Tin tặc là một tồn tại đáng sợ trong hệ sinh thái Web3. Đối với các dự án, mã nguồn mở khiến họ luôn lo lắng, sợ rằng một dòng mã sai có thể để lại lỗ hổng. Đối với người dùng cá nhân, mỗi lần tương tác trên chuỗi hoặc ký tên đều có thể dẫn đến việc tài sản bị đánh cắp. Do đó, vấn đề an ninh luôn là một trong những điểm đau của thế giới tiền điện tử. Vì đặc tính của blockchain, tài sản bị đánh cắp gần như không thể lấy lại, vì vậy, việc có kiến thức về an ninh là cực kỳ quan trọng.
Gần đây, một nhà nghiên cứu đã phát hiện ra một phương pháp lừa đảo mới, chỉ cần ký tên cũng có thể dẫn đến việc tài sản bị đánh cắp. Phương pháp này cực kỳ tinh vi và khó phòng ngừa, và tất cả các địa chỉ đã từng tương tác với một nền tảng giao dịch nào đó đều có thể đối mặt với rủi ro. Bài viết này sẽ phổ cập về phương pháp lừa đảo ký tên này nhằm hạn chế tối đa việc mất mát tài sản.
Diễn biến sự kiện
Gần đây, một người bạn ( nhỏ A ) đã bị đánh cắp tài sản ví. Khác với cách bị đánh cắp thông thường, nhỏ A không tiết lộ khóa riêng và cũng không tương tác với hợp đồng của trang web lừa đảo.
Trình duyệt blockchain hiển thị, USDT trong ví nhỏ A được chuyển qua hàm Transfer From. Điều này có nghĩa là một địa chỉ khác đã thực hiện thao tác chuyển Token, chứ không phải do lộ khóa riêng của ví.
Chi tiết giao dịch tiết lộ các manh mối quan trọng:
Một địa chỉ chuyển tài sản của A nhỏ đến địa chỉ khác
Hành động này tương tác với hợp đồng Permit2 của một nền tảng giao dịch nào đó
Vấn đề là, địa chỉ này đã nhận quyền truy cập tài sản như thế nào? Tại sao lại có liên quan đến một nền tảng giao dịch nào đó?
Để gọi hàm Transfer From, điều kiện tiên quyết là bên gọi cần có quyền hạn mức Token (approve). Trước khi chuyển đi tài sản của A nhỏ từ địa chỉ này, một thao tác Permit đã được thực hiện, cả hai thao tác đều tương tác với hợp đồng Permit2 của một nền tảng giao dịch nào đó.
Permit2 là hợp đồng mới được một nền tảng giao dịch ra mắt vào cuối năm 2022, cho phép ủy quyền token chia sẻ quản lý giữa các ứng dụng khác nhau, nhằm tạo ra trải nghiệm người dùng thống nhất hơn, tiết kiệm chi phí hơn và an toàn hơn. Khi ngày càng nhiều dự án tích hợp, Permit2 hy vọng sẽ đạt được tiêu chuẩn hóa phê duyệt Token trong tất cả các ứng dụng, giảm chi phí giao dịch và nâng cao tính an toàn của hợp đồng thông minh.
Sự ra mắt của Permit2 có thể thay đổi quy tắc sinh thái Dapp. Trong cách truyền thống, người dùng cần phải ủy quyền mỗi lần tương tác với Dapp, trong khi Permit2 có thể loại bỏ bước này, giảm thiểu chi phí tương tác của người dùng. Permit2 hoạt động như một trung gian giữa người dùng và Dapp, người dùng chỉ cần ủy quyền cho hợp đồng Permit2, tất cả các Dapp tích hợp hợp đồng này đều có thể chia sẻ hạn mức ủy quyền.
Tuy nhiên, đây cũng là một con dao hai lưỡi. Permit2 biến các thao tác của người dùng thành chữ ký ngoài chuỗi, tất cả các thao tác trên chuỗi đều do các vai trò trung gian thực hiện. Điều này cho phép người dùng sử dụng các Token khác để thanh toán phí Gas hoặc được các vai trò trung gian hoàn lại ngay cả khi ví của họ không có ETH. Nhưng chữ ký ngoài chuỗi cũng là khâu mà người dùng dễ dàng bỏ qua nhất, hầu hết mọi người sẽ không kiểm tra kỹ nội dung chữ ký.
