2025-12-25 18:23:45

Gần đây đã thấy nhiều cảnh báo về an toàn của USDD, sau khi nghiên cứu kỹ dữ liệu các vụ lừa đảo phishing xuất hiện đến năm 2025 và tình hình đăng ký tên miền độc hại, tôi nhận thấy một xu hướng rõ ràng — các trang web giả mạo ngày càng tinh vi hơn, mục tiêu cũng ngày càng chính xác hơn.

Những cuộc tấn công này có đặc điểm chính sau: thứ nhất, sử dụng công nghệ AI để tạo ra các trang giả cực kỳ chân thực, gần như có thể lừa đảo hầu hết mọi người; thứ hai, dùng các phương thức dụ dỗ mới như airdrop qua mạng xã hội, bỏ phiếu quản trị để nhắm mục tiêu chính xác; thứ ba, từ các hình thức đơn giản, thô sơ dần tiến tới các kiểu tấn công đa dạng, tinh vi hơn.

Dựa trên các hiện tượng này, tôi tổng hợp một bộ "Khung nhận diện phishing đa tầng", thực chất là từ nhiều góc độ để "bảo hiểm" cho tài sản của bạn. Khung này kết hợp tư duy phòng thủ sâu của an ninh mạng truyền thống, nhưng đã được điều chỉnh phù hợp với Web3 và blockchain, đặc biệt chú ý đến logic tương tác của DApp và tính đặc thù của chuyển giao tài sản trên chuỗi.

**Bốn cấp độ cốt lõi của khung này như sau:**

**Tầng 1: Tên miền và chứng chỉ** (Cơ sở kỹ thuật)
Đây là hàng rào phòng thủ trực diện nhất. Chủ yếu xem xét ba điểm: độ tương đồng của tên miền có sự khác biệt nhỏ nào không (ví dụ như nhầm lẫn chữ cái, thêm ký tự), tên miền chính thức và của các DApp phổ biến có bị giả mạo không, và các trang web độc hại có lợi dụng subdomain không. Tầng này rất quan trọng vì phần lớn người dùng vẫn truy cập vào phishing qua URL.

**Tầng 2: Nội dung và logic tương tác** (Góc độ nội dung)
Một số trang phishing làm rất chân thực, bạn cần quan sát xem quá trình tương tác trên trang có bất thường không. Ví dụ, quy trình chuyển khoản bình thường có khác gì so với trang đó không, các nút bấm có theo phong cách chính thức không, nội dung cảnh báo có lỗi ngôn ngữ hoặc cách diễn đạt kỳ lạ không.

**Tầng 3: Nhận diện mô hình hành vi** (Góc độ người dùng)
Chú ý đến những yêu cầu bất thường. Nếu một trang yêu cầu bạn nhập private key hoặc seed phrase, hoặc yêu cầu cấp quyền hợp đồng mà không rõ mục đích, hoặc tuyên bố có thể nhận token quản trị chỉ trong một cú nhấp, đó đều là tín hiệu nguy hiểm. Các tương tác bình thường của DApp sẽ không làm vậy.

**Tầng 4: Xác minh trên chuỗi** (Tầng blockchain)
Lớp phòng thủ cuối cùng là xác thực trên chuỗi. Trước khi gửi giao dịch, xác nhận xem địa chỉ nhận có thực sự thuộc về chính thức hoặc đối tác đáng tin cậy không, dùng trình duyệt blockchain để kiểm tra lịch sử giao dịch, xem độ uy tín và hoạt động của địa chỉ đó.

Lợi ích của khung này là giúp người dùng từ việc phòng vệ ở cổng vào, nhận diện nội dung, đánh giá hành vi cho đến xác minh cuối cùng trên chuỗi, xây dựng một hệ thống phòng thủ toàn diện. Không dựa vào một công cụ an ninh đơn lẻ, mà dựa trên quan sát đa chiều để nâng cao ý thức bảo vệ tài sản.

