Bạn vừa bấm một link “airdrop” trong nhóm Zalo hay Telegram, ký một chữ ký trong MetaMask, và giờ ví đang vơi dần. Đừng làm bừa — việc cần làm phụ thuộc vào một câu hỏi duy nhất: ví bạn còn tiền hay đã sạch. Bài này dẫn bạn qua từng ngả, theo đúng thứ tự, dành riêng cho 17 triệu người dùng tự lưu ký ở Việt Nam.

1. Bạn vừa bấm link airdrop trong Zalo/Telegram và ví đang vơi dần — đọc dòng này trước

Bạn vừa bấm vào một cái link “nhận airdrop” ai đó thả trong nhóm Zalo hay Telegram. Ví MetaMask bật lên một bảng ký, bạn bấm “Confirm” cho xong, và mấy phút sau số dư bắt đầu tụt. Cảm giác lúc đó là tim đập thình thịch, tay run, muốn làm gì đó thật nhanh.

Chuyện này xảy ra với hàng nghìn người Việt mỗi tháng, và phần lớn họ làm sai ngay bước đầu vì hoảng. Bài này viết để bạn làm đúng thứ tự. Việc cần làm khác nhau hoàn toàn tùy một câu hỏi duy nhất: ví của bạn còn tiền hay đã sạch rồi. Trả lời được câu đó, mọi bước sau mới có nghĩa.

Và xin nói thẳng một câu ngay từ đầu, để dành cho bạn vài chục triệu: bất kỳ ai nhắn tin hứa “khôi phục ví bị hack” mà đòi bạn đưa cụm từ khôi phục hay khóa riêng — đó là kẻ lừa đảo, là cú lừa thứ hai. Không có ngoại lệ.

2. Ví còn tiền hay đã sạch? Cây quyết định 30 giây quyết định mọi việc tiếp theo

Trước khi đụng vào bất cứ công cụ nào, dừng 30 giây trả lời cây quyết định này. Nó quyết định bạn đang trong tình huống “cấp cứu cứu tiền” hay tình huống “đã mất, giờ đi trình báo”.

Một điểm hay bị nhầm: “lộ approval” và “lộ cụm từ khôi phục” là hai chuyện khác hẳn nhau. Nếu bạn chỉ bấm ký một phê duyệt độc hại, thu hồi approval là đủ để chặn. Nhưng nếu seed của bạn đã rơi vào tay người khác, thu hồi bao nhiêu cũng vô ích — vì họ mở được ví của bạn từ đầu. Phần dưới mình sẽ chỉ cách phân biệt.

3. Cấp cứu 60 giây: làm theo đúng thứ tự, đừng dừng giữa chừng

Trường hợp phổ biến nhất là ví còn tiền. Đây là quy trình cấp cứu, làm tuần tự, đừng nhảy bước, đừng dừng giữa chừng đi hỏi nhóm chat rồi quay lại.

1. Ngắt kết nối ví khỏi trang vừa cho bạn ký. Trong MetaMask: bấm biểu tượng ví → “Đã kết nối” (Connected sites) → ngắt cái trang lạ. Đóng luôn tab đó.
2. Mở Revoke.cash (gõ tay địa chỉ, hoặc dùng link đã lưu sẵn — đừng bấm vào link ai đó gửi cho). Dán địa chỉ ví của bạn vào để xem ở chế độ chỉ-đọc trước.
3. Tìm phê duyệt độc hại. Sắp xếp danh sách theo Mới nhất → Cũ nhất. Cái bạn vừa lỡ ký sẽ nằm trên cùng. Soi kỹ dòng ghi “Unlimited” / “Không giới hạn” và những spender (hợp đồng được cấp quyền) mà bạn không nhận ra.
4. Bấm Revoke từng cái nguy hiểm. Mỗi lần thu hồi là một giao dịch on-chain, nên sẽ tốn một ít phí gas. Ưu tiên thu hồi cái Unlimited trước, rồi tới các cái lạ còn lại.
5. Sơ tán phần còn lại. Nếu bạn nghi seed đã lộ (xem mục dưới), tạo một ví hoàn toàn mới với cụm từ khôi phục mới và chuyển hết tài sản qua đó. Nếu chỉ là lỡ ký approval (seed an toàn), thu hồi xong là tạm yên, nhưng chuyển sang ví mới vẫn là lựa chọn chắc tay nhất.

