Cẩm nang nhận diện airdrop giả & phishing: cấp quyền phishing, trang lừa đảo nhận airdrop giả, lừa cụm từ khôi phục

Tôi biết khối người, săn airdrop suốt nửa năm chẳng vớ được một đợt nào ra hồn, vậy mà một đêm khuya tay run một cái, ký bay sạch những thứ gây dựng cả mấy tháng trời. Câu chuyện lúc nào cũng cùng một kiểu: thấy một tin nhắn báo "bạn đủ điều kiện, nhận ngay, có hạn", bấm vào, kết nối ví, cửa sổ bật lên, xác nhận — ba giây. Giao dịch on-chain không thể đảo ngược; một khi cú bấm đó đã ký, chẳng ai lấy lại được. Vậy nên tôi gọi màn này là "hồ sơ quái vật": kẻ thù thật sự của săn airdrop không phải là bị hụt, mà là bị câu (phishing). Mấy con quái dưới đây — mặt mũi ra sao, cắn người thế nào, né làm sao, và lỡ bị cắn thì tự cứu ra sao — tôi sẽ mổ xẻ từng con cho bạn.

Nhớ một câu trước đã: tiền không di chuyển chỉ vì bạn nhìn một trang web

Trước khi vào trận, hãy đóng đinh một sự thật nền tảng vào đầu — nó sẽ giữ cho bạn không phạm sai lầm chí mạng trong lúc hoảng loạn: tài sản trên blockchain chỉ di chuyển vì một giao dịch hoặc lượt cấp quyền do chính tay bạn ký. Chỉ mở một trang, kết nối ví, xem quảng cáo, ngắm đồng hồ đếm ngược — những hành động đó tự thân chẳng tốn của bạn một xu. Nguy hiểm luôn nằm ở bước tiếp theo: ví của bạn bật lên một hộp đòi bạn bấm "xác nhận", "ký" hay "cấp quyền", và bạn bấm nó.

Trò lừa biến hóa vô cùng, nhưng chúng chỉ có hai điểm cuối: hoặc dụ bạn ký một lượt cấp quyền hay chuyển coin, hoặc dụ bạn giao thẳng cụm từ khôi phục hay khóa riêng. Cái trước trộm một loại coin hay một tài sản cụ thể; cái sau trộm cả ví. Nhận rõ hai tuyến chính này thì mọi trò sau đó bạn đều phân loại được. Vậy nên hễ bất kỳ cửa sổ "nhận", "xác minh", "đồng bộ" hay "mở khóa" nào bật lên, hãy dừng ba giây và tự hỏi một câu: ngay lúc này tôi đang ký cái gì? Một cú dừng đó có thể cứu phần lớn gia tài của bạn.

Quái vật số 1: airdrop giả và trang nhận airdrop giả

Đây là cú mở màn phổ biến nhất. Mồi nhử của nó thường trông thế này:

• Một token tự nhiên xuất hiện trong ví của bạn, tên thường được đặt cho oách, phảng phất bóng dáng một dự án hot nào đó, và một URL nhét trong phần mô tả token bảo "vào đây nhận phần thưởng thật của bạn".
• Ai đó tag bạn hoặc nhắn riêng cho bạn trên Twitter, Telegram hay Discord, bảo bạn đủ điều kiện một đợt airdrop nào đó, kèm một liên kết nhận.
• Bạn tìm một dự án trên Google, và ô quảng cáo trên cùng là một tên miền nhái trông gần như y hệt trang chính thức, lệch một hai chữ cái, hoặc đổi .com sang .xyz, .app và đại loại vậy.

Một khi bạn bấm vào, trang nhận giả được làm rất thuyết phục: logo, màu sắc, font chữ của dự án đều sao chép, một nút "Claim (Nhận)" sáng chói trên trang, có khi còn kèm đồng hồ đếm ngược tích tắc để thúc bạn nhanh tay. Bạn kết nối ví, bấm nhận, cửa sổ bật lên — điểm mấu chốt đây — cái cửa sổ đó bắt bạn ký hoàn toàn không phải "nhận coin", mà là một lượt cấp quyền hoặc chuyển coin. Giao diện ghi "Claim", nhưng lệnh hợp đồng thực thi bên dưới lại là cấp quyền tài sản của bạn cho kẻ lừa đảo, hoặc chuyển thẳng đi.

