Cày Airdrop Cả Năm Trời, Mất Sạch Ví Chỉ Trong 3 Giây Ký Nhầm

Cày Airdrop Cả Năm Trời, Mất Sạch Ví Chỉ Trong 3 Giây Ký Nhầm

Cách phân biệt airdrop thật với bẫy rút ví, và vì sao chính văn hóa “cày” khiến dân Việt Nam dễ dính nhất

Cập nhật tháng 7/2026
Tóm tắt nhanh cho người bận

Dấu hiệuAirdrop thậtAirdrop giả
Yêu cầu tiền/gas trướcKhông bao giờ, gas tự trả từ ví bạn lúc claimBắt nộp phí “mở khóa”, “gas trước” vào một địa chỉ khác
Yêu cầu cụm từ khôi phục (seed phrase)Không bao giờ hỏiNúp bóng “xác minh ví”, “kết nối kiểm tra điều kiện”
Nơi claimDomain chính chủ dự án, có trong docs/GitHubLink quảng cáo, DM lạ, domain viết sai một chữ
Áp lực thời gianCó cửa sổ claim vài tuần đến vài tháng“Còn 2 giờ nữa hết hạn”
Nội dung chữ ký yêu cầuGọi đúng hàm claim, số lượng rõ ràngPermit/Approve không giới hạn, hoặc hex không đọc được

Việt Nam là một trong những nơi văn hóa “cày airdrop” (farming) mạnh nhất thế giới, hàng loạt ví, hàng loạt kèo, kết nối và ký liên tục mỗi ngày. Nhưng chính sự cần cù đó lại biến bạn thành mục tiêu dễ nhắm nhất, vì thói quen bấm “Connect” rồi bấm “Ký” không suy nghĩ đã trở thành phản xạ. Chợ bot bán “công cụ cày airdrop” trên Telegram đang tràn ngập hàng giả núp bóng hàng thật. Bài này đi sâu vào cách một airdrop thật thực sự vận hành, cơ chế kỹ thuật khiến một chữ ký có thể rút sạch ví, các vụ lừa đảo cụ thể đã xảy ra trong 2025-2026, và một quy trình claim an toàn dành riêng cho người cày nhiều ví.

Sơ đồ an toàn khi claim airdrop: kết nối ví chỉ lộ địa chỉ và khá an toàn, nhưng cửa sổ ký mới là thời điểm nguy hiểm thật sự — phải đọc kỹ nội dung chữ ký, dữ liệu hex vô nghĩa hoặc phê duyệt không giới hạn từ dApp lạ là dấu hiệu dừng lại, và airdrop thật không bao giờ đòi cụm từ khôi phục, chuyển tiền trước hay phí gas trả trước.
Kết nối khá an toàn. Ký mới là thời điểm drainer thực sự chiến thắng — đọc kỹ trước khi bấm.

1. Airdrop thật vận hành thế nào: snapshot quá khứ, TGE, và vì sao dân cày airdrop Việt Nam luôn phải “đoán” dự án tiếp theo

Airdrop thật chạy đúng một kịch bản đã định sẵn từ trước, không hề có cửa nào để xin xỏ hay năn nỉ xin thêm suất cả. Dự án âm thầm chụp lại một “ảnh chụp” (snapshot) hoạt động on-chain của ví bạn tại một hoặc nhiều mốc thời gian đã qua: bạn swap bao nhiêu lần, ví đó tương tác với những giao thức nào, nắm giữ bao lâu, có chạy testnet không, có bridge qua lại giữa các chain không. Việc bạn đủ điều kiện hay không đã được chốt từ trước đó rồi, tính ngược về quá khứ. Không có chuyện “nộp đơn xin thêm vào danh sách” sau khi mốc snapshot đã qua, dự án cũng chẳng buồn giải thích tại sao ví bạn trượt.

Sau snapshot là TGE, viết tắt của Token Generation Event, tức thời điểm token thực sự được tạo ra và mở cho claim. Quy trình đúng chỉ có một đường đi: vào domain chính thức của dự án, đối chiếu với link trong bio X hoặc docs/GitHub của họ, kết nối ví, rồi ký một giao dịch claim gọi đúng hợp đồng đã qua kiểm toán. Ví bạn tự trả gas cho giao dịch đó luôn, không hơn không kém.

Nhưng dân cày Việt Nam khổ nhất ở chỗ gần như chẳng dự án nào chịu công bố trước tiêu chí snapshot sẽ là gì. Bạn không biết testnet nào rồi sẽ ra token, giao thức DeFi nào sẽ “trả ơn” người dùng sớm, nên chiến thuật phổ biến là rải vốn tương tác với càng nhiều dự án tiềm năng càng tốt, chạy nhiều ví cùng lúc, cày nhiều nhiệm vụ, rồi cứ chờ tin đồn nổ ra là lao vào claim ngay lập tức. Nửa đêm thấy tin đồn “dự án X sắp mở claim” nổi lên trong group, tay bấm link nhanh hơn mắt kịp đọc domain, mười cái tab claim mở song song trên mười dự án khác nhau, ví nào cũng vội ký cho kịp giờ. Web giả cứ chờ đúng khoảnh khắc đó mà chen vào, lúc bạn đang cày nhiều kèo cùng lúc, đầu óc mụ đi vì hoang mang không rõ kèo nào thật, để rồi bấm nhầm đúng một link tưởng quen mặt.

2. Connect và Sign khác nhau một trời một vực, ranh giới mà đa số thợ cày airdrop không để ý

Đa số người cày airdrop gộp chung “kết nối ví” (connect wallet) và “ký” (sign) thành một thao tác duy nhất trong đầu: bấm nút, ví hiện popup, bấm tiếp, xong việc. Thực tế hai bước này cách nhau một trời một vực về mức độ rủi ro.

Bước connect, tức bấm “Connect Wallet” rồi chọn MetaMask, Trust Wallet hay OKX Wallet, thực chất chỉ để trang web đọc được địa chỉ công khai của ví bạn, đúng cái địa chỉ mà ai cũng gõ được lên Etherscan hay BscScan để soi sẵn từ trước rồi. Trang web độc hại lắm thì cũng chỉ moi thêm được vài dữ liệu kiểu ví này đang ôm bao nhiêu token, từng quẹt qua sàn hay giao thức nào, từng cày kèo gì trước đây, để dựng kịch bản dụ dỗ tiếp theo cho sát hơn thôi. Đụng vào một xu trong ví thì riêng bước connect chưa làm được, muốn rút tiền phải qua bước tiếp theo dưới đây.

Khoảnh khắc nguy hiểm thật sự nằm ở lúc ví hiện lên cửa sổ yêu cầu bạn ký. Lúc này bạn đang dùng private key của mình tạo ra một chữ ký mật mã học. Tùy nội dung được ký, chữ ký đó có thể trở thành giấy ủy quyền cho một hợp đồng thông minh rút bất kỳ lượng token nào khỏi ví bạn, bất cứ lúc nào, mà không cần bạn ký thêm lần thứ hai, và bước ký này không đẩy giao dịch nào lên blockchain ngay lúc đó cả. Chữ ký cứ nằm im chờ kẻ tấn công dùng tới, nên rất nhiều nạn nhân ký xong chẳng thấy gì xảy ra, ví vẫn nguyên, cho tới khi kẻ gian ra tay rút sạch vài giờ hoặc vài ngày sau đó.