4. Vì sao 17 triệu người dùng Việt đang là mục tiêu — và vì sao hợp pháp hóa không có nghĩa là an toàn

Tại sao người Việt lại là mục tiêu dày đặc đến vậy? Vì hai thứ cộng lại: quy mô người dùng và kênh phát tán.

Việt Nam nằm trong nhóm dẫn đầu thế giới về tỷ lệ người dân nắm giữ tài sản số — ước tính khoảng 17 triệu người. Rất nhiều trong số đó dùng MetaMask và các ví tự lưu ký để vào DeFi, săn airdrop, chơi GameFi. Mà ví tự lưu ký nghĩa là bạn tự giữ khóa, không ai đứng giữa bảo vệ bạn.

Kênh phát tán thì quá thuận lợi cho kẻ xấu: Zalo là ứng dụng nhắn tin số một ở Việt Nam, Telegram thì đầy nhóm tín hiệu, nhóm “kèo”. Kẻ tấn công chiếm tài khoản Zalo/Telegram của một người, rồi mạo danh người đó thả link “nhận thưởng”, “claim airdrop” cho cả danh bạ. Người nhận thấy tên người quen nên mất cảnh giác, bấm vào, kết nối ví, ký — và dính.

Còn chuyện pháp lý thì sao? Cuối năm 2025, Việt Nam lần đầu định nghĩa tài sản số / tiền mã hóa một cách hợp pháp qua Nghị quyết 05/2025/NQ-CP và Luật Công nghiệp công nghệ số. Đây là tin tốt cho ngành. Nhưng nó dễ tạo ra một hiểu lầm nguy hiểm: “hợp pháp rồi thì chắc có ai đó bảo vệ, có ai đó hoàn tiền”. Không. Hợp pháp hóa không biến ví tự lưu ký thành tài khoản ngân hàng. Khi bạn tự giữ khóa, bạn tự chịu trách nhiệm — không có cơ chế hoàn tiền nào cho một giao dịch bạn đã tự tay ký.

5. Phê duyệt (approval) hoạt động ra sao: vì sao một chữ ký lại moi sạch ví của bạn mãi mãi

Để hiểu vì sao một chữ ký lại đủ moi sạch ví, cần biết “phê duyệt” (approval / allowance) thật ra là gì.

Token chuẩn ERC-20 hoạt động bằng ba hàm liên quan tới nhau: approve (bạn cho phép một hợp đồng được động vào token của bạn), allowance (mức cho phép đó là bao nhiêu), và transferFrom (hợp đồng dùng quyền đó để chuyển token đi). Cái này tồn tại là để DeFi chạy được: khi bạn swap trên một sàn phi tập trung, bạn phải “approve” cho hợp đồng của sàn được lấy token ra đổi.

Vấn đề nằm ở hai chữ “Unlimited”. Để bạn khỏi phải ký lại mỗi lần giao dịch, nhiều dApp đề nghị bạn cấp quyền không giới hạn. Bạn ký một lần, và từ đó hợp đồng đó được phép rút toàn bộ token loại đó của bạn, bất cứ lúc nào, mãi mãi — cho tới khi bạn tự tay thu hồi. Phê duyệt không tự hết hạn. Nó nằm đó im lìm trên blockchain.

Giờ ghép lại: cái link “airdrop” thực ra dẫn tới một hợp đồng độc hại. Bảng ký hiện lên trông vô hại, nhưng cái bạn đang ký là cấp quyền Unlimited cho hợp đồng của kẻ lừa đảo. Bấm Confirm xong, chúng gọi transferFrom và rút sạch. Đó chính xác là cách một đề xuất quản trị Arbitrum giả lan trên Twitter (X) hồi tháng 1/2025 lừa người ta bấm “vote” — và cuỗm hơn 8 triệu USD qua đúng kiểu phishing phê duyệt này.

