phi tập trung giả mạo các nền tảng uy tín (OpenSea, Uniswap, Aave), nhưng chuyển hướng người dùng đến hợp đồng thông minh độc hại yêu cầu phê duyệt token thay vì thực hiện chức năng được quảng cáo.
• Kỹ thuật xã hội qua Discord/Telegram: Kẻ tấn công đăng liên kết giả trong các server cộng đồng Web3, tuyên bố có NFT độc quyền, airdrop quản trị hoặc cơ hội yield farming yêu cầu kết nối ví và phê duyệt token.
• Tiện ích mở rộng trình duyệt ví bị xâm nhập: Tiện ích Chrome hoặc Firefox độc hại giả danh MetaMask hoặc công cụ quản lý ví, chèn yêu cầu phê duyệt giả vào các tương tác dApp hợp pháp mà người dùng không hay biết.
• Khai thác sự nhầm lẫn của người dùng về cơ chế phê duyệt: Kẻ lừa đảo lợi dụng việc đa số người dùng không hiểu sự khác biệt giữa phê duyệt giao dịch (ký một hành động duy nhất) và phê duyệt token (cấp quyền truy cập không giới hạn trong tương lai), sử dụng ngôn ngữ kỹ thuật nghe có vẻ hợp lý trong yêu cầu.
• Chiến dịch câu cá NFT hiếm: Kẻ tấn công tạo các nền tảng giao dịch NFT giả hoặc launchpad cung cấp bộ sưu tập hiếm, yêu cầu người dùng phê duyệt token để nhận hoặc đặt giá thầu, rồi ngay lập tức rút ví sau khi được phê duyệt.
• Lừa đảo qua thao túng giao diện người dùng/UI/UX: dApp giả mạo hiển thị mô tả giao dịch mơ hồ ('Xác nhận Hoán đổi,' 'Bật Giao dịch') trong khi ẩn số lượng phê duyệt thực tế, thường đặt giới hạn không giới hạn (type(uint256).max) trong mã.

Cách nhận biết

Bạn được yêu cầu phê duyệt một token cụ thể nhưng dApp lại tuyên bố cung cấp dịch vụ không liên quan (ví dụ mint NFT yêu cầu phê duyệt token quản trị mà bạn không sở hữu).
Yêu cầu phê duyệt hiển thị số lượng giới hạn rất cao hoặc 'không giới hạn' (hiển thị dưới dạng số rất lớn hoặc MAX trong chi tiết giao dịch).
URL giao dịch hoặc tên miền dApp bị sai chính tả nhẹ so với phiên bản chính thức (ví dụ 'uniswapp.org' thay vì 'uniswap.org').
Bạn nhận được màn hình xác nhận giao dịch không rõ ràng về nội dung phê duyệt hoặc không khớp với hành động bạn định thực hiện.
Số dư ví của bạn đột ngột giảm đối với các token bạn không trực tiếp chuyển đi, thường nhận thấy khi kiểm tra lịch sử ví và thấy các giao dịch bạn không khởi tạo.
Một dApp hoặc ví hợp pháp liên tục yêu cầu bạn phê duyệt lại cùng một token, trong khi lẽ ra chỉ cần phê duyệt một lần trừ khi giới hạn đã được sử dụng hết.

Cách tự bảo vệ

Luôn kiểm tra tên miền dApp bằng cách gõ trực tiếp vào trình duyệt thay vì nhấp vào liên kết từ mạng xã hội, Discord hoặc email — sử dụng công cụ xác minh tên miền blockchain như Revoke.cash để kiểm tra URL.
Sử dụng dịch vụ giám sát phê duyệt token như Revoke.cash hoặc tab Approvals trên Etherscan để thường xuyên kiểm tra tất cả các phê duyệt token đang hoạt động trong ví và thu hồi quyền với các dịch vụ không còn sử dụng.
Chỉ phê duyệt số lượng token cụ thể cần thiết cho một giao dịch thay vì cấp quyền không giới hạn; hầu hết dApp hợp pháp cho phép người dùng nhập số lượng phê duyệt tùy chỉnh.
Kích hoạt công cụ mô phỏng giao dịch như Tenderly hoặc tính năng Simulation của Etherscan trước khi ký bất kỳ giao dịch nào để xem chính xác điều gì sẽ xảy ra (token nào sẽ di chuyển và đi đâu).
Giữ token bạn không giao dịch thường xuyên trong ví lạnh riêng biệt (ví phần cứng như Ledger hoặc Trezor) không bao giờ kết nối với dApp, nhằm hạn chế rủi ro cho tài sản giá trị cao.
Thực hành chiến lược 'ví phân lớp': dùng một ví với số lượng nhỏ để tương tác và thử nghiệm dApp, đồng thời giữ một ví an toàn riêng biệt cho tài sản dài hạn, giảm thiểu tổn thất nếu một địa chỉ bị xâm phạm.

