TOKEMIST

Cách Tạo Ví MetaMask (2026): 4 Bước Tránh Mất Tiền Ngay Từ Đầu

Hướng dẫn từng bước cài MetaMask đúng nguồn, lưu seed phrase an toàn, và kiểm soát token approval — 3 việc người mới hay bỏ qua khi tạo ví lần đầu.

BT
Bùi Thắng15 phút · Beginner
Verified Facts · Tháng 5 năm 2026

Phần lớn người tạo ví MetaMask xong rồi nghĩ là xong việc. 5 phút, đơn giản, done.

Nhưng đây mới là vấn đề: hầu hết các vụ mất tiền không xảy ra lúc tạo ví — mà xảy ra ngay sau đó. Seed phrase lưu chưa đủ an toàn. Không biết ví đang kết nối dApp nào. Và không hiểu mình vừa cấp quyền gì khi bấm "Confirm".

Một chữ ký sai. Toàn bộ ví bị drain trong vài giây.

Đây là cách tạo ví MetaMask đúng từ đầu — và quan trọng hơn, cách kiểm soát nó sau khi tạo xong.

Xem thêm: Tổng hợp công cụ giao dịch on-chain cho người mới →

MetaMask là ví crypto phi tập trung (non-custodial) dạng browser extension và mobile app, cho phép bạn lưu trữ, gửi, nhận token và kết nối với các ứng dụng DeFi trên các mạng EVM như Ethereum, BNB Chain, Polygon, Base, và Avalanche. Ví dụ thực tế: Bạn có 5 triệu đồng quy ra USDC, muốn gửi vào Aave để nhận lãi — bạn cần MetaMask để kết nối với giao thức đó.

Bước 1: Cài MetaMask đúng nguồn

Keyword target: cài MetaMask Chrome, tải MetaMask

Chú ý: Không tin bất kỳ ai, kể cả Tokemist. Hãy gõ trực tiếp metamask.io vào trình duyệt rồi bookmark lại cho lần sau.

40 extension giả. Tất cả dùng logo và tên y hệt bản thật.

Từ tháng 4/2025, hơn 40 extension giả mạo MetaMask và Coinbase đang active trên Firefox Add-ons Store. Sau khi cài, chúng âm thầm gửi seed phrase của bạn về server của hacker — không có dấu hiệu gì cho đến khi ví sạch bóng (nguồn: Invezz, tháng 7/2025).

Cụ thể như này — chỉ cài từ một trong hai nguồn:

  1. Truy cập metamask.io/download → bấm link dẫn thẳng đến Chrome Web Store hoặc Firefox Add-ons
  2. Tìm trực tiếp trên Chrome Web Store — nhưng phải kiểm tra kỹ trước khi bấm "Add to Chrome"

Cách nhận biết extension thật:

  • Publisher: "MetaMask" (chữ xanh verified)
  • Lượt cài đặt: hơn 10 triệu (tháng 5/2026)
  • URL: chrome.google.com/webstore/detail/metamask/nkbihfbeogaeaoehlefnkodbefgpgknn

Trên mobile: Tải từ App Store hoặc Google Play, tìm "MetaMask", chọn app của developer "MetaMask".

Bước 2: Tạo ví và lưu seed phrase

Sau khi cài xong, mở extension → "Create a new wallet".

Mật khẩu thiết bị ≠ seed phrase

Nhiều người nhầm hai thứ này.

Mật khẩu chỉ mở khóa MetaMask trên thiết bị hiện tại. Mất máy là mất mật khẩu luôn — nhưng không mất tiền, vì seed phrase vẫn còn. Ngược lại, mất seed phrase là mất tất cả, dù máy vẫn còn nguyên.

Seed phrase là ví, không phải backup

MetaMask hiển thị 12 từ tiếng Anh theo thứ tự cố định khi tạo ví. Đây là Secret Recovery Phrase.

Seed phrase là chuỗi 12–24 từ theo chuẩn BIP-39, dùng để tạo lại toàn bộ private key trong ví. Ai có seed phrase là kiểm soát toàn bộ tài sản trong ví đó — trên mọi thiết bị, mọi mạng, mãi mãi. Ví dụ thực tế: Mất điện thoại chứa MetaMask — nhưng nếu còn seed phrase, bạn khôi phục lại ví đầy đủ trên máy mới trong 2 phút.