6. Ngắt kết nối KHÔNG phải là thu hồi — sai lầm khiến ví vẫn bị rút dù bạn tưởng đã thoát

Đây là sai lầm khiến nhiều người tưởng mình đã an toàn mà vẫn bị rút tiếp: họ chỉ “ngắt kết nối” (disconnect) ví khỏi trang web, rồi nghĩ thế là xong.

Không phải. Ngắt kết nối và thu hồi là hai chuyện khác nhau hoàn toàn:

Hiểu nôm na: ngắt kết nối giống như bạn kéo rèm cửa lại để hàng xóm khỏi nhìn vào nhà. Nhưng nếu bạn đã đưa chìa khóa cho họ rồi, thì kéo rèm chẳng ngăn được họ mở cửa vào lấy đồ. Chỉ có đổi khóa (thu hồi approval) hoặc dọn đồ sang nhà khác (sơ tán ví) mới thực sự chặn.

7. Dùng Revoke.cash đúng cách: sắp xếp Mới nhất, soi cái Unlimited, và cẩn thận với chữ ký Permit

Revoke.cash là công cụ chính, và nó miễn phí, mã nguồn mở (kiểm tra được trên GitHub của dự án), hỗ trợ hơn 100 mạng EVM cộng cả Solana. Quan trọng nhất là nó có chế độ chỉ-đọc: bạn dán địa chỉ ví vào để xem mình đã cấp những quyền gì mà chưa cần kết nối ví — rất hợp để bình tĩnh kiểm tra trước.

Quy trình kiểm tra và dọn dẹp:

Mẹo thực chiến: cái phê duyệt vừa khiến bạn dính sẽ nằm trên cùng khi sắp theo Mới nhất, vì bạn vừa ký nó vài phút trước. Đừng thu hồi mò cả danh sách — tốn gas vô ích. Tập trung vào Unlimited và spender lạ.

8. Các công cụ thu hồi khác: Etherscan/BscScan, MetaMask, ví OKX và Binance Web3

Revoke.cash không phải lựa chọn duy nhất. Tùy bạn quen công cụ nào, có mấy đường khác cũng làm được:

Nếu bạn dùng nhiều chuỗi cùng lúc (Ethereum, BNB Chain, Arbitrum, Base…), nên rà từng chuỗi một, vì phê duyệt độc hại có thể nằm ở chuỗi bạn ít để ý nhất.

9. Bạn lộ approval hay lộ cụm từ khôi phục? Cách phân biệt quyết định bạn phải làm gì

Đây là câu hỏi quan trọng nhất cả bài, vì nó quyết định bạn cần làm gì tiếp: kẻ tấn công chỉ có một phê duyệt của bạn, hay đã có luôn cụm từ khôi phục?

Dấu hiệu chỉ là lộ approval (đỡ hơn)

Bạn vào một dApp, bấm “Confirm” trên một bảng ký giao dịch trong ví, và chỉ một loại token bị rút (hoặc bị rút theo từng đợt khi chúng gọi transferFrom). Bạn không hề gõ 12–24 từ vào đâu cả. Trường hợp này: thu hồi approval + sơ tán là xử lý được.

Dấu hiệu cụm từ khôi phục đã lộ (nặng)

Bạn từng nhập cụm từ khôi phục vào một trang web “để xác minh ví” / “để claim airdrop”, hoặc lưu seed dưới dạng ảnh chụp màn hình / ghi chú trên điện thoại bị nhiễm, hoặc nhiều loại tài sản trên nhiều chuỗi biến mất cùng lúc, sạch sẽ (kể cả coin gốc dùng trả gas). Khi đó thu hồi approval là vô ích — kẻ tấn công mở được ví của bạn bất cứ lúc nào.

10. Ví cứng không phải bùa hộ mệnh: nó vẫn ký lệnh độc hại nếu bạn bấm xác nhận

Nhiều người nghĩ mua một cái ví cứng (Ledger, Trezor…) là xong chuyện bảo mật. Ví cứng rất tốt, nhưng nó không phải bùa hộ mệnh, và hiểu sai chỗ này khiến không ít người chủ quan rồi vẫn mất tiền.