Nhận diện thế nào? Vài quy tắc cứng:

• Soi tên miền từng chữ một. Đừng tin kết quả tìm kiếm, đừng tin liên kết người khác gửi. Muốn thật sự đến trang chính thức của một dự án, hãy bấm xuyên qua từ trang Twitter chính thức hoặc tài liệu chính thức của nó, hoặc tự gõ một URL bạn đã tự xác nhận. Tên miền nhái là tử huyệt của trò lừa này — siết chặt nó lại thì bạn lọc được phần lớn.
• Bất kỳ "nhận có hạn" nào tốt đến mức khó tin, mặc định coi là giả. Airdrop thật hiếm khi dùng chiêu ép "nhận ngay không thì mất"; dự án đàng hoàng thường viết quy tắc rõ ràng và chừa nhiều thời gian. Càng thúc bạn, càng đẩy cảm giác khan hiếm tới đỉnh thì càng đáng ngờ.
• Token lạ tự hiện trong ví — đừng bao giờ đụng vào liên kết nó đưa. Loại "airdrop" này là mồi để móc bạn vào trang phishing. Cứ coi như nó không tồn tại; tự thân nó không trộm coin của bạn.

Nói thêm một câu: airdrop thật là gì, vì sao dự án sẵn lòng phát token, và luồng nhận hợp lệ đại khái trông ra sao — những cái đó nằm trong airdrop rốt cuộc là gì. Có sẵn trong đầu một bản mẫu "bình thường thì trông thế nào", thì hàng giả tự nó lộ ra dễ hơn.

Quái vật số 2: cấp quyền phishing (approve / permit / setApprovalForAll)

Đây là con đáng bỏ thời gian hiểu cho rõ nhất, vì nó nham hiểm nhất mà cũng phổ biến nhất. Để giải thích cho ra ngô ra khoai, trước hết tôi phải nói rõ cơ chế cấp quyền là gì.

Trên chuỗi, token của bạn (chẳng hạn USDT, đủ loại token ERC-20) nằm trong chính địa chỉ của bạn. Khi bạn muốn dùng một ứng dụng DeFi — để swap, để staking — hợp đồng của ứng dụng đó cần "động vào số coin kia thay bạn". Nhưng nó không thể tự dưng động vào tiền của bạn; bạn phải cấp quyền (approve) cho nó trước: bạn ký một giao dịch bảo hợp đồng token "cho phép địa chỉ hợp đồng nọ kia được động tối đa X đồng coin này của tôi". Đây là cơ chế bình thường mà săn airdrop không né được — đã dùng DeFi thì chắc chắn từng ký approve.

Vấn đề nằm ở hai chỗ. Thứ nhất, rất nhiều lượt cấp quyền mặc định là "mức không giới hạn" — cho tiện, ứng dụng thường xin một mức không trần để sau này bạn dùng khỏi phải cấp quyền lại từng lần. Tiện thì tiện, nhưng một khi hợp đồng đó là độc hại, hoặc về sau bị hack, nó có thể quét đi toàn bộ đồng coin đó — không chỉ phần bạn định dùng. Thứ hai, lượt cấp quyền trổ ra chậm: vào khoảnh khắc bạn ký, coin trong ví không hề giảm và cửa sổ không đáng sợ, bạn chẳng cảm thấy gì. Một khi kẻ lừa đảo có lượt cấp quyền không giới hạn, chúng có thể nằm rình và quét sạch vào đúng ngày số dư của bạn cao nhất. Nhiều người "tự dưng mấy ngày sau bị hack" truy ra gốc là một lượt cấp quyền ký tùy tiện vào lúc nào đó.

Vài lệnh cấp quyền phổ biến — ít nhất bạn nên nhận ra cái tên:

• approve — dành cho token ERC-20 (USDT, đủ loại coin), cấp quyền cho một hợp đồng động vào một đồng coin của bạn, mức có thể không giới hạn.
• permit / permit2 — một cách "cấp quyền bằng chữ ký", không phải gửi giao dịch riêng, không tốn gas, lại càng kín đáo. Trang phishing rất thích nó, vì nạn nhân nghĩ "tôi chỉ ký một cái gì đó, có tiêu tiền đâu" nên mất cảnh giác nhất.
• setApprovalForAll — dành cho NFT, và con này tàn nhất: một chữ ký là cấp quyền cả bộ sưu tập NFT của bạn cho đối phương. Mấy trang "nhận NFT", "mint miễn phí" giả rất khoái nó, một phát ôm trọn cả bộ NFT của bạn đi.