Khuyên mọi người khi tham gia bất kỳ hoạt động nào liên quan đến USDD đều nên qua 4 bước kiểm tra này. Đặc biệt khi thấy các đề nghị airdrop, bỏ phiếu, cam kết lợi nhuận cao hấp dẫn, cần cẩn trọng hơn. Các trang do AI tạo ra thật sự có thể lừa đảo, nhưng chỉ cần bạn quen dần với việc kiểm tra từng lớp một, khả năng bị lừa sẽ giảm đáng kể.

Xem bản gốc

Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.

9 thích

Phần thưởng
9
5
Đăng lại
Retweed

Bình luận

0/400

WhaleMinion

· 16giờ trước

卧槽AI生成钓鱼页面这么离谱了吗，我上次差点点进去... --- 四层检查听着靠谱，就是太费脑子了哈哈 --- 这下懂了为啥这么多人被钓，页面真的做得跟官方一样 --- 私钥和助记词真的别随便输入，这句话得大写加粗 --- 我就想问，有没有啥工具能自动检查啊，手动太累 --- 链上查证这块确实救过我好几次，推荐大家养成这习惯 --- 空投陷阱真的层出不穷，特别是治理投票那种 --- 不过说实话，多数人连第一层都没看清就登进去了 --- AI这东西太狠了，连个细节都做得跟真的一样

Trả lời0

DAOdreamer

· 16giờ trước

Nói về các trang phishing do AI tạo ra thật sự đáng sợ, tôi suýt nữa đã mắc lừa Khung kiểm tra bốn lớp thực sự là kiến thức quý giá, đặc biệt là bước nhập khóa riêng, nhìn là biết ngay là tín hiệu đỏ Nhưng thành thật mà nói, phần lớn mọi người có thể không nuôi dưỡng được thói quen này... đơn giản và thẳng thắn hơn là dùng ví phần cứng thì không ngon sao Sau lần bị lừa đảo airdrop ban đầu, tôi đã không còn tin vào "nhận một lần nhấn" nữa Bước xác thực trên chuỗi trước đây tôi chưa chú trọng, cần phải học lại thôi

Xem bản gốcTrả lời0

SigmaBrain

· 17giờ trước

Khung khổ này không có gì sai, nhưng thành thật mà nói, phần lớn mọi người sẽ không kiểm tra theo bốn lớp này, chỉ nhìn thấy airdrop là lao vào ngay Trang AI lừa đảo thực sự xuất sắc, lần trước tôi suýt bị lừa, may mà phản ứng nhanh Chủ yếu vẫn là phải hình thành thói quen, nếu không thì dù có nhiều khung cũng vô ích

Xem bản gốcTrả lời0

BearMarketSurvivor

· 17giờ trước

Ừ... Cấu trúc này thực sự đáng tin cậy, gần đây tôi cũng đã bị dọa một lần, tên miền chỉ thiếu một chữ cái là suýt nữa bị lừa Việc AI phishing thật sự không thể xem thường, trang web nhận coin chỉ cần nhấn một cái tôi đã báo cáo ngay, không ai có thể qua mặt Phương pháp kiểm tra bốn lớp tôi phải ghi chú lại, để tránh ngày nào đó nóng vội nhấn vào liên kết giả Thật lòng mà nói, đây mới là thái độ an toàn đúng đắn, đáng tin cậy hơn bất kỳ công cụ an toàn nào, tự mình phải biết suy nghĩ USDD hiện tại thực sự rất phức tạp, vẫn cần phải suy nghĩ thêm một giây nữa Airdrop và các khoản lợi nhuận cao thật sự cần cảnh giác, về cơ bản đều là mồi nhử không thoát được Gã này phân tích rất chi tiết, còn hay hơn nhiều lời khuyên an toàn của các V lớn

Xem bản gốcTrả lời0

StakeTillRetire

· 17giờ trước

Ừ thì nói đi cũng phải nói lại, giờ các phương pháp lừa đảo tinh vi thật sự phải chú ý rồi, kiểu nhận coin chỉ bằng một cú nhấn tôi đã không còn tin nữa rồi

Xem bản gốcTrả lời0