Mình nảy ra ý gõ chủ đề này vào hôm kia khi đọc được một bài đăng trên reddit thắc mắc về việc tự dưng sao ví của họ bỗng nhiên có rất nhiều tiền chỉ qua một đêm. Chủ bài đăng cũng biết đây là lừa đảo, nhưng thắc mắc kiểu lừa này là như thế nào?

Đầu tiên, Vì sao “coin rác” lại hiển thị giá trị cao trong ví?

Chủ nhân bài đăng chia sẻ hình chụp ví của mình, bỗng dưng có hơn 500 nghìn đô la trong ví.

Giá trị không phản ánh thanh khoản thực sự

Ví dụ trong trường hợp trên: bạn mở ví và thấy token XYZ có vẻ trị giá 500.000 USD.
Nhưng thực ra, token đó không có volume giao dịch thật hoặc không thể bán được (vì bị khóa hoặc giới hạn).

Một số cách để kẻ lừa đảo nâng giá coin rác:

Giá được tính theo smart contract giả mạo

Một số scam token tự định nghĩa giá trong smart contract.
Ví dụ: contract ghi “1 XYZ = 1000 USDC” – nên ví hoặc explorer như BSCScan, Etherscan, MetaMask sẽ tính tự động theo giá đó, dù không có ai mua với giá đó cả.

Không có thanh khoản trên DEX

Những token này không được list trên sàn lớn, hoặc nếu có thì chỉ với vài $ thanh khoản.
Kẻ lừa đảo sẽ giao dịch 0.000000000001 coin XYZ kia với giá 1 đô / coin. Như vậy là giá trị của coin rác bỗng tăng phi mã, mặc dù chẳng ai mua bán gì.

Nếu người cầm coin rác cố gắng bán, họ sẽ gặp lỗi như:

• Giao dịch thất bại.
• Gas fee cực cao.
• Bị yêu cầu nạp thêm ETH/BNB để “unlock”.
• Honeypot – Không thể bán

Đây là loại token được thiết kế để bạn có thể mua, nhưng không thể bán.
Thường có cơ chế ẩn trong smart contract: chỉ cho phép địa chỉ của kẻ lừa đảo thực hiện lệnh bán.

Coin rác từ đâu mà ra? Một số cách kẻ lừa đảo phát tán coin rác

1. Airdrop ngẫu nhiên vào ví

Kẻ lừa đảo gửi hàng loạt token đến ví công khai (trên chuỗi).
Ai cũng có thể xem ví trên Etherscan, BscScan… nên chỉ cần quét dữ liệu và gửi token rác tự động.
Token sẽ hiện trong ví nạn nhân dù họ không yêu cầu, gây hiểu lầm là “được tặng”.

???? Ví dụ: Bạn thấy trong ví mình có token XYZ trị giá 50.000 USD mà chưa từng nghe đến — chính là một cái bẫy.

2. Tạo token trùng tên hoặc logo với dự án nổi tiếng

Ví dụ: Tạo một token tên “USDT-Plus” với logo giống hệt USDT thật.

Người thiếu kinh nghiệm sẽ nhầm lẫn là tiền thật và tìm cách “bán đi”.
Quá trình bán đó chính là bẫy.

3. Tặng token kèm thông điệp lừa đảo
Nhiều token rác hiển thị phần “Token name” hoặc “Symbol” chứa link như: Claim @www .Fak eUniswap Gift[.] xyz

4. Đưa vào ví người nổi tiếng để gây hiệu ứng lan truyền

Gửi token vào ví của người nổi tiếng trên chuỗi (influencer, whale).

Sau đó tung tin: “Token A được ví của CZ nhận!”
Thực chất là một chiều, không liên quan đến CZ
Tương tự như ai đó nhét tiền vào túi bạn rồi quay phim bảo bạn “vừa mua cổ phần công ty họ”.

5.Tạo liquidity giả, đẩy giá ảo, rồi tung token

Dự án scam tạo pool giao dịch với số thanh khoản rất nhỏ (ví dụ: $100) nhưng để giá rất cao.

Rồi họ phát tán token đó hàng loạt để nó hiển thị giá trị “ngất ngưởng”.
Người nhận thấy giá cao → tìm cách bán → không thể → dính bẫy (gas trap, honeypot…).