Né cấp quyền phishing thế nào?

• Hiểu cửa sổ rồi mới ký. Ví chủ lưu nay đều cho một bản đọc trước khi ký: giao dịch này làm gì, cấp quyền cho ai, mức bao nhiêu. Đừng bấm xác nhận một cách vô thức — bỏ năm giây đọc cái dòng đó. Không hiểu? Đừng ký.
• Hạ mức cấp quyền xuống nếu có thể. Nhiều ví cho phép bạn đổi từ không giới hạn xuống "vừa đủ cho lần này". Lích kích hơn một chút, nhưng nén rủi ro từ "tất cả" còn lại "đúng chừng này thôi".
• Dọn dẹp cấp quyền định kỳ. Với một công cụ như revoke.cash, kết nối ví là bạn thấy được địa chỉ của mình đã cấp quyền cho những hợp đồng nào và mức bao nhiêu, rồi thu hồi từng cái không dùng và đáng ngờ. Hãy biến việc này thành thói quen thường lệ — làm thế nào và bao lâu một lần được nói riêng trong an toàn ví.

Chính chuyện cấp quyền là lý do trang này cứ nhấn mạnh phải có một ví săn airdrop chuyên dụng, không để tiền lớn trong đó: dẫu có ngày một lượt cấp quyền bị câu, thiệt hại cũng gói gọn trong cái hũ nhỏ này, còn phần nắm giữ chính và tài sản dài hạn của bạn nằm yên ổn trong một ví sạch riêng biệt, chưa hề bị động tới.

Quái vật số 3: kịch bản tự quét drainer

"Drainer" nghĩa đúng như vậy — cả một bộ kịch bản độc hại chuyên để rút sạch ví. Nó không phải một chiêu đơn lẻ mà là gói các thủ đoạn ở trên thành một "sản phẩm" — trong giới tội phạm ngầm, người ta còn cho thuê drainer cho kẻ khác, kẻ thuê lo phần dụ mồi (làm trang giả, mua quảng cáo, rải liên kết trong nhóm) còn drainer lo phần "rút sạch hiệu quả" và chia chác với kẻ thuê. Vậy nên nhiều trang phishing bạn thấy ngoài kia chạy cùng một drainer phía sau.

Nó độc ở đâu? Khoảnh khắc bạn kết nối ví, kịch bản tự động quét mọi tài sản trong địa chỉ của bạn — khắp các chuỗi, mọi token, NFT — tính ra cái nào giá trị nhất, rồi dày công dựng một cửa sổ hóa trang "lượt cấp quyền hoặc chuyển coin giá trị cao nhất" cho giống một cú "nhận" hay "xác minh" vô hại, dụ bạn ký một lượt. Có loại còn đi xa hơn, chia chữ ký thành mấy bước, ban đầu cho chút ngọt nhỏ để hạ cảnh giác rồi giáng đòn thật ở bước cuối. Cả quá trình tự động hóa cao độ; từ lúc bạn kết nối ví đến lúc tài sản bị quét có thể chỉ là vài chục giây.

Phòng drainer chẳng có gì huyền bí — chỉ là làm cho chắc phần việc của hai mục trước: đừng vào trang không rõ lai lịch, đừng ký thứ không hiểu, và cách ly rủi ro bằng một ví nhỏ chuyên dụng. Drainer dù "thông minh" tới đâu, nó vẫn phải chờ bạn tự tay nhấn cái nút xác nhận rồi mới ra tay được. Quản được cái tay đó thì nó chỉ là con hổ giấy.

Quái vật số 4: lừa cụm từ khôi phục và khóa riêng

Mấy con trước ít ra còn phải dụ bạn ký một thứ gì đó; con này nhắm thẳng chìa khóa tổng: dụ bạn giao cụm từ khôi phục hoặc khóa riêng. Một khi thành công, nó còn chẳng cần chữ ký của bạn — có cụm từ khôi phục của bạn, nó có thể "sao chép" cả ví của bạn sang bất kỳ thiết bị nào, và mọi chuỗi, mọi tài sản dưới tên bạn đổi chủ trong nháy mắt. Đây là cú mất mát triệt để nhất, vì nó trộm không phải một đồng coin cụ thể mà là quyền sở hữu cả ví.