Để sử dụng phương pháp lừa đảo này, điều kiện quan trọng là ví bị lừa phải đã ủy quyền Token cho hợp đồng Permit2. Hiện tại, chỉ cần thực hiện Swap trên Dapp hoặc một nền tảng giao dịch tích hợp Permit2, đều cần ủy quyền cho hợp đồng Permit2.
Điều đáng sợ hơn là, bất kể số tiền Swap là bao nhiêu, hợp đồng Permit2 sẽ mặc định cho phép người dùng ủy quyền toàn bộ số dư của Token đó. Mặc dù ví sẽ nhắc nhở nhập số tiền tùy chỉnh, nhưng hầu hết mọi người có thể sẽ chọn giá trị tối đa hoặc giá trị mặc định, và giá trị mặc định của Permit2 là hạn mức không giới hạn.
Điều này có nghĩa là, chỉ cần có tương tác với một sàn giao dịch nào đó sau năm 2023 và ủy quyền cho hợp đồng Permit2, bạn có thể phải đối mặt với rủi ro của trò lừa bịp này.
Điểm chính là hàm Permit, nó có thể chuyển giao hạn mức Token mà người dùng đã ủy quyền cho hợp đồng Permit2 đến địa chỉ khác. Chỉ cần hacker có được chữ ký của người dùng, họ có thể lấy quyền truy cập Token trong ví của người dùng và chuyển tài sản.
Phân tích chi tiết sự kiện
Hàm Permit cho phép người dùng ký trước "hợp đồng", cho phép người khác (spender) sử dụng một số lượng token nhất định trong tương lai. Người dùng cần cung cấp chữ ký để chứng minh tính xác thực của "hợp đồng".
Quy trình làm việc của hàm:
Kiểm tra xem thời gian hiện tại có vượt quá thời hạn hiệu lực của chữ ký hay không.
Xác minh tính xác thực của chữ ký
Nếu kiểm tra vượt qua, cập nhật ghi chép cho phép người khác sử dụng token
Điểm mấu chốt là ở hàm verify và hàm _updateApproval.
Hàm verify lấy ba dữ liệu v, r, s từ thông tin chữ ký, được sử dụng để khôi phục địa chỉ chữ ký giao dịch. Hợp đồng sẽ so sánh địa chỉ khôi phục với địa chỉ chủ sở hữu token được truyền vào, nếu giống nhau thì xác thực thành công.
Hàm _updateApproval sẽ cập nhật giá trị ủy quyền sau khi kiểm tra chữ ký, có nghĩa là quyền hạn đã được chuyển giao. Lúc này, bên được ủy quyền có thể gọi hàm transferfrom để chuyển token đến địa chỉ chỉ định.
Giao dịch thực tế trên chuỗi thể hiện:
owner là địa chỉ ví nhỏ A
Details chứa địa chỉ hợp đồng Token ủy quyền và thông tin số tiền.
Spender là địa chỉ của hacker
sigDeadline là thời gian hiệu lực của chữ ký, signature là thông tin chữ ký của nhỏ A
Xem lại hồ sơ tương tác của A nhỏ, phát hiện ra rằng khi sử dụng một nền tảng giao dịch nào đó, đã nhấp vào hạn mức ủy quyền mặc định, tức là gần như không giới hạn.
Tóm tắt đơn giản: A nhỏ trước đây đã ủy quyền cho Permit2 hạn mức USDT không giới hạn, sau đó vô tình rơi vào bẫy lừa đảo chữ ký do hacker thiết kế. Hacker đã nhận được chữ ký và thực hiện các thao tác Permit và Transfer From trong hợp đồng Permit2, chuyển tài sản của A nhỏ đi. Hiện tại, hợp đồng Permit2 dường như đã trở thành thiên đường lừa đảo, cách lừa đảo này bắt đầu hoạt động khoảng hai tháng trước.
Làm thế nào để phòng ngừa?