3. Giải phẫu một chữ ký độc hại: eth_sign, personal_sign, EIP-712 và Permit2

Ví của bạn có vài kiểu yêu cầu ký khác nhau, và mỗi kiểu hiện lên màn hình một kiểu khác nhau:

Loại yêu cầuVí hiển thị gìMức rủi roGhi chú
Connect (kết nối)Chỉ hỏi cho phép xem địa chỉThấpKhông di chuyển được tài sản, chỉ lộ địa chỉ
eth_signMột chuỗi hex 32 byte, đọc không nổiCao nhấtMetaMask thường bật cảnh báo đỏ vì kiểu này ký được gần như bất kỳ nội dung nào
personal_signMột đoạn văn bảnTrung bìnhNội dung thật có thể giấu trong văn bản, đọc lướt vẫn dễ bỏ sót
EIP-712 (eth_signTypedData_v4)JSON có cấu trúc, đọc được từng trườngTrung bình nếu đọc lướt, thấp nếu đọc kỹPhải soi kỹ từng trường, vì dữ liệu lồng nhau vẫn có thể giấu điều bất thường
Permit / Permit2Yêu cầu ủy quyền token, thường ghi “unlimited”CaoTrong 11 vụ thiệt hại trên 1 triệu đô của năm 2025, đúng 3 vụ bắt nguồn từ chữ ký Permit/Permit2, nhưng gộp lại 3 vụ đó đã ăn mất 38% tổng giá trị của cả nhóm vụ lớn (khoảng 8,72 trên 22,98 triệu đô, theo Scam Sniffer). Vì sao chỉ một chữ ký thôi mà ăn đứt cả ví như vậy? Đơn giản: bạn ký đúng một lần, off-chain, ví không hề bắn thêm giao dịch approve nào lên mạng để bạn kịp để ý, còn tiền on-chain thì cứ nằm đó, kẻ gian muốn rút lúc nào cũng được, có khi ngay hôm sau, có khi vài tháng sau mới ra tay

Thấy ví hiện ra một khối hex dài ngoằng không đọc nổi, hoặc một dòng “Approve unlimited” cho một dApp bạn chưa từng nghe tên? Dừng lại ngay, đừng bấm tiếp. Một permit hợp lệ luôn ghi rõ số lượng token cụ thể và đúng địa chỉ hợp đồng bạn đang tương tác. Nếu con số đó là “không giới hạn” (infinite) trên một trang claim bạn mới vào lần đầu, khả năng đó là bẫy cao hơn hẳn khả năng đó là một yêu cầu hợp lệ. Chỉ 3 trên 11 vụ nghe có vẻ ít, nhưng chính vì mỗi vụ Permit/Permit2 thường “ăn” gọn cả ví trong một lần ký duy nhất, không cần nạn nhân thao tác thêm gì, nên giá trị trung bình mỗi vụ mới bị đội lên cao hơn hẳn các kiểu tấn công khác.

4. Ví cứng cũng không cứu bạn nếu bạn ký mà không đọc

Nhiều người tin cắm ví cứng (Ledger, Trezor) vào là coi như bất khả xâm phạm. Ví cứng đúng là giữ private key tách rời khỏi máy tính hay điện thoại đang có nguy cơ dính malware, đó là điểm mạnh có thật của nó. Nhưng ví cứng không đọc hộ bạn nội dung mình đang ký, cũng chẳng tự động từ chối một permit vô lý nào cả.

Vụ Bybit tháng 2/2025 là ví dụ rõ nhất cho việc này, dù xảy ra ở quy mô tổ chức chứ không phải cá nhân. Đây là vụ trộm crypto lớn nhất lịch sử, 1,5 tỷ đô bị rút sạch. Kẻ tấn công, nhóm Lazarus dùng kỹ thuật TraderTraitor, không hề bẻ khóa ví cứng nào. Chúng xâm nhập máy tính của một lập trình viên bên Safe{Wallet}, nhà cung cấp ví multisig mà Bybit đang dùng, rồi tiêm mã JavaScript độc hại vào đúng màn hình ký. Giao dịch hiện ra trên màn hình trông y hệt một giao dịch nội bộ bình thường, trong khi đích đến thật đã bị đổi từ trước. Người ký duyệt cuối cùng nhìn màn hình, thấy có vẻ ổn, rồi bấm xác nhận ngay trên chính thiết bị phần cứng của mình.

Bài học rút ra: ví cứng bảo vệ private key khỏi bị đánh cắp trực tiếp, nhưng nếu bạn, hay kể cả một tổ chức chuyên nghiệp, ký duyệt những gì hiển thị trên màn hình mà không đối chiếu kỹ địa chỉ đích, số lượng, và hàm được gọi, phần cứng không cứu được bạn đâu. Sau vụ Bybit, nhiều sàn và quỹ lớn đổi hẳn quy trình nội bộ: bắt buộc xác minh địa chỉ đích qua một kênh tách biệt hoàn toàn với màn hình ký (gọi điện trực tiếp, đối chiếu qua kênh liên lạc riêng đã xác thực từ trước) rồi mới bấm duyệt trên ví cứng, thay vì tin vào những gì hiện lên ngay trên màn hình giao dịch.

5. Những cú lừa airdrop chấn động 2025-2026 trên thế giới

Số tiền và ngày tháng mình liệt kê dưới đây đều có thật, không phải mình bịa ra để hù dọa ai cho bài thêm nặng ký. Mình lượm lại từ các báo cáo bảo mật công khai suốt 2025-2026, rồi xếp thành ba nhóm cho dễ hình dung: một nhóm xảy ra ở quy mô sàn/tổ chức lớn, một nhóm xảy ra qua tiện ích hay ứng dụng cài thẳng trên máy người dùng, và nhóm cuối là chuyện của đúng một người bình thường, có khi cũng đang lướt Zalo cày kèo y như bạn.

Ở cấp tổ chức, vụ nặng nhất vẫn là Bybit ngày 21/2/2025, 1,5 tỷ đô bị rút trong một lần duy nhất, như đã kể ở phần trên. Bybit bị lừa qua một màn hình ký bị làm giả. Vụ Bybit chứng minh một điều dùng được cho cả một trang claim airdrop giả ở quy mô nhỏ hơn nhiều: màn hình ký có thể bị làm giả trông y hệt hàng thật, còn giao dịch thật phía sau lại đi một hướng khác hẳn những gì bạn nhìn thấy. Cùng năm đó, sàn Upbit của Hàn Quốc bị rút mất tài sản trên Solana trị giá khoảng 44,5 tỷ won, tương đương 30 triệu đô, chỉ trong 54 phút vào ngày 27/11/2025 (04:42 đến 05:36 sáng), đúng sáu năm sau lần Upbit từng mất 342.000 ETH cũng vào một ngày 27/11 y hệt. Con số ban đầu báo chí Hàn đưa ra là 54 tỷ won, sau đó sàn tính lại theo giá tài sản đúng thời điểm bị rút và chốt về 44,5 tỷ won. Bóc tách con số này ra thì rõ hơn: trong 44,5 tỷ won đó, 38,6 tỷ won là tài sản của người dùng, được Upbit hoàn trả đầy đủ ngay từ quỹ dự phòng riêng của sàn, còn 5,9 tỷ won còn lại là chính vốn của Upbit cũng bị cuốn theo trong cùng một vụ (nên chẳng có ai để đền khoản này, sàn tự gánh luôn). Cũng nằm trong tổng 44,5 tỷ won bị lấy đi ấy, 2,3 tỷ won được các đơn vị truy vết blockchain phong tỏa kịp trước khi kẻ gian rửa trót lọt, coi như phần thiệt hại thực tế cuối cùng đỡ đi được một chút. Nhà chức trách Hàn Quốc nghi ngờ Lazarus, cùng nhóm hacker Triều Tiên đứng sau vụ 2019. Vụ Upbit cho thấy tốc độ thiệt hại nhanh tới mức nào một khi kẻ tấn công đã lọt được vào một kênh nào đó, và ngay cả một sàn lớn cũng chỉ phong tỏa lại được một phần rất nhỏ trong tổng số tiền mất.