Cụm từ khôi phục (thường là 12 hoặc 24 từ tiếng Anh) và khóa riêng rốt cuộc là gì, vì sao chúng tương đương chìa khóa tổng, được giải thích đầy đủ trong an toàn ví. Ở đây bạn chỉ cần nhớ một lằn ranh đỏ không có ngoại lệ:

Vài lớp da phổ biến mà trò lừa này khoác lên:

• Trang "đồng bộ / nhập ví" giả. Dựng một trang trông như MetaMask hay ví Binance, bảo ví của bạn cần "xác minh lại / đồng bộ", rồi đòi bạn nhập cụm từ khôi phục. Khoảnh khắc bạn điền vào, từng từ rơi vào tay kẻ lừa đảo.
• Hỗ trợ giả "giúp bạn sửa lỗi". Bạn than trong một nhóm nào đó rằng ví đang trục trặc, lập tức có "nhân viên hỗ trợ" hay "quản trị viên" nhắn riêng cho bạn, nhiệt tình dắt bạn tới một trang nào đó hoặc đòi thẳng bạn gửi cụm từ khôi phục cho họ "để giúp khôi phục". Hỗ trợ thật sẽ không bao giờ đòi cái đó.
• App ví giả / tiện ích mở rộng giả. Một ví tải về từ nguồn không chính thức tự thân đã là một cái vỏ; khi bạn tạo hoặc nhập ví, cụm từ khôi phục bị tóm ngay lập tức. Vậy nên luôn cài ví từ kênh chính thức — điểm được nhấn đi nhấn lại trong hướng dẫn ví Binance Web3.
• Ô nhập cụm từ khôi phục "nhái cao". Một số trang phishing chu đáo bày 12 / 24 ô nhập thành một hàng, trông rất giống màn nhập ví hợp lệ để hạ cảnh giác của bạn. Giao diện giống đến đâu thì logic vẫn không đổi: hàng thật không bao giờ hỏi cụm từ khôi phục của bạn.

Nói toạc ra, cụm từ khôi phục nên sống ngoại tuyến cả đời; từ ngày bạn chép nó xuống, nó không bao giờ được gõ lại vào bất kỳ trang web, bất kỳ ô chat, hay bất kỳ cuộc trò chuyện hỗ trợ nào nữa. Ngoài đúng một trường hợp khôi phục ví bên trong một app ví mà bạn tin tưởng, mọi nơi khác đòi nó đều đang nhắm vào toàn bộ gia tài của bạn.

Quái vật số 5: giả hỗ trợ, giả tài khoản chính thức, giả nhóm bị kéo vào

Con này là "kênh tìm khách" cho tất cả các chiêu ở trên. Kẻ lừa đảo trước hết phải đưa được bạn tới một trang phishing, hoặc chiếm được lòng tin của bạn, rồi mới triển khai mấy thủ đoạn trước đó. Cách thức rất kiểu thao túng tâm lý:

• Tài khoản chính thức giả / nhái cao độ. Ảnh đại diện, tên, tiểu sử đều sao chép từ dự án thật, có kẻ còn mua cả tích xanh, rồi trả lời "nhận airdrop ở đây" dưới các bài đăng nổi của dự án thật, hoặc đăng thẳng "airdrop chính thức đã mở". Người mới không phân biệt nổi thật giả nên bấm bừa.
• Phishing trong phần bình luận và tin nhắn riêng. Bạn bình luận dưới một bài liên quan đến crypto, hoặc vừa theo dõi một dự án, là chẳng bao lâu một "trợ lý chính thức" hay "chuyên viên airdrop" nhắn riêng cho bạn. Nhớ kỹ: một dự án đàng hoàng gần như không bao giờ tự nhắn riêng gửi liên kết cho bạn. Ai tự mò tới, mặc định coi là kẻ lừa đảo.
• Nhóm giả / nhóm bị "kéo vào". Bạn bỗng dưng bị kéo vào một nhóm trông rất rôm rả, trong đó "chim mồi" khoe lãi và quản trị viên đăng "kênh nhận độc quyền". Nhóm càng rôm rả, khoe càng lố, thúc càng gấp thì bạn càng phải dè chừng.
• Thông báo "cửa sổ ví" giả. Một số NFT hoặc token được airdrop vào địa chỉ bạn dưới dạng "thông báo"; mở ra thấy ghi "chúc mừng bạn trúng thưởng, bấm vào đây để nhận", nhưng thật ra chỉ là lái bạn tới một trang phishing.

