Logic cơ bản của lừa đảo ký Web3: Nhận diện lừa đảo ủy quyền, Permit và Permit2
Trong lĩnh vực Web3, "lừa đảo chữ ký" đã trở thành một trong những phương thức lừa đảo phổ biến nhất của hacker. Mặc dù các chuyên gia an ninh và các công ty ví liên tục tuyên truyền kiến thức liên quan, nhưng mỗi ngày vẫn có nhiều người dùng bị lừa gạt. Một trong những lý do quan trọng gây ra tình trạng này là đa số người dùng thiếu hiểu biết về nguyên lý cơ bản của việc tương tác với ví, và đối với những người không có chuyên môn, việc học các kiến thức liên quan lại có ngưỡng học tập khá cao.
Để giúp nhiều người hiểu vấn đề này, bài viết sẽ cố gắng giải thích logic cơ bản của lừa đảo ký tên theo cách dễ hiểu.
Đầu tiên, chúng ta cần hiểu rằng khi sử dụng ví, có hai thao tác chính: "ký" và "tương tác". Nói một cách đơn giản, ký xảy ra bên ngoài chuỗi khối (ngoài chuỗi), không cần phải trả phí Gas; trong khi tương tác xảy ra trên chuỗi khối (trong chuỗi), cần phải trả phí Gas.
Cảnh tượng điển hình của chữ ký là xác thực danh tính, chẳng hạn như đăng nhập vào ví hoặc kết nối với DApp. Ví dụ, khi bạn muốn hoán đổi token trên một DEX nào đó, trước tiên bạn cần kết nối ví, lúc này bạn cần ký để chứng minh rằng bạn là chủ sở hữu của ví đó. Quá trình này sẽ không ảnh hưởng đến blockchain, vì vậy bạn không cần phải trả phí.
So với trước đây, tương tác liên quan đến các thao tác trên chuỗi thực tế. Lấy ví dụ về việc trao đổi token trên DEX, trước tiên bạn cần phải trả một khoản phí, ủy quyền cho hợp đồng thông minh của DEX có thể di chuyển token của bạn (được gọi là "ủy quyền"). Sau đó, bạn cũng cần phải trả thêm một khoản phí để thực hiện thao tác trao đổi thực tế.
Sau khi hiểu được sự khác biệt giữa chữ ký và tương tác, chúng ta hãy xem xét một vài phương thức lừa đảo phổ biến: lừa đảo ủy quyền, lừa đảo chữ ký Permit và lừa đảo chữ ký Permit2.
Lừa đảo ủy quyền là một phương pháp lừa đảo cổ điển, khai thác cơ chế ủy quyền (approve). Tin tặc có thể tạo ra một trang web giả mạo, giả dạng là dự án NFT hoặc hoạt động airdrop. Khi người dùng nhấp vào nút "Nhận airdrop", họ thực sự đang ủy quyền cho địa chỉ của tin tặc thao tác token của mình. Mặc dù phương pháp này cần phải trả phí Gas, nhưng vẫn có không ít người dùng vô tình bị sập bẫy.
Việc ký tên bằng Permit và Permit2 để lừa đảo thì kín đáo hơn và khó phòng ngừa hơn. Bởi vì người dùng đã quen với việc ký tên để đăng nhập ví trước khi sử dụng DApp, rất dễ hình thành tư duy "hành động này là an toàn". Thêm vào đó, việc ký tên không cần phải trả phí, nhiều người không hiểu ý nghĩa của từng chữ ký, điều này tạo cơ hội cho hacker.
Permit là một chức năng mở rộng của tiêu chuẩn ERC-20, cho phép người dùng phê duyệt người khác di chuyển token của mình thông qua chữ ký. Nói đơn giản, giống như ký vào một "giấy phép", cho phép ai đó di chuyển token của bạn. Người nắm giữ "giấy phép" này có thể chứng minh với hợp đồng thông minh rằng họ có quyền di chuyển token của bạn. Tin tặc có thể lợi dụng cơ chế này, dụ dỗ người dùng ký vào Permit, từ đó có được quyền chuyển token.