Ở cấp tiện ích và ứng dụng cài trên máy người dùng, hai vụ đáng chú ý nhất liên quan trực tiếp tới ví. Từ cuối tháng 9 đến giữa tháng 11/2025, một tiện ích ví giả mang tên “Safery: Ethereum Wallet” tồn tại công khai trên Chrome Web Store suốt nhiều tuần liền, vượt qua được kiểm duyệt của Google. Nó mã hóa cụm từ khôi phục người dùng nhập vào thành các giao dịch vi mô 0,000001 SUI trên mạng Sui rồi gửi đi, biến chính blockchain thành kênh rò rỉ cụm từ khôi phục. Mỗi giao dịch vi mô như vậy gửi đi đồng nghĩa với một cụm từ khôi phục đã lộ hoàn toàn, và Google chỉ gỡ tiện ích này xuống sau khi cộng đồng bảo mật rà soát và báo cáo hàng loạt, tức là sau nhiều tuần nó đã âm thầm hoạt động. Đến ngày 24/12/2025, tới lượt Trust Wallet, một thương hiệu ví thật và có tên tuổi, bị kẻ tấn công đánh cắp secrets trên GitHub cùng API key của tài khoản Chrome Web Store, rồi phát tán một bản “cập nhật chính thức” độc hại qua đúng kênh phân phối hợp lệ. Thiệt hại ước tính 7 đến 8,5 triệu đô, hơn 2.500 ví bị ảnh hưởng, và Trust Wallet sau đó phải ra thông báo khẩn khuyến cáo toàn bộ người dùng nghi bị ảnh hưởng chuyển tài sản sang ví mới ngay lập tức.

Ở cấp cá nhân, một nhà sáng tạo nội dung người Brazil tên Augusto Backes đã công khai kể lại việc mình bị lừa mất khoảng 1 triệu real Brazil, tương đương 180.000 đến 200.000 đô, qua một vụ lừa airdrop. Anh có kinh nghiệm, có tầm ảnh hưởng trong cộng đồng, và vẫn dính bẫy như thường. Thay vì im lặng, anh chọn quay video kể lại toàn bộ diễn biến cú lừa cho hàng chục nghìn người theo dõi mình, đúng thứ tự anh đã bấm và ký.

Kẻ lừa đảo còn sẵn sàng mượn cả danh nghĩa cơ quan công quyền để dụ mồi. Ngày 19/3/2026, FBI Mỹ phải ra cảnh báo chính thức về một token giả mạo mang tên “FBI Token” trên mạng TRC-20 của Tron, mượn chính tên cơ quan điều tra để câu người dùng claim. Bốn ngày sau đó, ngày 23/3/2026, ngay khi Backpack vừa mở claim 25% token dành cho cộng đồng trong đợt TGE, chỉ vài giờ sau đã có hàng loạt website giả sao chép gần như y hệt giao diện claim thật, đánh đúng vào lúc cộng đồng đang háo hức tìm kiếm ồ ạt.

6. Về Việt Nam: nhóm Zalo, kèo Telegram, và cảnh báo từ cơ quan công an

Ở Việt Nam, các nhóm Zalo và kênh Telegram “kèo airdrop”, “cộng đồng cày airdrop”, “airdrop farming VN” là nơi phần lớn dân cày lấy tin. Đây cũng là nơi bot lừa đảo hoạt động dày đặc nhất, vì mật độ người quan tâm airdrop ở Việt Nam thuộc hàng cao nhất thế giới, và văn hóa “cày” khiến việc kết nối ví, bấm ký liên tục vào các trang mới trở thành một phản xạ lặp đi lặp lại mỗi ngày chứ không còn là một hành động cẩn trọng nữa. Người cày nhiều kèo cùng lúc hiếm khi dừng lại đọc kỹ nội dung mình sắp ký, vì càng lướt nhanh càng kịp bắt được nhiều kèo hơn.

Trong các nhóm này, chiêu phổ biến là bot tự xưng admin nhắn riêng (“kèo mới, claim gấp trong link này”), hoặc chèn link giả vào ngay dưới một bài thông báo thật của admin, khiến người đọc lướt nhanh dễ bấm nhầm. Có cả trường hợp bot mạo danh chính công cụ “airdrop checker” (nơi bạn thường dán địa chỉ ví để kiểm tra mình có đủ điều kiện nhận token của một dự án nào đó không); bản giả yêu cầu “kết nối và xác minh” rồi xin một chữ ký permit không giới hạn núp dưới danh nghĩa “xác minh điều kiện”.

Công an và các đơn vị an ninh mạng trong nước đã nhiều lần lên tiếng cảnh báo người dân về tình trạng lừa đảo qua mạng xã hội, trong đó có các nhóm Zalo, Telegram mạo danh dự án hoặc sàn giao dịch để mời chào đầu tư, airdrop, và dụ nạn nhân chuyển tiền hoặc kết nối ví vào các link giả mạo. Thông điệp chung luôn là: không có tổ chức chính danh nào yêu cầu bạn gửi tiền trước hoặc cung cấp cụm từ khôi phục để “nhận thưởng”.

Chợ bán tool tự động (auto-claim bot, auto-connect script) trên Telegram cũng khá sôi động trong cộng đồng cày kèo Việt Nam, và không ít trong số đó bản thân lại là hàng giả, bán “bot claim airdrop tự động” nhưng thực chất cài sẵn logic tự động approve permit không giới hạn ngay khi bạn nhập private key vào để bot “chạy hộ”.

7. 6 kiểu airdrop giả đang len lỏi trong các group kèo airdrop bạn tham gia

Xếp theo đúng mức độ gặp nhiều hay ít trong các group kèo tiếng Việt, chứ không xếp theo thứ tự ngẫu nhiên, sáu kiểu airdrop giả sau là lặp đi lặp lại nhiều nhất:

1. Dusting attack (rắc bụi token). Một lượng token lạ, nhỏ, không ai xin, tự dưng xuất hiện trong ví. Mồi nhử là sự tò mò kiểu “token này trị giá bao nhiêu vậy ta”, “thử swap xem sao”. Tương tác với nó, nhất là bấm vào một dApp lạ để “kiểm tra giá trị”, chính là bước dẫn tới ký một hợp đồng độc hại. Đây là kiểu gặp nhiều nhất vì ví của dân cày nhiều kèo luôn có sẵn hàng chục token linh tinh, rất dễ tặc lưỡi bấm thử một cái.