Làm:

  • Viết tay ra giấy, không dùng máy tính
  • Làm ít nhất 2 bản, cất ở 2 nơi khác nhau (ví dụ: nhà và cơ quan)
  • Kiểm tra lại từng từ trước khi đóng màn hình
  • (Nâng cao) Đảo thứ tự các từ seed phrase theo quy tắc riêng của bạn trước khi ghi ra — ví dụ đảo ngược hoàn toàn hoặc hoán đổi theo vị trí. Lưu ý: bạn phải nhớ chính xác quy tắc đó để khôi phục đúng thứ tự gốc khi cần.

Không làm:

  • Chụp ảnh màn hình
  • Lưu trên Google Drive, iCloud, email
  • Gửi qua Telegram, Zalo, bất kỳ app chat nào
  • Nhập vào bất kỳ website nào trừ MetaMask chính thức

Năm 2025, hơn $50 triệu USD bị mất qua các chiêu lừa seed phrase, theo Chainalysis. Hình thức phổ biến nhất: email giả từ "MetaMask Support" yêu cầu nhập seed phrase để "kích hoạt bảo mật 2FA" (nguồn: crypto.news).

MetaMask không bao giờ gửi email, gọi điện, hay nhắn tin hỏi seed phrase của bạn. Không có ngoại lệ.

Bước 3: Hiểu Connected Sites và Token Approval

Tháng 5/2025. Một user mất $146,551 sau một chữ ký duy nhất.

Transaction trông hoàn toàn bình thường. Thực ra đó là batch transaction của Inferno Drainer — nhóm hacker đã đăng ký trước một contract ủy quyền hợp lệ trong EIP-7702, sau đó dụ user ký vào. Toàn bộ ví bị drain trong vài giây (nguồn: CryptoSlate).

Đây không phải lỗi kỹ thuật. Đây là lỗi không hiểu mình vừa ký cái gì.

Hai loại permission — rủi ro hoàn toàn khác nhau

Connected Sites là khi dApp được phép nhìn thấy địa chỉ ví của bạn. Chỉ vậy thôi. Không thể chuyển token, không thể làm gì khác. Rủi ro thấp.

Token Approval là khác. Khi dùng Uniswap swap hoặc deposit vào Aave, MetaMask hỏi bạn có cho phép smart contract chuyển token từ ví bạn không. Smart contract đó sau đó được quyền rút token bất cứ lúc nào — ngay cả khi bạn không mở MetaMask.

Và đây là điều nhiều người không biết: disconnect khỏi dApp không xóa Token Approval. Quyền rút token vẫn còn nguyên cho đến khi bạn chủ động thu hồi.

⚠️ Case study 1: Tháng 5/2025, một user mất $146,551 vì batch transaction của Inferno Drainer như mô tả ở trên.

⚠️ Case study 2: Một user khác mất $440,000 USDC vì ký một "permit signature" — loại chữ ký off-chain không tốn gas, trông như bước xác nhận bình thường. Permit signature cũng cấp quyền chuyển token, nhưng không hiện rõ trong MetaMask như transaction thông thường.

Cách kiểm tra và thu hồi Token Approval

Cách 1 — MetaMask Portfolio:

  1. Truy cập portfolio.metamask.io
  2. Kết nối ví
  3. Chọn tab "Spending Caps" — toàn bộ contract đang có quyền chuyển token, trên tất cả các mạng

Cách 2 — Revoke.cash (khuyên dùng):

  1. Truy cập revoke.cash
  2. Nhập địa chỉ ví hoặc kết nối MetaMask
  3. Chọn mạng (hỗ trợ 100+ mạng)
  4. Xem danh sách → bấm Revoke với những contract không còn dùng

Nên kiểm tra mỗi 1–2 tháng, hoặc ngay sau khi dùng dApp mới lần đầu.

Xem thêm: Hướng dẫn dùng Revoke.cash để thu hồi token approval →

Bước 4: Thêm mạng BNB Chain, Polygon hoặc Base

MetaMask mặc định chỉ có Ethereum Mainnet. Gas phí? Có thể lên tới $15 cho một swap đơn giản.

Đây là lý do bạn cần thêm mạng khác ngay — rẻ hơn nhiều, và hầu hết airdrop hiện nay chạy trên Base, Arbitrum, hoặc BNB Chain.

Cách nhanh nhất — Chainlist.org:

  1. Truy cập chainlist.org
  2. Tìm mạng muốn thêm
  3. Bấm "Add to MetaMask" → Confirm

⚠️ Không nhập thông tin RPC tay từ nguồn lạ. Một số site lừa đảo cung cấp RPC giả — khi kết nối, mọi transaction đều đi qua server của hacker. Dùng Chainlist.org là đủ.

