Em vừa ký một message lạ trên website không rõ — em phải làm gì ngay bây giờ?

Hành động đầu tiên: vào revoke.cash, kết nối ví đó, tìm bất kỳ approval lạ và revoke ngay. Nếu em ký Permit2 message, không thể revoke off-chain signature trực tiếp, nhưng em có thể di chuyển token sang ví mới — token chưa bị drain sẽ an toàn. Move toàn bộ USDC, USDT, WETH, WBTC, NFT sang ví mới (preferably hardware wallet). Mất gas nhưng an toàn. Sau đó, ví cũ em không bao giờ dùng nữa.

Hardware wallet như Ledger có 100% an toàn khỏi signing scam không?

Ledger an toàn 95-98% nhưng KHÔNG phải 100%. Em vẫn phải ĐỌC message hiển thị trên màn hình Ledger trước khi confirm. Một số scam dùng "blind signing" — yêu cầu em ký hex string mà Ledger không thể parse rõ. Quy tắc: nếu Ledger hiển thị "Blind signing required" hoặc "Cannot parse", REJECT trừ khi em hiểu 100% nội dung. Bật setting "Disable blind signing" trong Ledger setting cho an toàn nhất.

Pocket Universe và Wallet Guard, em nên dùng cái nào?

Cả 2 đều free và đều tốt. Pocket Universe có support tốt hơn cho Solana, UI thân thiện hơn cho beginner. Wallet Guard có nhiều integration với DeFi dApp hơn, alert chi tiết hơn về Permit2. Em có thể cài cả 2 — chúng không conflict. Em personally dùng Pocket Universe + Etherscan Token Approval định kỳ.

Em không có Ledger, dùng MetaMask trên điện thoại — em có an toàn không?

MetaMask mobile an toàn về kỹ thuật (private key được lưu trong secure enclave của iPhone hoặc Android Keystore), nhưng VẪN dễ bị signing scam. Em vẫn phải đọc kỹ message trước khi ký. Cảnh báo lớn nhất với mobile wallet là kết nối WalletConnect — nhiều scam dùng WalletConnect QR để force em ký message từ website lừa đảo. Luôn check URL website em đang connect trước khi scan QR.

Sàn pilot VN (CAEX, TCEX) có an toàn hơn DeFi không?

Về signing scam — có, an toàn hơn vì sàn pilot là CEX, em không cần ký message off-chain. Em chỉ login bằng password + 2FA, mọi giao dịch nội sàn không cần ký Web3. Tuy nhiên CEX có rủi ro khác (custody risk, hack sàn, withdraw freeze). Em recommend approach kết hợp: phần dài hạn ở Ledger hardware, phần trading ở CEX (sàn pilot VN hoặc Binance, OKX), không dùng DeFi nhiều nếu em chưa quen security Web3.

Cộng đồng MaHoa có support em nếu em bị scam không?

MaHoa AI Team không có nguồn vốn bồi thường cho user bị scam — chúng tôi là cộng đồng giáo dục, không phải sàn hay quỹ bảo hiểm. Tuy nhiên em có thể vào Telegram MaHoa hoặc support qua website daututaisanmahoa.com để hỏi và được hướng dẫn xử lý. Quan trọng hơn cả: phòng bệnh hơn chữa bệnh — học security KỸ ngay từ đầu sẽ tránh được phần lớn rủi ro. Bài này là step 1.

Quay lại danh sách

Bảo mật & How-toTrung cấp#Web3 security#Signing scam#Phishing crypto

Signing message scam Web3 2026: 5 dạng lừa đảo phổ biến và cách phòng tránh cho người Việt

Cập nhật: 12 tháng 5, 2026

Trong số các vụ mất tiền Web3 em đã review trong cộng đồng MaHoa Q1/2026, gần 60% không phải do hack private key mà do "signing message scam" — nạn nhân tự tay ký một tin nhắn tưởng vô hại trong MetaMask hoặc Phantom, và toàn bộ tài sản bị drain trong vài giây. Đây là hình thức lừa đảo tinh vi nhất hiện nay vì victim KHÔNG bị mất private key, ví vẫn an toàn về kỹ thuật, nhưng tài sản đã chuyển sạch sang ví hacker. Bài viết này em phân tích 5 dạng signing scam phổ biến nhất, giải thích cơ chế kỹ

Tâm — CMO MaHoa AI Team2026-05-12T01:37:51.511Z11 phút đọc695 lượt xem