Lỡ dính thì tự cứu thế nào: ngắt, thu hồi, dời, ghi

Nếu thật sự có chuyện, đừng đông cứng tại chỗ. Giao dịch on-chain không thể đảo ngược, nhưng chạy đua với thời gian thường vẫn cứu được một phần, nhất là khi kẻ lừa đảo chưa quét hết coin, hoặc bạn chỉ bị câu một lượt cấp quyền chứ chưa lộ cụm từ khôi phục. Nhớ bốn chữ: ngắt, thu hồi, dời, ghi.

1. Ngắt — ngắt kết nối ngay. Việc đầu tiên, ngắt kết nối ví khỏi trang đó (danh sách "trang đã kết nối" trong ví cho phép bạn ngắt thủ công), đóng trang phishing, và ngắt mạng nếu cần. Cắt cái tương tác đang dở trước đã để chặn nó dụ bạn vào chữ ký tiếp theo.
2. Thu hồi — thu hồi lượt cấp quyền. Nếu bạn nghi mình đã ký một lượt cấp quyền, lập tức kết nối ví đó với revoke.cash, kiểm tra từng bản ghi cấp quyền, và thu hồi lượt cấp quyền của hợp đồng đáng ngờ kia. Lưu ý: thu hồi cũng cần gửi một giao dịch và tốn gas, nên hãy giữ một chút gas trong ví. Càng nhanh càng tốt — nó cắt được kênh "tiếp tục bị quét từ giờ trở đi". Nhưng phải tỉnh táo: nó không lấy lại được số coin đã bị quét, chỉ cầm được máu về sau.
3. Dời — dời tài sản còn lại. Nếu cái bạn làm lộ là cụm từ khôi phục hoặc khóa riêng, thì thu hồi cấp quyền vô ích, vì kẻ lừa đảo có chìa khóa tổng. Trong trường hợp đó, cái ví coi như đồ bỏ: lập tức dời các tài sản giá trị còn trong đó sang một ví mới tinh, sạch sẽ (tạo trên thiết bị mới bằng cụm từ khôi phục mới — đừng bao giờ dùng lại bộ đã lộ). Bạn đang đua với kẻ lừa đảo; kịch bản/tay ai nhanh hơn thì người đó lấy, nên dời cho nhanh và dời cái giá trị cao nhất trước.
4. Ghi — ghi lại và truy soát. Sau đó, dùng một trình duyệt khối (Etherscan, BscScan) lùa lại lịch sử giao dịch của địa chỉ này, xem chính xác đã ký cái gì, coin rời đi từ giao dịch nào, và đi tới địa chỉ nào, rồi ghi lại. Một là để hiểu ranh giới thiệt hại và xác nhận còn lượt cấp quyền nào chưa thu hồi không; hai là phòng khi số tiền lớn cần trình báo hoặc nêu với một nền tảng, những bằng chứng on-chain này dùng được.

Tất nhiên, cú tự cứu tốt nhất là đừng bao giờ để mọi chuyện đi đến nước này. Tách ví săn airdrop khỏi tiền lớn, thu hồi định kỳ, hiểu cửa sổ rồi mới ký, đừng đụng liên kết không rõ lai lịch — những thói quen hằng ngày này hữu ích gấp trăm lần so với cuống cuồng chữa cháy sau đó. Để dựng tuyến phòng thủ này, đọc kỹ An toàn ví: cụm từ khôi phục, khóa riêng, ví cứng và quản lý cấp quyền rồi sắm trọn bộ đồ bảo hộ; nếu bạn còn chưa có bức tranh toàn cảnh, quay về airdrop rốt cuộc là gì để đi qua toàn bộ ngọn nguồn của việc săn airdrop, rồi soi mình theo 10 lỗi mà người mới săn airdrop hay mắc nhất để gỡ mìn cho chính mình. Trên màn chống lừa đảo, nhận ra được quái vật là bạn đã thắng nửa trận; nửa còn lại nằm ở những thói quen bạn gây dựng.

Câu hỏi thường gặp

Tôi mở một liên kết phishing nhưng chưa ký gì cả, có mất coin không?