Các mạng nên thêm ngay:

MạngDùng choGas phí ước tính
BNB Chain (BSC)DeFi, airdrop phổ biến~$0.1–0.3/tx
PolygonDeFi, NFT, gas cực rẻ~$0.01/tx
Arbitrum OneDeFi L2, nhiều protocol lớn~$0.1–0.5/tx
BaseAirdrop Coinbase ecosystem~$0.05–0.2/tx

Xem thêm: Hướng dẫn săn airdrop trên Base từ đầu →

Những lỗi hay gặp

"Tôi quên mật khẩu MetaMask" Không sao. Bấm "Forgot password" → nhập seed phrase → đặt mật khẩu mới. Tài sản vẫn nguyên.

"Tôi mất điện thoại / máy tính" Cài MetaMask trên thiết bị mới → "Import an existing wallet" → nhập seed phrase. Ví khôi phục đầy đủ, mọi mạng, mọi tài sản.

"Tôi không nhớ seed phrase, chỉ có private key" MetaMask → Account Details → Export Private Key → import trên thiết bị mới. Lưu ý: private key chỉ khôi phục một account, seed phrase khôi phục tất cả.

"Popup MetaMask hiện liên tục khi vào một website" Đóng tab ngay. Không bấm Confirm. Website đó đang cố bắt bạn ký một thứ gì đó.

"Tôi đã ký và nghi ngờ bị lừa" Vào Revoke.cash ngay. Revoke approval vừa cấp. Nếu token đã bị chuyển đi thì không lấy lại được — làm càng sớm càng tốt.

Rủi ro cần biết

Rủi roMức độVí dụ thực tếCách giảm thiểu
Cài extension giả🔴 Cao40+ fake extension trên Firefox, active từ tháng 4/2025Chỉ cài từ metamask.io
Seed phrase bị lộ🔴 Cao$50M+ mất năm 2025 qua phishing emailKhông lưu online, không nhập vào bất kỳ site nào
Approve nhầm token🔴 Cao$440k USDC mất vì permit signatureKiểm tra Revoke.cash định kỳ
RPC giả khi thêm mạng🟡 Trung bìnhTransaction đi qua server hackerChỉ dùng Chainlist.org
Phishing từ "MetaMask Support"🟡 Trung bìnhEmail giả yêu cầu nhập seed phraseMetaMask không bao giờ email hỏi seed

Câu hỏi thường gặp

MetaMask có miễn phí không?

Hoàn toàn miễn phí. Chi phí duy nhất là gas fee khi giao dịch on-chain — phí này trả cho mạng blockchain, không phải cho MetaMask.

Một seed phrase tạo được bao nhiêu ví?

Vô số. Một seed phrase tạo ra account 1, account 2, account 3... theo thứ tự — tất cả khôi phục từ cùng một seed phrase. Đây là lý do seed phrase quan trọng hơn bất kỳ private key đơn lẻ nào.

Disconnect dApp có an toàn chưa?

Chưa đủ. Disconnect chỉ xóa quyền "nhìn thấy địa chỉ ví" — không xóa Token Approval. Cần vào Revoke.cash để thu hồi approval thật sự.

Quên mật khẩu MetaMask có lấy lại được không?

Được. Bấm "Forgot password" → nhập seed phrase → đặt mật khẩu mới.

MetaMask có hỗ trợ BNB Chain không?

Có, nhưng cần thêm thủ công. MetaMask hỗ trợ mọi mạng EVM — BNB Chain, Polygon, Base, Arbitrum, Avalanche. Dùng Chainlist.org để thêm nhanh và an toàn.

Tổng kết

Tạo ví MetaMask mất 5 phút. Phần còn lại mới quan trọng.

Seed phrase lưu đúng cách. Token approval kiểm tra định kỳ. Và không bao giờ ký bất cứ thứ gì mà bạn không hiểu nó đang yêu cầu quyền gì.

Thứ tự ưu tiên cho người mới:

  1. ✅ Cài từ metamask.io — không cài từ nguồn khác
  2. ✅ Viết tay seed phrase — 2 bản, 2 nơi
  3. ✅ Vào Revoke.cash sau mỗi lần dùng dApp mới
  4. ✅ Không nhập seed phrase vào bất kỳ website nào ngoài MetaMask

Bước tiếp theo: Thêm BNB Chain qua Chainlist.org, sau đó thử một giao dịch nhỏ để làm quen trước khi dùng số tiền lớn hơn.

Bài tiếp theo: Hướng dẫn săn airdrop trên Base từ đầu →

Cập nhật lần cuối: 8 tháng 5, 2026

← Quay lại Hướng dẫn On-chain