Ví dụ thực tế

Một người dùng thấy bài đăng trên Twitter quảng bá airdrop Ethereum L2 độc quyền với phần thưởng đảm bảo. Họ nhấp vào liên kết, kết nối ví MetaMask và thấy nút 'Claim Airdrop.' Trước khi xử lý, dApp yêu cầu quyền di chuyển token USDC của họ (họ tin rằng cần thiết để nhận airdrop). Người dùng phê duyệt quyền không giới hạn. Trong vòng 6 giờ, toàn bộ số dư 18.000 USD USDC của họ bị chuyển sang địa chỉ kẻ tấn công. Airdrop là giả; yêu cầu phê duyệt mới là cuộc tấn công thực sự.

Một quản trị viên Discord trong cộng đồng NFT nổi tiếng chia sẻ liên kết đến một thị trường NFT 'đã xác minh' cung cấp quyền truy cập sớm bộ sưu tập blue-chip. Người dùng kết nối ví được yêu cầu phê duyệt ETH để giao dịch. Giao diện hiển thị một giao dịch duy nhất, nhưng trong mã hợp đồng ẩn chứa phê duyệt không giới hạn cho một token khác (thường là token quản trị có giá trị mà thành viên nắm giữ). Hai ngày sau, nạn nhân phát hiện token quản trị Uniswap của họ bị rút sạch, tổng thiệt hại 25.000 USD trong nhóm bị ảnh hưởng.

Một nhà đầu tư nhận email lừa đảo nói rằng vị thế cho vay Aave của họ cần hành động ngay do 'điều chỉnh thanh khoản.' Email dẫn đến giao diện Aave giả (lỗi chính tả nhỏ ở tên miền). Đăng nhập và 'xác nhận' điều chỉnh kích hoạt yêu cầu phê duyệt token mà người dùng nghĩ là bảo trì thường xuyên. Kẻ tấn công sau đó âm thầm rút token đã phê duyệt trong tuần tiếp theo, khi nạn nhân ngừng theo dõi ví, chỉ phát hiện mất 34.000 USD trong lần rà soát danh mục đầu tư quý.

Câu hỏi thường gặp

Phê duyệt giao dịch và phê duyệt token khác nhau thế nào?

Phê duyệt giao dịch là ký một hành động cụ thể duy nhất (ví dụ hoán đổi 10 USDC lấy ETH). Phê duyệt token là cấp quyền cho hợp đồng thông minh được phép chuyển BẤT KỲ số lượng token đó từ ví bạn, nhiều lần, cho đến khi bạn thu hồi. Kẻ lừa đảo lợi dụng sự nhầm lẫn này khiến người dùng nghĩ họ chỉ ký một giao dịch một lần nhưng thực tế là cấp quyền truy cập không giới hạn.

Tôi có thể lấy lại token sau khi bị rút cạn không?

Việc lấy lại rất khó khăn khi token đã được chuyển đi. Giao dịch blockchain không thể đảo ngược, và kẻ tấn công nhanh chóng chuyển token qua các dịch vụ trộn (Tornado Cash) hoặc sàn phi tập trung. Lựa chọn duy nhất là liên hệ sàn nhận token nếu bạn biết nơi token được bán, nhưng điều này hiếm khi giúp thu hồi. Phòng ngừa qua quản lý phê duyệt hiệu quả hơn nhiều so với cố gắng lấy lại.

Nơi báo cáo — Việt Nam

Các kênh chính thức trong khu vực của bạn để báo cáo lừa đảo này.

Cục An toàn thông tin (Bộ TT&TT)

Tội phạm mạng

Cổng tiếp nhận phản ánh tin nhắn rác, cuộc gọi rác và lừa đảo trực tuyến.

Truy cập →

Bộ Công an - Cảnh báo lừa đảo

Báo cáo

Trang cảnh báo và tiếp nhận tố giác lừa đảo của Bộ Công an.

113 Truy cập →

Cục Cạnh tranh và Bảo vệ người tiêu dùng

Bảo vệ người tiêu dùng

Tổng đài bảo vệ người tiêu dùng — miễn phí cuộc gọi.

1800-6838 Truy cập →

Ngân hàng Nhà nước Việt Nam

Cơ quan tài chính

Báo cáo các trường hợp lừa đảo tài chính, ngân hàng, đầu tư bất hợp pháp.

Truy cập →

Nghi ngờ gặp phải lừa đảo này?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), lỗ hổng phê duyệt token: cách kẻ lừa đảo rút cạn ví web3 is described at https://scamlens.org/vi/encyclopedia/token-approval-exploit.

https://scamlens.org/vi/encyclopedia/token-approval-exploit

Bắt đầu từ đây

Kiểm Tra An Toàn

Tình Báo

Công Cụ & Báo Cáo

Dịch Vụ Cao Cấp

Tiện Ích & API