Chỉ mở trang web và kết nối ví thì thường chưa đến mức mất coin. Nguy hiểm thật sự là khi bạn đi tiếp, bấm vào một cửa sổ ví kiểu "xác nhận", "ký" hay "cấp quyền". Tiền trên blockchain không di chuyển vì bạn liếc qua một trang web; nó chỉ di chuyển vì một giao dịch hoặc lượt cấp quyền do chính tay bạn ký. Vậy nên nếu đã kết nối ví mà chưa ký gì, đừng hoảng — ngắt kết nối, đóng trang, rồi vào revoke.cash kiểm tra xem trang đó có câu được lượt cấp quyền nào không.

Cấp quyền approve khác chuyển coin trực tiếp ở chỗ nào, và vì sao cấp quyền lại nham hiểm hơn?

Chuyển coin là dời coin đi thẳng — bạn gửi bao nhiêu thì đi bấy nhiêu, thấy ngay tại chỗ. Cấp quyền (approve) là bạn cho phép một hợp đồng "từ giờ được động vào token này của bạn", có thể với mức không giới hạn. Cái nham hiểm của nó là lúc ký, coin của bạn chưa hề giảm và cửa sổ thông báo không đáng sợ; mối nguy trổ ra muộn hơn: một khi kẻ lừa đảo có lượt cấp quyền không giới hạn, chúng có thể quét sạch vào đúng lúc số dư của bạn cao nhất. Đó là lý do nhiều người "mấy ngày sau mới bị hack".

Sau khi bị câu mất một lượt cấp quyền, thu hồi trên revoke.cash có lấy lại được số coin đã bị trộm không?

Không. Thu hồi cấp quyền chỉ cắt được kênh tiếp tục bị quét "từ giờ trở đi"; tài sản đã dời đi rồi thì không lấy lại được, vì giao dịch on-chain không thể đảo ngược. Vậy nên thu hồi là để cầm máu: nếu lượt cấp quyền vẫn còn hiệu lực và coin chưa bị quét hết, thu hồi nhanh sẽ giữ được phần còn lại; nếu khóa riêng hoặc cụm từ khôi phục đã bị lộ thì thu hồi cũng vô ích, bạn phải bỏ hẳn cả ví và dời tài sản sang một ví mới tinh.

Vì sao mọi trò lừa cuối cùng đều đòi cụm từ khôi phục hoặc khóa riêng của tôi?

Vì cụm từ khôi phục và khóa riêng là chìa khóa tổng của ví; có được chúng nghĩa là có toàn bộ tài sản trên mọi chuỗi dưới ví đó, không cần bạn ký thêm gì nữa. Không một đợt airdrop, nhân viên hỗ trợ hay hoạt động chính thức thật nào lại cần bạn cung cấp cụm từ khôi phục hoặc khóa riêng. Vậy nên đây là lằn ranh đỏ không có ngoại lệ: dù lý do nghe có hợp lý đến đâu, khoảnh khắc ai đó hỏi cụm từ khôi phục hoặc khóa riêng của bạn, họ là kẻ lừa đảo — đóng lại.

Ví tôi bỗng dưng có thêm một token lạ không rõ tên, phải xử lý thế nào?

Đừng đụng vào nó, đặc biệt đừng bấm bất kỳ liên kết "trang chính thức" hay "nhận" nào đính kèm. Một token lạ tự nhiên được airdrop vào địa chỉ bạn mà không có lý do, trong đại đa số trường hợp, là mồi nhử: nó dụ bạn tới một trang phishing để chờ bạn cấp quyền hoặc ký. Cách làm đúng là coi như nó không tồn tại — không tương tác, không cấp quyền, và ẩn nó trong ví nếu cần. Bản thân nó không tự trộm coin của bạn; rắc rối chỉ bắt đầu nếu bạn đụng vào liên kết của nó hoặc ký một thứ gì đó.

Muốn tự kiểm tra và thu hồi cấp quyền, dùng revoke.cash; hướng dẫn an toàn chính thức của ví xem tại Trung tâm trợ giúp MetaMask; giao dịch on-chain và dòng tiền có thể tự tra trên các trình duyệt khối Etherscan và BscScan; phần giải thích khái niệm các cơ chế như approve, tham khảo Binance Academy và ethereum.org.