Anh, Mỹ và Canada khởi động Operation Atlantic chống lừa đảo crypto

Operation Atlantic là chiến dịch phối hợp giữa Mỹ, Anh và Canada nhằm phát hiện và ngăn chặn lừa đảo tiền điện tử theo thời gian thực, thay vì chỉ lần theo dòng tiền sau khi nạn nhân đã mất tài sản.

Sự thay đổi này phản ánh thực tế rằng nhiều vụ gian lận Web3 không còn dựa vào “hack” thuần túy, mà dựa vào việc dụ người dùng tự cấp quyền cho kẻ xấu, khiến tài sản bị rút sạch ngay trên blockchain.

Operation Atlantic tập trung chặn “approval phishing” ngay khi rủi ro xuất hiện

Trọng tâm của Operation Atlantic là nhận diện và ngăn “approval phishing”, dạng lừa đảo khiến nạn nhân ký giao dịch cấp quyền, từ đó kẻ tấn công có thể truy cập và rút tiền khỏi ví crypto.

Mục tiêu chính được nêu tại thông báo chính thức của cơ quan Anh, nơi chiến dịch xác định đối tượng trọng tâm là “approval phishing”. Thay vì chỉ truy vết sau sự cố, lực lượng điều tra tìm cách phát hiện dấu hiệu rủi ro trước khi tiền bị chuyển đi.

Điểm khác biệt của Operation Atlantic là tận dụng dữ liệu theo thời gian thực và phối hợp với các công ty blockchain tư nhân để quan sát hành vi ví, mô hình giao dịch và các tín hiệu bất thường. Cách tiếp cận này chuyển từ “điều tra phản ứng” sang “phòng ngừa chủ động”, nhằm can thiệp ở giai đoạn nạn nhân còn có thể dừng ký hoặc thu hồi quyền.

Brent Daniels, Phó Trợ lý Giám đốc phụ trách hoạt động hiện trường của U.S. Secret Service, nhấn mạnh mức độ thiệt hại do approval phishing và lừa đảo đầu tư, theo thông cáo đăng tải bởi U.S. Secret Service.

Phía Anh cũng coi đây là bài toán xuyên biên giới. Paul Foster, Phó Giám đốc mảng an ninh mạng của NCA, cho rằng tội phạm hoạt động qua nhiều quốc gia nên phản ứng cũng phải mang tính quốc tế.

Điều tra viên sẽ phối hợp sàn crypto và VASP để cảnh báo nạn nhân trước khi bị rút tiền

Cơ quan chức năng sẽ làm việc với các sàn crypto và nhà cung cấp dịch vụ tài sản ảo (VASP) để theo dõi mẫu giao dịch đáng ngờ, sau đó chủ động liên hệ nạn nhân tiềm năng trước khi gian lận hoàn tất.

Trọng tâm triển khai là giám sát các “mẫu hình” giao dịch và hành vi ví có dấu hiệu bị thao túng. Khi xác định một ví đang ở trạng thái rủi ro, điều tra viên sẽ liên hệ với người có khả năng là nạn nhân qua điện thoại hoặc email để cảnh báo sớm, giúp họ dừng tương tác, hủy/giảm quyền, hoặc thực hiện biện pháp bảo vệ tài sản.

Cách làm này nhằm cắt đứt chuỗi lừa đảo ở thời điểm quan trọng nhất: trước khi nạn nhân ký giao dịch cấp quyền hoặc trước khi quyền đã cấp bị khai thác để chuyển tài sản. Trong bối cảnh giao dịch blockchain có thể diễn ra nhanh và không thể đảo ngược, “cảnh báo trước” có thể có giá trị tương đương thu hồi tài sản sau khi mất.

“Pig butchering” là chiến thuật thao túng, “approval phishing” là cơ chế rút tiền

Operation Atlantic cũng nhắm đến “pig butchering”, hình thức lừa đảo xây dựng lòng tin dài hạn; sau đó kẻ gian thường dùng approval phishing hoặc hợp đồng thông minh độc hại để chiếm quyền và rút crypto khỏi ví.

Trong “pig butchering”, kẻ lừa đảo thường kéo dài tương tác, tạo cảm giác tin cậy và dẫn dắt nạn nhân tham gia các hoạt động đầu tư hoặc ký kết giao dịch theo hướng có lợi cho kẻ xấu. Khi đã có đủ “độ tin”, bước tấn công thường chuyển sang phần kỹ thuật: dụ nạn nhân ký giao dịch hoặc tương tác với hợp đồng thông minh độc hại.

Điểm cần phân biệt là “pig butchering” mô tả chiến lược thao túng tâm lý và quy trình tiếp cận nạn nhân, còn “approval phishing” là cơ chế cho phép kẻ gian thực sự rút tiền: nạn nhân vô tình cấp quyền truy cập tài sản hoặc quyền chuyển token, tạo điều kiện để tài sản bị “drain” mà không cần xâm nhập ví theo nghĩa truyền thống.

Operation Atlantic kế thừa mô hình phối hợp từ Project Atlas năm 2024

Sáng kiến mới được xây dựng dựa trên kinh nghiệm của Project Atlas, chiến dịch do Canada dẫn dắt năm 2024 nhằm nhắm vào các mạng lưới lừa đảo đầu tư tiền điện tử mang tính quốc tế.