6.Phát tán qua các group chat giả danh “hỗ trợ kỹ thuật”

Kẻ lừa đảo mạo danh admin trong Telegram, Discord…

Rủ bạn nhận “airdrop”, “compensation” hay “refund” → gửi link connect ví → token kèm trap sẽ được gửi vào ví bạn.

7.Gắn token vào NFT hoặc ví khi airdrop NFT

Một số kẻ lợi dụng sự quan tâm đến NFT để gửi NFT miễn phí kèm token rác.

Hoặc token rác được “airdrop” kèm lúc mint NFT giả → người nhận tưởng “phần thưởng đi kèm”.

Vậy kẻ lừa đảo sẽ lừa bạn như thế nào bằng coin rác?

Đây là một trong vô vàn các lừa đảo lừa nha, không phải là cách duy nhất, anh em đọc tham khảo ha.

• Coin rác bạn nhận trong ví không thể giao dịch ở các sàn thông thường, cần giao dịch ở các “sàn đặc biệt” mà kẻ lừa đảo lập ra.
• Hoặc kẻ lừa đảo tạo một website mạo danh sàn giao dịch thật và báo rằng bạn cần “kết nối ví” để giao dịch số coin rác kia.
• Nhưng khi bạn kết nối, thực chất bạn đã ký vào một smart contract độc hại — cho phép scammer kiểm soát hoàn toàn ví của bạn

Thông thường anh em mua bán trao đổi coin qua các DEX cần kết nối ví, “Connect Wallet”. Và kẻ lừa đảo lợi dụng chính điều này để lấy sạch tiền của anh em. Do tính năng này thường dùng trên các DApp để truy cập ví tiền mã hoá, anh em giao dịch thường kết nối ví, nên khi trang web của kẻ gian yêu cầu kết nối ví thì nạn nhân cũng không nghi ngờ gì mà đồng ý.

Tuy nhiên, trên website giả mạo, hành động kết nối ví này cấp quyền truy cập toàn bộ: kẻ lừa đảo có thể rong ruổi, chuyển hết tài sản hoặc ký các hợp đồng mã độc mà chủ ví không hề hay biết.

Không cần bạn tiết lộ seed phrase hay private key
Khác với scam truyền thống kiểu phishing, ở đây smart contract đã cấp quyền trước rồi.
Bạn sẽ thấy mình “đã connect”, nhưng thực ra là đã ký vào giao dịch cho phép rút tài sản mà bạn không để ý.

Hậu quả
Khi đã có quyền, chỉ một cú bấm là scammer có thể rút hết ETH hoặc token trong ví của bạn.
Thậm chí bạn có thể còn không hiểu mình đã làm gì sai, bởi toàn bộ diễn ra tự động sau khi bạn approve.

Cách phòng tránh

• Luôn kiểm tra kỹ URL: nên connect ví chỉ với DApp/website mà bạn đã xác minh rõ ràng.
• Sử dụng hardware wallet (ví lạnh): khi có cảnh báo “cho phép hợp đồng”, hardware wallet hiển thị rõ từng bước, bạn sẽ nhận ra nếu hoài nghi.
• Xem kỹ quyền mà bạn đang cấp: ví dụ MetaMask sẽ hiển thị các quyền như “spend unlimited” — nên từ chối nếu thấy bất kỳ dấu hiệu lạ.
• Đừng connect ví để nhận airdrop hoặc tham gia trò đầu tư không rõ ràng.
• Trên đời không ai cho không bạn cái gì, nếu có người muốn cho bạn cái gì đó, nhất là coin, tiền mã hoá, hãy cẩn thận.

Mình nhắc lại ha, đây chỉ là một trong vô vàn cách kẻ gian lừa đảo lấy sạch tiền trong ví của bạn, anh em lưu ý nha. Cũng không nên vỗ ngực “kao có 5 cái ví, dùng 1 cái ví rác để lấy coin rác có mất gì đâu”. OK, không mất gì, nhưng lấy gì đảm bảo không có lúc bạn thay vì kết nối ví rác lại vô tình kết nối ví thật chứa tài sản của bạn thì sao?

Chúc anh em vui.