Trên đường đời tấp nập, đã từng bao giờ bạn vấp phải “seed words” chứa 12 ký tự của một ví chưa? Chắc hẳn đã đôi lần, trên telegram, reddit, trên facebook, trên github, trên twitter.
“lộ key rồi bạn ơi”, ta nghĩ rằng mình may mắn & nhập key đó vào metamask, xem account, wow, quả thật là có tiền thật:
Nhưng acc này lại chưa có eth, nên giờ ta chỉ cần chuyển chút eth vào là sẽ lấy được số token này rồi, tuyệt vời.
Ta tiến hành chuyển eth vào, và nhận ra rằng, số eth của mình đã lập tức không cánh mà bay.
Ta đã bị gài bẫy!!! trong bảo mật kĩ thuật này gọi là Honeypot.
Ta đã bị gài bẫy thế nào?
Ta bị gài bằng front-running BOT.
Bot sẽ lắng nghe mỗi khi có eth chuyển vào account thì ngay lập tức tạo một transaction chuyển ra, sẵn sàng trả phí cực cao để được mine sớm.
Kết quả là người chuyển vào chưa kịp thao tác gì thì tiền đã được chuyển đi mất.
Nhìn trên etherscan, ta có thể thấy rằng cứ một transaction chuyển vào sẽ ngay lập tức có một transaction chuyển ra.
Các BOT này kiếm được nhiều tiền không?
Không nhiều lắm, hãy tưởng tượng người muốn lấy token chuyển một số tiền chỉ đủ trả phí giao dịch cho honeypot, sau đó bot sẽ sẵn sàng dùng đến 70% (hoặc cao hơn) số tiền này để trả phí, thì số tiền còn lại cuối cùng sẽ rất nhỏ. Tuy nhiên tích tiểu thành đại, chạy lâu thì cũng sẽ thành nhiều tiền.
Kết luận
Kiểu lừa đảo này rất cổ điển, tồn tại từ rất lâu rồi, và đến giờ vẫn đang hoạt động. Và nó biến tướng đi khá nhiều hình thức khác nhau. Ví dụ như trên telegram dạo gần đây thường xuyên có các acc đi spam seed words kiểu thế này:
Đó chính là honeypot.
Nhặt tiền rơi trên mạng không hề dễ, nếu có ai lộ private key hoặc seed words thực sự, hãy yên tâm là sẽ bị nhặt trong vòng chưa tới 1 phút. Nên cái gì dễ dàng thì thường sẽ là bẫy, hãy luôn cẩn trọng với tiền của chính mình 😁