2. Bot mạo danh admin hoặc chiếm quyền kênh chính chủ. Trong group Zalo/Telegram, bot tự nhắn riêng xưng là admin (“kèo mới, claim gấp link này”), hoặc kênh Discord/X/Telegram thật của một dự án bị chiếm quyền để đăng thông báo “mở claim” giả ngay trên chính kênh cộng đồng vẫn tin tưởng bấy lâu.

3. Web giả mạo TGE thật. Chạy quảng cáo Google/Facebook hoặc gửi link phishing y hệt trang claim của một dự án sắp hoặc vừa TGE thật, chỉ khác domain đúng một ký tự.

4. App di động giả mạo công cụ kiểm tra airdrop. Đội lốt “airdrop checker” thật, yêu cầu nhập cụm từ khôi phục để “quét toàn bộ ví xem đủ điều kiện nhận những gì”. Không một công cụ hợp lệ nào cần tới bước này cả.

5. Tiện ích ví trình duyệt giả. Như Safery kể trên, đóng gói y hệt ví thật, thậm chí nằm được trên store chính thức nhiều tuần liền.

6. Áp lực khẩn cấp cộng phí trả trước. “Còn 2 tiếng nữa hết hạn claim”, kèm yêu cầu chuyển một khoản “phí gas” hoặc “phí mở khóa” tới một địa chỉ khác trước khi được nhận token. Đây luôn luôn là giả, claim thật không bao giờ cần bạn trả trước cho ai, gas luôn tự trừ từ ví bạn ngay lúc ký.

8. Bảng test nhanh: airdrop thật hay giả, nhìn vào đâu trong 10 giây

Không cần đọc hết bài này mỗi lần gặp một trang claim mới, chỉ cần nhìn vào 5 điểm sau trong 10 giây:

Tiêu chíAirdrop thậtAirdrop giả
Yêu cầu tiềnKhông, gas tự trả từ ví bạn khi kýĐòi phí gas/phí mở khóa trả trước cho địa chỉ khác
Yêu cầu thông tinChỉ cần địa chỉ ví + lịch sử on-chain có sẵnĐòi cụm từ khôi phục, private key, hoặc “kết nối xác minh” xin duyệt vô hạn
Nơi claimDomain chính chủ, có dẫn từ docs/GitHub dự ánLink quảng cáo, tin nhắn riêng, tài khoản mạo danh
Áp lực thời gianCửa sổ claim kéo dài vài tuần tới vài tháng“Hết hạn trong vài giờ”
Nội dung chữ kýGhi rõ hàm claim, số lượng cụ thểPermit/Approve không giới hạn, hoặc hex không đọc được

9. Thống kê 2025-2026: cái gì đang giảm, cái gì vẫn đang tăng

Trước khi đọc bảng số dưới đây, cần tách rõ một chuyện hay bị nhập nhằng: “Chainalysis 2026” là tên báo cáo phát hành đầu năm 2026, nhưng số liệu bên trong nói về năm 2025. “CertiK H1 2026” thì ngược lại, vừa ra mắt tháng 7/2026, nói về đúng sáu tháng đầu năm 2026 vừa khép lại. Gộp chung “2026” cho cả hai dễ khiến người đọc tưởng nhầm một trong hai là số liệu cũ. Bảng dưới ghi rõ cột “Giai đoạn dữ liệu” để tránh nhầm lẫn đó.

Giai đoạn dữ liệuChỉ sốCon sốNguồn (năm phát hành báo cáo)
Cả năm 2024Tổng thiệt hại do drainer chữ ký494 triệu đô (332.000 ví nạn nhân)Scam Sniffer (đầu 2025)
Cả năm 2025Tổng thiệt hại do drainer chữ ký83,85 triệu đô, giảm 83% so 2024 (106.106 nạn nhân, giảm 68%)Scam Sniffer (1/2026)
Cả năm 2025Tổng thiệt hại scam/lừa đảo crypto toàn ngành17 tỷ đô (trung bình 2.764 đô/nạn nhân, tăng 253% giá trị trung bình mỗi vụ)Chainalysis Crypto Crime 2026 (1/2026, dữ liệu 2025)
Cả năm 2025Vụ xâm phạm ví cá nhân158.000 vụ (80.000 nạn nhân)Chainalysis (dữ liệu 2025)
Cả năm 2025Tăng trưởng scam mạo danh (impersonation)tăng hơn 1.400% so cùng kỳChainalysis (dữ liệu 2025)
Nửa đầu 2025 (H1)Thiệt hại phishing410 triệu đô (132 vụ)CertiK Hack3D (7/2025, dữ liệu H1 2025)
Nửa đầu 2026 (H1)Tổng thiệt hại an ninh Web3 (mọi hình thức hack, phishing, drainer cộng lại)1,31 tỷ đô (344 vụ)CertiK Hack3D H1 2026 (7/2026)
Nửa đầu 2026 (H1)Thiệt hại do ví bị xâm phạm (wallet compromise), hạng mục tốn kém nhất kỳ này444 triệu đô, chỉ từ 33 vụCertiK Hack3D H1 2026
Nửa đầu 2026 (H1)Thiệt hại phishing366,3 triệu đô (63 vụ, giảm 52,3% số vụ so H1 2025 nhưng chỉ giảm 10,8% giá trị thiệt hại)CertiK Hack3D H1 2026

Con số Scam Sniffer cho cả năm 2025 đúng là tin mừng nếu đọc một mình: thiệt hại giảm từ 494 xuống 83,85 triệu đô, tức giảm 83%, số nạn nhân giảm 68% còn 106.106 người. Nhìn theo từng quý thì thấy rõ thiệt hại bám sát nhịp thị trường chứ không giảm đều: quý 1 mất 21,94 triệu đô (hơn 22.000 nạn nhân), quý 2 giảm còn 17,78 triệu đô (khoảng 21.000 nạn nhân), quý 3 vọt lên 31,04 triệu đô với 40.000 nạn nhân đúng lúc Bitcoin và Ethereum đang trong đợt tăng giá mạnh nhất năm, rồi quý 4 hạ xuống mức thấp nhất năm là 13,09 triệu đô. Vụ đơn lẻ lớn nhất năm 2025 là 6,5 triệu đô mất trong tháng 9 vì một chữ ký Permit độc hại. Số vụ thiệt hại trên 1 triệu đô cũng giảm mạnh, chỉ còn 11 vụ so với 30 vụ của năm 2024, cho thấy kiểu tấn công rải mạng lưới rộng, nhắm số đông đang bớt hiệu quả hơn trước. Nhưng 11 vụ đó cộng lại vẫn chiếm 22,98 triệu đô, tức 27% tổng thiệt hại cả năm, dồn vào đúng 11 nạn nhân trong khi 106.095 nạn nhân còn lại chia nhau phần còn lại; trong 11 vụ này, 3 vụ xuất phát từ chữ ký Permit/Permit2 (đã nói ở phần chữ ký phía trên) chiếm riêng 38% giá trị của nhóm 11 vụ đó, phần còn lại rải rác giữa drainer thường và các kiểu chiếm quyền ví khác.