Permit2 là một tính năng được một DEX giới thiệu nhằm nâng cao trải nghiệm người dùng. Nó cho phép người dùng cấp phép một lần với số tiền lớn cho hợp đồng thông minh Permit2, sau đó mỗi giao dịch chỉ cần ký là đủ, không cần cấp phép lại. Mặc dù điều này đơn giản hóa quy trình thao tác, nhưng cũng tạo điều kiện cho việc lừa đảo. Nếu người dùng đã từng sử dụng DEX này và cấp phép số tiền không giới hạn cho hợp đồng Permit2 (đây là cài đặt mặc định của DEX này), thì tin tặc chỉ cần dụ dỗ người dùng ký để có thể chuyển đổi token của họ.
Nói chung, phishing ủy quyền cho phép hacker di chuyển token của bạn một cách trực tiếp, trong khi phishing ký tên thì dụ dỗ bạn ký một "giấy phép" cho phép người khác di chuyển tài sản của bạn. Permit là tính năng mở rộng ủy quyền của ERC-20, Permit2 là tính năng mới được một sàn giao dịch phi tập trung (DEX) ra mắt, cả hai đều là khu vực dễ bị tấn công bởi phishing ký tên hiện tại.
Vậy, làm thế nào để phòng ngừa những cuộc tấn công lừa đảo này?
Việc nuôi dưỡng nhận thức về an toàn là rất quan trọng. Mỗi khi thực hiện các thao tác với ví, bạn cần kiểm tra kỹ lưỡng xem thao tác bạn đang thực hiện là gì.
Tách biệt số tiền lớn với ví sử dụng hàng ngày để giảm thiểu tổn thất tiềm năng.
Học cách nhận diện định dạng chữ ký của Permit và Permit2. Khi bạn thấy yêu cầu chữ ký chứa thông tin sau đây, hãy đặc biệt cảnh giác:
Interactive:Trang web tương tác
Chủ sở hữu:Địa chỉ bên ủy quyền
Spender:Địa chỉ bên được ủy quyền
Giá trị:số lượng được cấp quyền
Nonce:số ngẫu nhiên
Deadline:Thời gian hết hạn
Bằng cách hiểu những logic cơ bản và biện pháp phòng ngừa này, chúng ta có thể bảo vệ tài sản kỹ thuật số của mình tốt hơn, tránh trở thành nạn nhân của lừa đảo chữ ký.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
14 thích
Phần thưởng
14
3
Chia sẻ
Bình luận
0/400
SignatureDenied
· 17giờ trước
唉 đồ ngốc rồi vẫn bị lừa vài lần
Xem bản gốcTrả lời0
StablecoinArbitrageur
· 18giờ trước
*điều chỉnh biểu đồ* lại mất 10.3% giá trị danh mục đầu tư do các lỗ hổng cấp phép... khi nào họ mới học cách đọc bytecode
Phân tích lừa đảo chữ ký Web3: Rủi ro và biện pháp phòng ngừa của Ủy quyền, Permit và Permit2
Logic cơ bản của lừa đảo ký Web3: Nhận diện lừa đảo ủy quyền, Permit và Permit2
Trong lĩnh vực Web3, "lừa đảo chữ ký" đã trở thành một trong những phương thức lừa đảo phổ biến nhất của hacker. Mặc dù các chuyên gia an ninh và các công ty ví liên tục tuyên truyền kiến thức liên quan, nhưng mỗi ngày vẫn có nhiều người dùng bị lừa gạt. Một trong những lý do quan trọng gây ra tình trạng này là đa số người dùng thiếu hiểu biết về nguyên lý cơ bản của việc tương tác với ví, và đối với những người không có chuyên môn, việc học các kiến thức liên quan lại có ngưỡng học tập khá cao.
Để giúp nhiều người hiểu vấn đề này, bài viết sẽ cố gắng giải thích logic cơ bản của lừa đảo ký tên theo cách dễ hiểu.
Đầu tiên, chúng ta cần hiểu rằng khi sử dụng ví, có hai thao tác chính: "ký" và "tương tác". Nói một cách đơn giản, ký xảy ra bên ngoài chuỗi khối (ngoài chuỗi), không cần phải trả phí Gas; trong khi tương tác xảy ra trên chuỗi khối (trong chuỗi), cần phải trả phí Gas.
Cảnh tượng điển hình của chữ ký là xác thực danh tính, chẳng hạn như đăng nhập vào ví hoặc kết nối với DApp. Ví dụ, khi bạn muốn hoán đổi token trên một DEX nào đó, trước tiên bạn cần kết nối ví, lúc này bạn cần ký để chứng minh rằng bạn là chủ sở hữu của ví đó. Quá trình này sẽ không ảnh hưởng đến blockchain, vì vậy bạn không cần phải trả phí.