Xem xét rằng hợp đồng Permit2 có thể trở nên phổ biến hơn trong tương lai, nhiều dự án hoặc tích hợp sẽ thực hiện chia sẻ quyền hạn, các biện pháp phòng ngừa hiệu quả bao gồm:
Hiểu và nhận diện nội dung chữ ký:
Định dạng chữ ký Permit thường bao gồm các thông tin quan trọng như Owner, Spender, value, nonce và deadline. Để tận hưởng sự thuận tiện của Permit2, bạn phải học cách nhận diện định dạng chữ ký này. Sử dụng plugin an toàn là một lựa chọn tốt.
Tách biệt ví tài sản và ví tương tác:
Nên lưu trữ một lượng lớn tài sản trong ví lạnh, chỉ giữ một lượng nhỏ tiền trong ví tương tác trên chuỗi, điều này có thể giảm thiểu đáng kể thiệt hại khi gặp phải trò lừa bịp.
Hạn chế hạn mức ủy quyền hoặc hủy ủy quyền:
Khi hoán đổi trên một nền tảng giao dịch, chỉ ủy quyền số tiền cần thiết cho việc tương tác. Mặc dù việc phải ủy quyền lại mỗi lần tương tác sẽ tăng chi phí, nhưng có thể tránh được rủi ro lừa đảo chữ ký Permit2. Người dùng đã ủy quyền có thể hủy ủy quyền thông qua plugin bảo mật.
Nhận diện tính chất của token, chú ý xem có hỗ trợ chức năng permit hay không:
Trong tương lai, có thể sẽ có nhiều token ERC20 hơn hỗ trợ chức năng permit. Cần chú ý xem token bạn nắm giữ có hỗ trợ hay không, nếu có thì các thao tác giao dịch cần phải cẩn thận đặc biệt, kiểm tra kỹ từng chữ ký không rõ.
Nếu bị lừa, nếu có token lưu trữ trên nền tảng khác, cần xây dựng kế hoạch cứu trợ hoàn chỉnh:
Nếu phát hiện bị lừa nhưng vẫn còn token thông qua việc staking hoặc các phương thức khác trên nền tảng khác, cần phải cẩn thận khi rút và chuyển. Hacker có thể theo dõi số dư địa chỉ bất cứ lúc nào, một khi có token xuất hiện có thể sẽ chuyển đi. Cần xây dựng quy trình cứu trợ hoàn chỉnh, việc rút và chuyển cần được thực hiện đồng bộ, có thể sử dụng MEV để chuyển hoặc tìm sự hỗ trợ từ đội ngũ an ninh chuyên nghiệp.
Trong tương lai, các cuộc lừa đảo dựa trên Permit2 có thể gia tăng, phương thức này cực kỳ tinh vi và khó phòng ngừa. Khi phạm vi ứng dụng của Permit2 mở rộng, số địa chỉ bị lộ rủi ro cũng sẽ tăng lên. Hy vọng độc giả sau khi đọc bài viết này có thể truyền bá đến nhiều người hơn, để tránh nhiều người phải chịu thiệt hại.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
9 thích
Phần thưởng
9
7
Chia sẻ
Bình luận
0/400
InfraVibes
· 10giờ trước
Nhìn một cái rồi ký, hiểu không?
Xem bản gốcTrả lời0
MetaverseMigrant
· 10giờ trước
Lại tạo ra trò mới rồi, hacker này thật sự là nhân tài.
Xem bản gốcTrả lời0
RektButAlive
· 10giờ trước
Ngày nào cũng theo dõi những lỗ hổng mới~
Xem bản gốcTrả lời0
StablecoinEnjoyer
· 10giờ trước
又来新 bẫy,người mới慎签
Xem bản gốcTrả lời0
NftBankruptcyClub
· 10giờ trước
Số lượng người lại rơi vào bẫy
Xem bản gốcTrả lời0
P2ENotWorking
· 10giờ trước
又有新 đồ ngốc等 chơi đùa với mọi người了
Xem bản gốcTrả lời0
ValidatorViking
· 10giờ trước
địt mẹ, mấy thằng newbie không bao giờ học cách xác minh chữ ký... trở về với những điều cơ bản thật mẹ.