Nhưng báo cáo CertiK cho nửa đầu 2026 lại kể một câu chuyện khác hẳn, và đây mới là phần đáng để dân cày airdrop Việt Nam để tâm nhất. Tổng thiệt hại an ninh Web3 nửa đầu 2026 là 1,31 tỷ đô, nhìn qua có vẻ giảm gần 47% so với 2,47 tỷ đô của nửa đầu 2025, nhưng con số nửa đầu 2025 bị một vụ duy nhất, Bybit 1,5 tỷ đô kể ở phần trên, kéo lên chiếm khoảng 61% tổng thiệt hại kỳ đó. Nếu loại vụ Bybit ra để so sánh cho công bằng, phần thiệt hại “nền” của nửa đầu 2025 chỉ còn khoảng 0,97 tỷ đô, và như vậy thiệt hại nửa đầu 2026 thực ra tăng khoảng 35% so với cùng kỳ, tức là ngành này không hề an toàn hơn, chỉ là không có một vụ khổng lồ đơn lẻ nào che khuất bức tranh tổng thể. Lần đầu tiên, hạng mục ví bị xâm phạm (wallet compromise) vượt qua phishing để trở thành nguyên nhân tốn kém nhất, 444 triệu đô chỉ từ 33 vụ, tức trung bình mỗi vụ thiệt hại cỡ 13,5 triệu đô. Còn phishing tuy giảm mạnh về số vụ (63 vụ so với 132 vụ của H1 2025, giảm 52,3%) nhưng giá trị thiệt hại chỉ giảm 10,8%, và chỉ 4 vụ lớn nhất đã chiếm khoảng 85% tổng thiệt hại phishing của cả nửa năm. Kẻ tấn công giờ dò trước ví nào đang ôm số dư lớn rồi nhắm thẳng vào từng ví một mỗi đợt ra tay, khác hẳn kiểu rải mạng bắt số đông trước đây. Một dân cày airdrop bình thường tuy ít bị chọn hơn về số lượng vụ, nhưng nếu ví cày đó chẳng may đang ôm một khoản tài sản đáng kể, mức thiệt hại một khi dính bẫy sẽ nặng hơn hẳn so với kiểu tấn công dàn trải của 2024-2025.

Hệ sinh thái Drainer-as-a-Service, tức thuê trọn gói kịch bản lừa đảo rồi chia phần trăm doanh thu, vẫn chưa hề biến mất dù số liệu tổng có vẻ đẹp hơn. Inferno Drainer, tính tới tháng 5/2025 trong 6 tháng gần nhất, vẫn ghi nhận hơn 30.000 nạn nhân mới và hơn 9 triệu đô thiệt hại mới (tự nhận lũy kế lịch sử hơn 250 triệu đô). Pink Drainer, trước khi tuyên bố ngừng hoạt động, để lại lũy kế hơn 85 triệu đô và hơn 21.000 nạn nhân. Thêm một vector đáng lo mới xuất hiện sau bản nâng cấp Pectra của Ethereum (mang theo EIP-7702): một chữ ký duy nhất giờ có thể mở đường cho nhiều giao dịch độc hại liên tiếp, thay vì dừng lại ở một lần rút như trước. Và đầu 2026, giới bảo mật còn ghi nhận thêm kiểu “zero-value transfer”, tức gửi giao dịch trị giá 0 đồng để đầu độc lịch sử ví nạn nhân, với hơn 100 triệu lượt gửi kiểu này chỉ riêng trên BNB Smart Chain, tốn gần như không đồng phí cho kẻ tấn công nên có thể tự động hóa ở quy mô cực lớn.

10. Checklist claim an toàn từng bước cho dân cày nhiều ví

Đây là quy trình mình dùng mỗi lần thấy một kèo airdrop mới, dù tin đồn có hot đến đâu:

Bước 1: Xác minh domain qua kênh chính chủ. Không bấm link trong nhóm Zalo/Telegram/DM. Mở X hoặc website chính thức của dự án (gõ tay hoặc lấy từ nguồn bạn đã biết từ trước), tìm link claim được chính họ dẫn tới, đối chiếu domain từng ký tự.

Bước 2: Đối chiếu địa chỉ hợp đồng. Copy địa chỉ contract claim, dán vào block explorer (Etherscan, BscScan, Solscan tùy chain) hoặc so với địa chỉ ghi trong docs/GitHub chính thức của dự án. Địa chỉ khớp một ký tự cũng chưa đủ, phải khớp toàn bộ.

Bước 3: Dùng ví cày riêng, tiền tối thiểu. Với bất kỳ trang claim nào bạn chưa hoàn toàn tin (tức gần như luôn luôn), dùng một ví “cày” riêng, không chứa tài sản chính, không liên kết ví chính (xem mục kế tiếp).

Bước 4: Đọc thật nội dung chữ ký trước khi bấm. Nếu là EIP-712, đọc từng trường: số lượng, địa chỉ spender, thời hạn. Nếu là eth_sign hoặc một chuỗi hex đọc không nổi, dừng lại, không có lý do chính đáng nào để một claim hợp lệ cần dạng chữ ký này.

Bước 5: Thu hồi quyền duyệt (revoke) ngay sau khi claim xong. Ngay cả khi giao dịch hợp lệ, một permit đã ký vẫn có thể còn “sống” sau đó. Vào các công cụ revoke (Revoke.cash hoặc tương tự) kiểm tra và rút lại quyền duyệt không cần thiết cho ví cày của bạn định kỳ.

11. Ví cày riêng (burner wallet) đúng cách: tách bạch ví chính khỏi ví đi săn kèo

Với dân cày nhiều kèo cùng lúc, tách bạch ví là kỷ luật quan trọng nhất, quan trọng hơn cả việc nhớ hết mọi mánh lừa đảo. Nguyên tắc đơn giản: ví chính (nơi giữ tài sản có giá trị thật, NFT quý, tiền tiết kiệm) không bao giờ chạm vào một trang claim airdrop chưa xác minh 100%.

Cách làm cụ thể: tạo riêng một hoặc vài ví “chỉ để cày” (burner wallet), có thể tạo bằng một cụm từ khôi phục hoàn toàn mới, không liên quan gì tới ví chính. Nạp vào đó một khoản tối thiểu, đủ trả gas cho vài lần tương tác. Muốn nạp, cách phổ biến ở Việt Nam là mua USDT qua P2P (chuyển khoản ngân hàng) hoặc qua ví điện tử như Momo trên sàn, rồi chuyển một lượng nhỏ sang ví cày, không bao giờ nạp thẳng số tiền lớn vào ví dùng để tương tác với web lạ.

Khi claim được token thật và muốn giữ lâu dài, chuyển token đó từ ví cày sang ví chính (ví lạnh hoặc ví có bảo mật cao hơn) ngay sau khi xong, đừng để ví cày biến thành nơi lưu trữ tài sản lớn theo thời gian, vì bản chất ví đó vẫn đang và sẽ tiếp tục tương tác với các trang chưa xác minh.