Project Atlas được nêu như một tiền lệ thể hiện hiệu quả của việc “phá vỡ phối hợp” các mạng lưới gian lận, thay vì xử lý đơn lẻ theo từng quốc gia. Trong bối cảnh lừa đảo đầu tư crypto thường dùng hạ tầng đa quốc gia (đối tượng, nạn nhân, tài khoản trung gian, dịch vụ công nghệ), mô hình hợp tác đa cơ quan giúp rút ngắn thời gian chia sẻ thông tin và hành động.

Đại diện lực lượng cảnh sát tỉnh Ontario cho rằng mức độ hợp tác như vậy là thiết yếu khi gian lận ngày càng toàn cầu hóa.

Dữ liệu cho thấy lừa đảo crypto tăng mạnh, nhưng tỷ trọng bất hợp pháp vẫn nhỏ

Chainalysis ước tính kẻ lừa đảo nhận khoảng 14 tỷ USD crypto trong năm 2025, trong khi TRM Labs cho biết hoạt động bất hợp pháp đạt 158 tỷ USD năm trước nhưng chỉ chiếm khoảng 1,2% tổng hoạt động thị trường.

Các con số này cho thấy hai xu hướng song song. Một mặt, quy mô tuyệt đối của lừa đảo và dòng tiền bất hợp pháp rất lớn, tạo áp lực lên cơ quan thực thi và các doanh nghiệp trong hệ sinh thái. Mặt khác, tỷ trọng 1,2% gợi ý rằng phần “kinh tế crypto hợp pháp” vẫn đang mở rộng nhanh hơn, khiến phần bất hợp pháp dù tăng về giá trị vẫn chiếm tỷ lệ nhỏ trong bức tranh tổng thể.

Chainalysis cũng cho biết nhà điều tra có thể xác định hơn 17 tỷ USD khi tiếp tục phát hiện thêm các ví bất hợp pháp. Điều này hàm ý rằng khả năng gắn nhãn địa chỉ, quy kết thực thể và hợp tác dữ liệu (giữa cơ quan công quyền và đơn vị phân tích blockchain) đang cải thiện, hỗ trợ mô hình can thiệp sớm như Operation Atlantic.

Tóm lược: Web3 cần cải thiện trải nghiệm quyền truy cập để giảm approval phishing

Approval phishing phơi bày điểm yếu thiết kế Web3 khi người dùng khó hiểu hết quyền đã cấp cho hợp đồng thông minh, còn tội phạm mở rộng quy mô lừa đảo nhanh không kém tốc độ phát triển của ngành crypto.

Nhiều vụ “drain” không bắt đầu bằng việc phá khóa ví, mà bắt đầu từ một thao tác hợp lệ do chính người dùng ký. Vì vậy, ngoài thực thi pháp luật, bài toán còn nằm ở giao diện ví, cảnh báo rủi ro theo ngữ cảnh, chuẩn hiển thị quyền (allowance/permit), và các cơ chế dễ kiểm tra, dễ thu hồi quyền đã cấp.

Việc phối hợp xuyên biên giới nhằm ngăn chặn theo thời gian thực cho thấy cách phản ứng đang thay đổi. Tuy nhiên, khi các mạng lưới lừa đảo có thể tái tạo kịch bản nhanh và tận dụng tâm lý con người, phòng ngừa vẫn cần kết hợp giữa công nghệ phân tích on-chain, chính sách tuân thủ của sàn/VASP, và giáo dục người dùng về quyền truy cập ví.

Những câu hỏi thường gặp

Approval phishing trong crypto là gì?

Approval phishing là kiểu lừa đảo dụ người dùng ký giao dịch cấp quyền (approval/permit) cho token hoặc ví, giúp kẻ xấu có quyền chuyển tài sản. Nạn nhân tưởng chỉ “xác nhận” thao tác bình thường, nhưng thực tế đang trao quyền rút tiền cho kẻ tấn công.

Operation Atlantic khác gì so với truy vết sau khi bị lừa?

Thay vì chờ xảy ra thiệt hại rồi mới lần theo dòng tiền, Operation Atlantic ưu tiên phát hiện rủi ro theo thời gian thực và can thiệp sớm. Khi thấy ví có nguy cơ, họ có thể liên hệ nạn nhân qua điện thoại hoặc email trước khi tiền bị chuyển đi.

Pig butchering liên quan thế nào đến approval phishing?

Pig butchering là chiến thuật thao túng, xây dựng niềm tin dài hạn để dẫn dắt nạn nhân. Sau khi nạn nhân tin tưởng, kẻ lừa đảo thường dùng approval phishing hoặc hợp đồng thông minh độc hại như cơ chế kỹ thuật để rút crypto khỏi ví.

Dữ liệu nào cho thấy quy mô lừa đảo crypto đang lớn?

Chainalysis ước tính kẻ lừa đảo nhận khoảng 14 tỷ USD crypto trong năm 2025. TRM Labs ghi nhận hoạt động crypto bất hợp pháp đạt 158 tỷ USD trong năm trước, tương đương khoảng 1,2% tổng hoạt động thị trường.