Chiêu trò lừa đảo chữ ký Permit2 cho người mới, cần cảnh giác với rủi ro bảo mật tài sản.
Khám Phá Trò Lừa Bịp Ký Tên Permit2 Của Uniswap
Tin tặc là một tồn tại đáng sợ trong hệ sinh thái Web3. Đối với các dự án, mã nguồn mở khiến họ luôn lo lắng, sợ rằng một dòng mã sai có thể để lại lỗ hổng. Đối với người dùng cá nhân, mỗi lần tương tác trên chuỗi hoặc ký tên đều có thể dẫn đến việc tài sản bị đánh cắp. Do đó, vấn đề an ninh luôn là một trong những điểm đau của thế giới tiền điện tử. Vì đặc tính của blockchain, tài sản bị đánh cắp gần như không thể lấy lại, vì vậy, việc có kiến thức về an ninh là cực kỳ quan trọng.
Gần đây, một nhà nghiên cứu đã phát hiện ra một phương pháp lừa đảo mới, chỉ cần ký tên cũng có thể dẫn đến việc tài sản bị đánh cắp. Phương pháp này cực kỳ tinh vi và khó phòng ngừa, và tất cả các địa chỉ đã từng tương tác với một nền tảng giao dịch nào đó đều có thể đối mặt với rủi ro. Bài viết này sẽ phổ cập về phương pháp lừa đảo ký tên này nhằm hạn chế tối đa việc mất mát tài sản.
Diễn biến sự kiện
Gần đây, một người bạn ( nhỏ A ) đã bị đánh cắp tài sản ví. Khác với cách bị đánh cắp thông thường, nhỏ A không tiết lộ khóa riêng và cũng không tương tác với hợp đồng của trang web lừa đảo.
Trình duyệt blockchain hiển thị, USDT trong ví nhỏ A được chuyển qua hàm Transfer From. Điều này có nghĩa là một địa chỉ khác đã thực hiện thao tác chuyển Token, chứ không phải do lộ khóa riêng của ví.
Chi tiết giao dịch tiết lộ các manh mối quan trọng:
Vấn đề là, địa chỉ này đã nhận quyền truy cập tài sản như thế nào? Tại sao lại có liên quan đến một nền tảng giao dịch nào đó?
Để gọi hàm Transfer From, điều kiện tiên quyết là bên gọi cần có quyền hạn mức Token (approve). Trước khi chuyển đi tài sản của A nhỏ từ địa chỉ này, một thao tác Permit đã được thực hiện, cả hai thao tác đều tương tác với hợp đồng Permit2 của một nền tảng giao dịch nào đó.
Permit2 là hợp đồng mới được một nền tảng giao dịch ra mắt vào cuối năm 2022, cho phép ủy quyền token chia sẻ quản lý giữa các ứng dụng khác nhau, nhằm tạo ra trải nghiệm người dùng thống nhất hơn, tiết kiệm chi phí hơn và an toàn hơn. Khi ngày càng nhiều dự án tích hợp, Permit2 hy vọng sẽ đạt được tiêu chuẩn hóa phê duyệt Token trong tất cả các ứng dụng, giảm chi phí giao dịch và nâng cao tính an toàn của hợp đồng thông minh.
Sự ra mắt của Permit2 có thể thay đổi quy tắc sinh thái Dapp. Trong cách truyền thống, người dùng cần phải ủy quyền mỗi lần tương tác với Dapp, trong khi Permit2 có thể loại bỏ bước này, giảm thiểu chi phí tương tác của người dùng. Permit2 hoạt động như một trung gian giữa người dùng và Dapp, người dùng chỉ cần ủy quyền cho hợp đồng Permit2, tất cả các Dapp tích hợp hợp đồng này đều có thể chia sẻ hạn mức ủy quyền.
Tuy nhiên, đây cũng là một con dao hai lưỡi. Permit2 biến các thao tác của người dùng thành chữ ký ngoài chuỗi, tất cả các thao tác trên chuỗi đều do các vai trò trung gian thực hiện. Điều này cho phép người dùng sử dụng các Token khác để thanh toán phí Gas hoặc được các vai trò trung gian hoàn lại ngay cả khi ví của họ không có ETH. Nhưng chữ ký ngoài chuỗi cũng là khâu mà người dùng dễ dàng bỏ qua nhất, hầu hết mọi người sẽ không kiểm tra kỹ nội dung chữ ký.