Một sai lầm thường gặp: dùng nhiều ví để cày (để tăng khả năng đủ điều kiện ở nhiều dự án) nhưng lại dùng chung một cụm từ khôi phục gốc rồi chỉ đổi địa chỉ nhận (derivation path); nếu một trang lừa lấy được cụm từ khôi phục đó, toàn bộ các ví “khác nhau” của bạn đều mất cùng lúc. Ví cày riêng đúng nghĩa phải có cụm từ khôi phục độc lập hoàn toàn với ví chính.

12. Lối đi an toàn hơn cho thợ cày: airdrop qua sàn thay vì tự ký hợp đồng lạ

Có một lối đi ít rủi ro hơn hẳn mà không phải ai cày airdrop cũng để ý: các sàn giao dịch lớn tự chạy chương trình airdrop/launch riêng, dựa trên snapshot số dư bạn đang giữ trên chính sàn đó, không cần bạn ký bất kỳ giao dịch on-chain nào, không cần approve hợp đồng lạ, vì tài sản vẫn nằm trong tài khoản sàn, dưới quyền kiểm soát KYC/bảo mật của sàn.

Ví dụ: Binance có chương trình HODLer Airdrops (giữ và stake BNB/FDUSD trên Simple Earn để nhận token mới), OKX có Jumpstart, Bybit có Launchpool, Gate có Startup, MEXC có Airdrop+, KuCoin có Spotlight. Cơ chế chung: bạn nắm giữ hoặc stake một tài sản nhất định trong một khoảng thời gian, hệ thống tự tính và phân phối token mới vào tài khoản, không có bước “kết nối ví ngoài rồi ký claim” nào cả.

Cày on-chain vẫn cần thiết, vì phần lớn dự án phát token trực tiếp qua ví self-custody, sàn không tham gia vào việc cấp phát đó, muốn nhận thì bạn buộc phải tự kết nối ví và tự ký claim ngoài sàn. Kênh sàn kể trên chỉ phủ được nhóm dự án chọn hợp tác với sàn để phân phối token, không thay thế được cho việc cày on-chain. Vậy nên cứ coi đây là một lựa chọn phụ đáng dùng song song, nhất là cho phần vốn bạn ngại mạo hiểm với các trang claim lạ chưa kiểm chứng, còn phần muốn săn hết mọi kèo tiềm năng thì vẫn phải quay lại quy trình ký on-chain và áp dụng đủ các bước phòng thủ đã nói ở trên.

Binance

Binance signup QR — scan to open Binance (Cryptonakta referral)Đăng ký nhận ưu đãi →

Mã: CRYPTONAKTA
Đăng ký trực tiếp trên app? Nhập CRYPTONAKTA vào ô «Mã giới thiệu» khi đăng ký — để nhận ưu đãi.
HODLer Airdrops: giữ/stake để nhận token mới, không cần ký on-chain

OKX

OKX signup QR — scan to open OKX (Cryptonakta referral)Đăng ký nhận ưu đãi →

Mã: 46938989
Đăng ký trực tiếp trên app? Nhập 46938989 vào ô «Mã giới thiệu» khi đăng ký — để nhận ưu đãi.
OKX Jumpstart

Bybit

Bybit signup QR — scan to open Bybit (Cryptonakta referral)Đăng ký nhận ưu đãi →

Mã: 5ZGKX#0
Đăng ký trực tiếp trên app? Nhập 5ZGKX#0 vào ô «Mã giới thiệu» khi đăng ký — để nhận ưu đãi.
Bybit Launchpool

Gate.io

Gate.io signup QR — scan to open Gate.io (Cryptonakta referral)Đăng ký nhận ưu đãi →

Mã: VFIWUQTAUQ
Đăng ký trực tiếp trên app? Nhập VFIWUQTAUQ vào ô «Mã giới thiệu» khi đăng ký — để nhận ưu đãi.
Gate Startup

MEXC

MEXC signup QR — scan to open MEXC (Cryptonakta referral)Đăng ký nhận ưu đãi →

Mã: 43zJH
Đăng ký trực tiếp trên app? Nhập 43zJH vào ô «Mã giới thiệu» khi đăng ký — để nhận ưu đãi.
MEXC Airdrop+

KuCoin

KuCoin signup QR — scan to open KuCoin (Cryptonakta referral)Đăng ký nhận ưu đãi →

Mã: CXEM4JP5
Đăng ký trực tiếp trên app? Nhập CXEM4JP5 vào ô «Mã giới thiệu» khi đăng ký — để nhận ưu đãi.
KuCoin Spotlight

Tiết lộ liên kết tiếp thị: một số liên kết là liên kết đối tác. Chúng tôi có thể nhận hoa hồng mà bạn không tốn thêm chi phí. Đây không phải là lời khuyên đầu tư.

13. Khung pháp lý Việt Nam 2025-2026: tài sản được công nhận, nhưng ai bảo vệ bạn khi mất trắng

Việt Nam vừa có một bước ngoặt pháp lý thật sự: Luật Công nghiệp Công nghệ số (Luật 71/2025/QH15), có hiệu lực từ tháng 6/2025, lần đầu tiên công nhận tài sản số là một loại tài sản hợp pháp. Tiếp theo đó, ngày 9/9/2025, Nghị quyết 05/2025/NQ-CP đưa ra cơ chế thí điểm 5 năm (2025-2030) cho phép thành lập và cấp phép sàn giao dịch tài sản mã hóa trong nước, với yêu cầu vốn điều lệ khoảng 400 triệu đô và giới hạn tỷ lệ sở hữu nước ngoài ở mức 49%.

Đây là tin tốt về mặt công nhận: tài sản số của bạn giờ được luật thừa nhận là tài sản, không còn nằm trong vùng xám hoàn toàn như trước. Nhưng cần thành thật với nhau: khung pháp lý này chủ yếu giải quyết bài toán cấp phép sàn giao dịch và quản lý thị trường, chứ chưa có một cơ chế cụ thể, rõ ràng để một cá nhân bị lừa mất tiền qua airdrop giả có thể khiếu nại và đòi bồi thường theo luật riêng cho crypto. Nếu bị lừa, con đường thực tế vẫn là trình báo công an như với các vụ lừa đảo chiếm đoạt tài sản thông thường, và khả năng lấy lại được tiền phụ thuộc rất nhiều vào việc dòng tiền có kịp bị phong tỏa trước khi rửa qua nhiều ví/sàn hay không.

Được luật công nhận là tài sản không có nghĩa là có ngay một “đường dây nóng crypto” để đòi lại tiền khi bị lừa airdrop. Phòng ngừa vẫn rẻ hơn nhiều so với đi đòi lại sau khi đã mất.