Ví cứng bảo vệ khóa riêng của bạn — khóa không bao giờ rời khỏi thiết bị. Nhưng nó vẫn sẽ ký bất kỳ giao dịch hay phê duyệt nào mà bạn bấm xác nhận. Nếu bạn cắm ví cứng vào, rồi tự tay duyệt một approval Unlimited cho hợp đồng độc hại, ví cứng sẽ ký nó một cách trung thực, và tiền vẫn bay.

Nói cách khác: ví cứng chống được kẻ trộm khóa, nhưng không chống được chính bạn bị lừa bấm “đồng ý”. Thói quen đọc kỹ cái mình đang ký mới là lớp bảo vệ thật — và đó là thứ ví cứng không thay được.

11. Hoảng loạn chính là mồi: revoke.cash giả mạo và dịch vụ khôi phục = cú lừa thứ hai

Đây là phần lừa đảo gài thẳng vào lúc bạn yếu nhất. Kẻ tấn công biến sự hoảng loạn của bạn thành vũ khí.

Ngay sau khi các vụ rút ví rộ lên, chúng đăng đầy mạng xã hội những bài “cảnh báo bảo mật” giả, kiểu “Khẩn! Thu hồi quyền ngay tại đây”, kèm link tới trang Revoke.cash nhái. Chúng còn mua quảng cáo Google/Bing để khi bạn hốt hoảng tìm “revoke”, “MetaMask”, “khôi phục ví”, quảng cáo giả của chúng nằm trên cùng. Bạn đang run, bạn bấm — và dính cú thứ hai.

Tệ hơn nữa là “dịch vụ khôi phục ví” (dịch vụ khôi phục). Có người sẽ nhắn tin cho bạn, hoặc bình luận dưới bài than thở của bạn trong nhóm, tự xưng là “chuyên gia khôi phục”, “hacker mũ trắng”, hứa lấy lại tiền đã mất. Rồi họ đòi: cụm từ khôi phục của bạn, hoặc khóa riêng, hoặc một khoản phí trả trước.

Một con số để bạn yên tâm là hệ thống đang được vá dần: tổn thất do ví bị rút năm 2025 ước khoảng 83,85 triệu USD, giảm tới 83% so với khoảng 494 triệu của năm 2024, số nạn nhân cũng giảm còn khoảng 106.000 người. Nhưng đừng nhầm “giảm” với “an toàn”: các bộ công cụ rút ví như Inferno Drainer từng gây hại cho hơn 30.000 người, hợp đồng triển khai từ 2023 vẫn chạy tới 2025. Quá khứ giảm không bảo đảm tương lai.

12. Nếu ví đã bị rút sạch: truy vết on-chain, trình báo ở đâu tại Việt Nam, và tuyệt đối không trả tiền khôi phục

Nếu bạn rơi vào ngả thứ ba — ví đã sạch, không còn gì để cứu — thì phần này dành cho bạn. Mục tiêu lúc này không phải “lấy lại tiền” (thành thật mà nói, khả năng rất thấp), mà là truy vết, trình báo đúng nơi, và không mất thêm lần nữa.

1. Truy vết on-chain. Lấy mã giao dịch (hash) các lệnh rút trên trình duyệt blockchain (Etherscan, BscScan…). Ghi lại địa chỉ ví của kẻ tấn công, số tiền, thời điểm. Đây là bằng chứng.
2. Trình báo trong nước. Ở Việt Nam, báo cho Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao (A05) hoặc Cục Cảnh sát hình sự (C06) của Bộ Công an, kèm toàn bộ bằng chứng on-chain. Nếu liên quan yếu tố quốc tế, có thể báo thêm cho FBI IC3 (ic3.gov) của Mỹ, nhưng A05/C06 là nơi chính cho người Việt.
3. Báo cho bên liên quan. Báo URL trang phishing để nó bị gỡ; báo cho dự án/giao thức bị mạo danh nếu có.
4. Đừng trả tiền “dịch vụ khôi phục”. Nhắc lại lần cuối: không. Trả tiền cho họ chỉ là mất thêm.