So với trước đây, tương tác liên quan đến các thao tác trên chuỗi thực tế. Lấy ví dụ về việc trao đổi token trên DEX, trước tiên bạn cần phải trả một khoản phí, ủy quyền cho hợp đồng thông minh của DEX có thể di chuyển token của bạn (được gọi là "ủy quyền"). Sau đó, bạn cũng cần phải trả thêm một khoản phí để thực hiện thao tác trao đổi thực tế.
Sau khi hiểu được sự khác biệt giữa chữ ký và tương tác, chúng ta hãy xem xét một vài phương thức lừa đảo phổ biến: lừa đảo ủy quyền, lừa đảo chữ ký Permit và lừa đảo chữ ký Permit2.
Lừa đảo ủy quyền là một phương pháp lừa đảo cổ điển, khai thác cơ chế ủy quyền (approve). Tin tặc có thể tạo ra một trang web giả mạo, giả dạng là dự án NFT hoặc hoạt động airdrop. Khi người dùng nhấp vào nút "Nhận airdrop", họ thực sự đang ủy quyền cho địa chỉ của tin tặc thao tác token của mình. Mặc dù phương pháp này cần phải trả phí Gas, nhưng vẫn có không ít người dùng vô tình bị sập bẫy.
Việc ký tên bằng Permit và Permit2 để lừa đảo thì kín đáo hơn và khó phòng ngừa hơn. Bởi vì người dùng đã quen với việc ký tên để đăng nhập ví trước khi sử dụng DApp, rất dễ hình thành tư duy "hành động này là an toàn". Thêm vào đó, việc ký tên không cần phải trả phí, nhiều người không hiểu ý nghĩa của từng chữ ký, điều này tạo cơ hội cho hacker.
Permit là một chức năng mở rộng của tiêu chuẩn ERC-20, cho phép người dùng phê duyệt người khác di chuyển token của mình thông qua chữ ký. Nói đơn giản, giống như ký vào một "giấy phép", cho phép ai đó di chuyển token của bạn. Người nắm giữ "giấy phép" này có thể chứng minh với hợp đồng thông minh rằng họ có quyền di chuyển token của bạn. Tin tặc có thể lợi dụng cơ chế này, dụ dỗ người dùng ký vào Permit, từ đó có được quyền chuyển token.
Permit2 là một tính năng được một DEX giới thiệu nhằm nâng cao trải nghiệm người dùng. Nó cho phép người dùng cấp phép một lần với số tiền lớn cho hợp đồng thông minh Permit2, sau đó mỗi giao dịch chỉ cần ký là đủ, không cần cấp phép lại. Mặc dù điều này đơn giản hóa quy trình thao tác, nhưng cũng tạo điều kiện cho việc lừa đảo. Nếu người dùng đã từng sử dụng DEX này và cấp phép số tiền không giới hạn cho hợp đồng Permit2 (đây là cài đặt mặc định của DEX này), thì tin tặc chỉ cần dụ dỗ người dùng ký để có thể chuyển đổi token của họ.
Nói chung, phishing ủy quyền cho phép hacker di chuyển token của bạn một cách trực tiếp, trong khi phishing ký tên thì dụ dỗ bạn ký một "giấy phép" cho phép người khác di chuyển tài sản của bạn. Permit là tính năng mở rộng ủy quyền của ERC-20, Permit2 là tính năng mới được một sàn giao dịch phi tập trung (DEX) ra mắt, cả hai đều là khu vực dễ bị tấn công bởi phishing ký tên hiện tại.
Vậy, làm thế nào để phòng ngừa những cuộc tấn công lừa đảo này?
Việc nuôi dưỡng nhận thức về an toàn là rất quan trọng. Mỗi khi thực hiện các thao tác với ví, bạn cần kiểm tra kỹ lưỡng xem thao tác bạn đang thực hiện là gì.
Tách biệt số tiền lớn với ví sử dụng hàng ngày để giảm thiểu tổn thất tiềm năng.
Học cách nhận diện định dạng chữ ký của Permit và Permit2. Khi bạn thấy yêu cầu chữ ký chứa thông tin sau đây, hãy đặc biệt cảnh giác:
Bằng cách hiểu những logic cơ bản và biện pháp phòng ngừa này, chúng ta có thể bảo vệ tài sản kỹ thuật số của mình tốt hơn, tránh trở thành nạn nhân của lừa đảo chữ ký.