14. Bảng dòng thời gian các sự cố cụ thể

NgàySự kiệnQuy môCơ chế
21/2/2025Bybit bị hack (Lazarus/TraderTraitor)1,5 tỷ đôXâm phạm máy lập trình viên Safe{Wallet} → làm giả màn hình ký
~5/2025 (lũy kế 6 tháng)Inferno Drainer hoạt động trở lại30.000+ nạn nhân / 9 triệu đô+ (lũy kế lịch sử 250 triệu đô+)Lạm dụng Permit2, bản v6.6.6
Cuối 9 – giữa 11/2025Tiện ích Chrome giả “Safery: Ethereum Wallet”Đánh cắp cụm từ khôi phụcCó mặt trên Chrome Web Store chính thức, mã hóa cụm từ khôi phục thành giao dịch vi mô trên Sui
24/12/2025Tiện ích Trust Wallet bị xâm phạm7-8,5 triệu đô / 2.500+ víĐánh cắp secrets GitHub + API key store → phát tán qua bản “cập nhật chính thức”
27/11/2025Upbit (Hàn Quốc) bị hack44,5 tỷ won (~30 triệu đô), sàn tự bù 5,9 tỷ won + hoàn 38,6 tỷ won cho người dùngRút tài sản Solana ra ví ngoài chỉ trong 54 phút (04:42-05:36), nghi Lazarus
19/3/2026FBI cảnh báo “FBI Token” giảAirdrop giả mạo trên mạng TRC-20 (Tron)
23/3/2026Phishing ăn theo TGE BackpackWeb giả sao chép giao diện claim thật xuất hiện chỉ vài giờ sau khi mở claim

15. Bảng thuật ngữ: blind signing, Permit2, drainer, snapshot, TGE, dusting attack, burner wallet, wallet poisoning

Thuật ngữNghĩa là gì
Blind signing (ký mù)Ký một giao dịch/thông điệp mà không đọc hoặc không hiểu nội dung thật sự đang được ký, nguyên nhân trực tiếp của gần như mọi vụ mất ví do drainer
Permit / Permit2Chuẩn chữ ký cho phép một hợp đồng rút token thay bạn mà không cần bạn gửi giao dịch approve riêng, tiện cho DeFi hợp lệ nhưng cũng là công cụ chính của drainer nếu bị lạm dụng
Drainer / Drainer-as-a-ServiceBộ công cụ/script chuyên dùng để “hút cạn” ví sau khi nạn nhân ký chữ ký độc hại; mô hình “-as-a-Service” nghĩa là ai cũng có thể thuê lại kịch bản này để lừa đảo, chia phần trăm cho bên phát triển
SnapshotBản chụp trạng thái on-chain (số dư, lịch sử giao dịch) tại một thời điểm cụ thể trong quá khứ, dùng làm căn cứ xác định ai đủ điều kiện nhận airdrop
TGE (Token Generation Event)Thời điểm token của một dự án chính thức được tạo ra (mint) và mở giao dịch/claim lần đầu
Dusting attack (rắc bụi token)Gửi một lượng token nhỏ không ai xin vào ví nạn nhân để dụ họ tương tác (kiểm tra giá trị, thử swap) với hợp đồng độc hại
Burner wallet (ví cày riêng)Ví tạo riêng, độc lập cụm từ khôi phục với ví chính, chỉ giữ số tiền tối thiểu, dùng để tương tác với các trang/dự án chưa được kiểm chứng
Wallet poisoning (đầu độc địa chỉ)Kẻ gian gửi một giao dịch 0 đồng từ một địa chỉ giả rất giống địa chỉ bạn hay chuyển tới, để bạn copy nhầm địa chỉ đó từ lịch sử giao dịch trong lần chuyển tiếp theo
eth_sign / personal_sign / EIP-712Ba chuẩn yêu cầu chữ ký khác nhau của ví Ethereum, lần lượt là hex thô khó đọc, văn bản thuần, và JSON có cấu trúc dễ đọc theo từng trường

16. Đọc thêm: các bài viết bảo mật ví liên quan

Bài này lo phần “phòng trước khi mất”. Cryptonakta còn 2 bài khác cùng chủ đề bảo mật ví, đọc tiếp ngay nếu bạn đang rơi vào một trong hai tình huống dưới đây:

Đã lỡ ký một permit lạ và nghi ngờ ví đang bị rút dần, đọc cách thu hồi quyền phê duyệt (revoke) token ngay lập tức để chặn đứng trước khi mất thêm.

Lỡ nhập hoặc để lộ cụm từ khôi phục ở đâu đó, dù chỉ nghi ngờ thôi, đọc bài xử lý khẩn cấp khi lộ cụm từ khôi phục, vì tốc độ xử lý tính bằng phút chứ không phải bằng giờ.

Nếu tài sản đã mất rồi và đang tự hỏi có cách nào lấy lại không, đọc hướng dẫn thực tế về khả năng lấy lại tiền sau khi bị lừa crypto để hiểu đúng cái gì khả thi, cái gì không, tránh dính thêm bẫy “dịch vụ thu hồi tiền” lần hai.