Nếu lúc trước bạn còn dính cả chuyện tài khoản bị đóng băng hay lệnh rút treo mãi không xong trên sàn, đó lại là câu chuyện custody khác — xử lý qua hỗ trợ sàn, không liên quan tới approval.

13. Sơ tán phần còn lại: ví seed mới hay đưa lên sàn (sàn = custody, không có approval)

Khi đã thu hồi xong và muốn đưa phần tài sản còn lại tới chỗ an toàn, bạn có hai hướng — và cần hiểu rõ ưu nhược của mỗi cái.

Hướng 1 — Ví seed mới (tự lưu ký)

Tạo một ví mới hoàn toàn, cụm từ khôi phục mới, trên thiết bị sạch. Chuyển tài sản qua. Bạn vẫn tự giữ khóa, vẫn vào DeFi được. Đây là lựa chọn bắt buộc nếu seed cũ đã lộ.

Hướng 2 — Đưa lên sàn (sàn = custody, không có approval)

Đây là điểm mấu chốt mà nhiều người không để ý: sàn tập trung giữ tài sản hộ bạn, nên không có khái niệm “approval” để kẻ rút ví khai thác. Khi tiền của bạn nằm trên Binance, OKX, Bybit hay MEXC, nó nằm ngoài tầm với của cái khóa đã bị lộ và cái hợp đồng độc hại kia. Đây là một vùng an toàn thật — không phải vì sàn “tốt hơn ví”, mà vì nó không dùng cơ chế mà kẻ tấn công đang lợi dụng.

Cách thực tế ở Việt Nam: nạp tiền VND qua P2P để có tài khoản sàn, hoặc chuyển tài sản còn lại lên sàn. Nếu vẫn muốn tự lưu ký nhưng dùng công cụ tốt hơn, các sàn lớn cũng phát hành ví Web3 tự lưu ký của riêng họ (Binance Web3 Wallet dùng MPC không cần seed; ví OKX xem được toàn bộ lịch sử approval), tiện cho việc quản lý và thu hồi quyền.

Tiết lộ liên kết tiếp thị: một số liên kết là liên kết đối tác. Chúng tôi có thể nhận hoa hồng mà bạn không tốn thêm chi phí. Đây không phải là lời khuyên đầu tư.

14. Thói quen để không dính lần nữa + đọc tiếp cụm bài an toàn

Cuối cùng, vài thói quen để không phải đọc lại bài này lần thứ hai:

• Phê duyệt đúng số lượng, đừng cấp Unlimited. Khi một dApp xin quyền, sửa thành đúng số bạn định dùng. Tốn thêm vài giây ký nhưng cắt phần lớn rủi ro.
• Rà approval định kỳ. Mỗi tháng một lần mở Revoke.cash xem mình đang cấp những quyền gì, dọn các cái không còn dùng.
• Thu hồi sau khi dùng xong một dApp lạ. Đặc biệt với các dApp săn airdrop, dùng xong revoke ngay.
• Không bao giờ gõ cụm từ khôi phục vào bất kỳ trang web nào. Không một dApp, không một “công cụ kiểm tra”, không một “bộ phận hỗ trợ” nào thật sự cần seed của bạn.
• Nghi ngờ mọi link “nhận thưởng” trong Zalo/Telegram, kể cả khi nó đến từ tên người quen — tài khoản họ có thể đã bị chiếm.

Bài này là trụ cột đầu của cụm bài an toàn ví. Nếu bạn mới vào, nên đọc thêm ví tiền mã hóa là gì và cách giữ an toàn và các kiểu lừa đảo crypto thường gặp ở Việt Nam. Còn nếu sự cố của bạn thực ra là chuyện chuyển nhầm chứ không phải bị rút, xem gửi crypto nhầm mạng, gửi thiếu memo/tag, hoặc nạp tiền mãi chưa vào tài khoản.

Câu hỏi thường gặp

Xem các sàn uy tín để sơ tán tài sản và mở tài khoản an toàn →