Câu hỏi thường gặp

Q. Airdrop thật có bao giờ yêu cầu tôi trả phí trước không?
Không bao giờ. Một airdrop hợp lệ chỉ cần bạn tự trả gas cho chính giao dịch claim, lấy từ số dư có sẵn trong ví bạn ngay lúc ký. Bất kỳ yêu cầu chuyển “phí gas”, “phí mở khóa” tới một địa chỉ khác trước khi được nhận token đều là lừa đảo, không có ngoại lệ.
Q. Chỉ “kết nối” ví vào một trang lạ có nguy hiểm ngay không?
Bản thân bước connect tương đối vô hại, trang web chỉ nhận được địa chỉ ví công khai, vốn đã có thể xem trên block explorer. Rủi ro thật sự nằm ở bước sau: khi ví hiện popup yêu cầu bạn ký (sign) một thông điệp hoặc giao dịch. Đó mới là lúc quyền kiểm soát tài sản có thể bị trao đi.
Q. Làm sao biết một dApp đang xin quyền phê duyệt (approve) không giới hạn?
Nhìn vào cửa sổ ký: nếu là chuẩn Permit/Permit2 và số lượng ghi “unlimited” hoặc một con số cực lớn thay vì đúng số token bạn định claim, đó là dấu hiệu cảnh báo. Một claim hợp lệ luôn giới hạn đúng số lượng cụ thể.
Q. Trong ví tự dưng xuất hiện một token lạ tôi không xin (dusting), tôi nên làm gì?
Đừng tương tác với nó, không kiểm tra giá trị, không thử swap, không bấm vào bất kỳ link nào đi kèm token đó. Mục tiêu của dusting là dụ bạn tương tác với một hợp đồng độc hại; token đó cứ để im trong ví cũng không gây hại gì.
Q. Tôi nên dùng bao nhiêu ví để cày airdrop cho an toàn?
Nguyên tắc là tách ví chính (giữ tài sản giá trị) khỏi (các) ví cày, ví cày nên có cụm từ khôi phục độc lập hoàn toàn, chỉ giữ số tiền tối thiểu đủ trả gas vài lần tương tác. Dùng chung một cụm từ khôi phục gốc rồi chỉ đổi địa chỉ phái sinh không tính là tách ví thật sự, cụm từ đó lộ là toàn bộ mất cùng lúc.
Q. Ví cứng (Ledger, Trezor) có bảo vệ tôi khỏi lừa airdrop không?
Có, nhưng không tuyệt đối. Ví cứng giữ private key tách khỏi thiết bị bị nhiễm mã độc, điểm mạnh thật. Nhưng nếu bạn ký duyệt bất kỳ thứ gì hiện trên màn hình mà không đọc kỹ, kể cả trên ví cứng, quyền kiểm soát tài sản vẫn có thể bị trao đi. Vụ Bybit 1,5 tỷ đô năm 2025 cho thấy ngay cả quy trình ký ở cấp tổ chức cũng có thể bị đánh lừa nếu màn hình hiển thị bị làm giả.
Q. Lỡ ký phải một chữ ký khả nghi rồi, giờ làm sao?
Vào ngay các công cụ thu hồi quyền duyệt (như Revoke.cash) để hủy permit đã cấp, và đọc bài cách thu hồi phê duyệt token ngay khi ví đang bị rút để xử lý theo đúng thứ tự ưu tiên.
Q. Kênh Discord/X/Telegram chính thức của một dự án thông báo mở claim, tôi có nên tin ngay không?
Chưa nên tin tuyệt đối chỉ vì đó là kênh “chính thức”, chính các kênh này từng bị chiếm quyền để đăng thông báo claim giả. Nên đối chiếu chéo ít nhất hai kênh (ví dụ X + docs chính thức), và luôn tự gõ hoặc lấy link từ nguồn bạn đã xác minh trước đó thay vì bấm thẳng link trong thông báo.
Q. Airdrop qua sàn giao dịch (như Binance HODLer Airdrops) có an toàn hơn tự ký claim trên web không?
Đúng, vì tài sản không rời khỏi tài khoản sàn nên chẳng có màn hình ký permit hay approve hợp đồng lạ nào để hacker giả mạo cả, cơ chế cụ thể chỉ là hệ thống của sàn tự tính snapshot số dư bạn đang giữ hoặc stake rồi cộng token mới thẳng vào tài khoản. Đổi lại, toàn bộ niềm tin dồn hết vào đội bảo mật nội bộ của sàn đó, tài sản của bạn an toàn hay không phụ thuộc vào việc sàn có từng bị xuyên thủng hay chưa, y hệt rủi ro gửi tiền cho một bên thứ ba giữ hộ. Vụ Upbit mất 44,5 tỷ won hồi tháng 11/2025 kể ở phần trên là lời nhắc rằng ngay cả sàn lớn cũng có lúc bị hack. Cứ coi lối đi qua sàn là một lựa chọn phụ đáng cân nhắc cho phần vốn bạn ngại mạo hiểm với các trang claim on-chain chưa kiểm chứng, và nên ưu tiên sàn có lịch sử bảo mật tốt, có quỹ dự phòng hoàn tiền cho người dùng như Upbit đã làm, thay vì dồn hết vốn cày airdrop vào một sàn duy nhất.
Q. Ở Việt Nam, bị lừa airdrop rồi có báo công an được không, luật có bảo vệ tôi không?
Bạn có thể trình báo công an như với các vụ lừa đảo chiếm đoạt tài sản khác. Luật Công nghiệp Công nghệ số (Luật 71/2025/QH15, hiệu lực 6/2025) đã công nhận tài sản số là tài sản hợp pháp lần đầu tiên, nhưng hiện chưa có cơ chế bồi thường/khiếu nại riêng biệt và nhanh chóng cho nạn nhân lừa đảo crypto, nên phòng ngừa vẫn quan trọng hơn nhiều so với trông chờ đòi lại được sau khi mất.
Q. Đăng ký Binance thế nào, từng bước?
1) Đăng ký bằng email hoặc số điện thoại trên trang/app chính thức của Binance. 2) Hoàn tất xác minh danh tính (KYC). 3) Bật 2FA bằng app. 4) Nhập mã giới thiệu CRYPTONAKTA khi đăng ký để nhận giảm 10% phí giao dịch spot lâu dài. Ở nơi nạp tiền pháp định trực tiếp bị hạn chế, hãy mua một coin hoặc stablecoin trên sàn nội địa rồi chuyển vào, hoặc dùng P2P.
Q. Đăng ký OKX thế nào, từng bước?
1) Đăng ký bằng email hoặc số điện thoại trên trang/app chính thức của OKX. 2) Hoàn tất xác minh danh tính (KYC). 3) Bật 2FA bằng app. 4) Nhập mã giới thiệu 46938989 khi đăng ký để nhận ưu đãi phí khi đăng ký. Ở nơi nạp tiền pháp định trực tiếp bị hạn chế, hãy mua một coin hoặc stablecoin trên sàn nội địa rồi chuyển vào, hoặc dùng P2P.
Q. Đăng ký Bybit thế nào, từng bước?
1) Đăng ký bằng email hoặc số điện thoại trên trang/app chính thức của Bybit. 2) Hoàn tất xác minh danh tính (KYC). 3) Bật 2FA bằng app. 4) Nhập mã giới thiệu 5ZGKX#0 khi đăng ký để nhận ưu đãi phí khi đăng ký. Ở nơi nạp tiền pháp định trực tiếp bị hạn chế, hãy mua một coin hoặc stablecoin trên sàn nội địa rồi chuyển vào, hoặc dùng P2P.
Q. Đăng ký Gate.io thế nào, từng bước?
1) Đăng ký bằng email hoặc số điện thoại trên trang/app chính thức của Gate.io. 2) Hoàn tất xác minh danh tính (KYC). 3) Bật 2FA bằng app. 4) Nhập mã giới thiệu VFIWUQTAUQ khi đăng ký để nhận giảm phí giao dịch 10% trọn đời. Ở nơi nạp tiền pháp định trực tiếp bị hạn chế, hãy mua một coin hoặc stablecoin trên sàn nội địa rồi chuyển vào, hoặc dùng P2P.
Q. Đăng ký MEXC thế nào, từng bước?
1) Đăng ký bằng email hoặc số điện thoại trên trang/app chính thức của MEXC. 2) Hoàn tất xác minh danh tính (KYC). 3) Bật 2FA bằng app. 4) Nhập mã giới thiệu 43zJH khi đăng ký để nhận thưởng đăng ký (có điều kiện). Ở nơi nạp tiền pháp định trực tiếp bị hạn chế, hãy mua một coin hoặc stablecoin trên sàn nội địa rồi chuyển vào, hoặc dùng P2P.
Q. Đăng ký KuCoin thế nào, từng bước?
1) Đăng ký bằng email hoặc số điện thoại trên trang/app chính thức của KuCoin. 2) Hoàn tất xác minh danh tính (KYC). 3) Bật 2FA bằng app. 4) Nhập mã giới thiệu CXEM4JP5 khi đăng ký để nhận giảm phí giao dịch 5% trọn đời. Ở nơi nạp tiền pháp định trực tiếp bị hạn chế, hãy mua một coin hoặc stablecoin trên sàn nội địa rồi chuyển vào, hoặc dùng P2P.
Bài viết chỉ nhằm mục đích cung cấp thông tin, không phải lời khuyên đầu tư hay lời khuyên pháp lý. Tiết lộ liên kết tiếp thị: một số liên kết là liên kết đối tác. Chúng tôi có thể nhận hoa hồng mà bạn không tốn thêm chi phí. Đây không phải là lời khuyên đầu tư.

Xem thêm hướng dẫn bảo mật ví tiền mã hóa

Tiêu chuẩn biên tậpBiên tập tiền mã hóa độc lập · trung thực, không thổi phồng · không phải lời khuyên đầu tư.
🌐 Tiếng Việt