Để sử dụng phương pháp lừa đảo này, điều kiện quan trọng là ví bị lừa phải đã ủy quyền Token cho hợp đồng Permit2. Hiện tại, chỉ cần thực hiện Swap trên Dapp hoặc một nền tảng giao dịch tích hợp Permit2, đều cần ủy quyền cho hợp đồng Permit2.
Điều đáng sợ hơn là, bất kể số tiền Swap là bao nhiêu, hợp đồng Permit2 sẽ mặc định cho phép người dùng ủy quyền toàn bộ số dư của Token đó. Mặc dù ví sẽ nhắc nhở nhập số tiền tùy chỉnh, nhưng hầu hết mọi người có thể sẽ chọn giá trị tối đa hoặc giá trị mặc định, và giá trị mặc định của Permit2 là hạn mức không giới hạn.
Điều này có nghĩa là, chỉ cần có tương tác với một sàn giao dịch nào đó sau năm 2023 và ủy quyền cho hợp đồng Permit2, bạn có thể phải đối mặt với rủi ro của trò lừa bịp này.
Điểm chính là hàm Permit, nó có thể chuyển giao hạn mức Token mà người dùng đã ủy quyền cho hợp đồng Permit2 đến địa chỉ khác. Chỉ cần hacker có được chữ ký của người dùng, họ có thể lấy quyền truy cập Token trong ví của người dùng và chuyển tài sản.
Phân tích chi tiết sự kiện
Hàm Permit cho phép người dùng ký trước "hợp đồng", cho phép người khác (spender) sử dụng một số lượng token nhất định trong tương lai. Người dùng cần cung cấp chữ ký để chứng minh tính xác thực của "hợp đồng".
Quy trình làm việc của hàm:
Điểm mấu chốt là ở hàm verify và hàm _updateApproval.
Hàm verify lấy ba dữ liệu v, r, s từ thông tin chữ ký, được sử dụng để khôi phục địa chỉ chữ ký giao dịch. Hợp đồng sẽ so sánh địa chỉ khôi phục với địa chỉ chủ sở hữu token được truyền vào, nếu giống nhau thì xác thực thành công.
Hàm _updateApproval sẽ cập nhật giá trị ủy quyền sau khi kiểm tra chữ ký, có nghĩa là quyền hạn đã được chuyển giao. Lúc này, bên được ủy quyền có thể gọi hàm transferfrom để chuyển token đến địa chỉ chỉ định.
Giao dịch thực tế trên chuỗi thể hiện:
Xem lại hồ sơ tương tác của A nhỏ, phát hiện ra rằng khi sử dụng một nền tảng giao dịch nào đó, đã nhấp vào hạn mức ủy quyền mặc định, tức là gần như không giới hạn.
Tóm tắt đơn giản: A nhỏ trước đây đã ủy quyền cho Permit2 hạn mức USDT không giới hạn, sau đó vô tình rơi vào bẫy lừa đảo chữ ký do hacker thiết kế. Hacker đã nhận được chữ ký và thực hiện các thao tác Permit và Transfer From trong hợp đồng Permit2, chuyển tài sản của A nhỏ đi. Hiện tại, hợp đồng Permit2 dường như đã trở thành thiên đường lừa đảo, cách lừa đảo này bắt đầu hoạt động khoảng hai tháng trước.
Làm thế nào để phòng ngừa?
Xem xét rằng hợp đồng Permit2 có thể trở nên phổ biến hơn trong tương lai, nhiều dự án hoặc tích hợp sẽ thực hiện chia sẻ quyền hạn, các biện pháp phòng ngừa hiệu quả bao gồm:
Tách biệt ví tài sản và ví tương tác: Nên lưu trữ một lượng lớn tài sản trong ví lạnh, chỉ giữ một lượng nhỏ tiền trong ví tương tác trên chuỗi, điều này có thể giảm thiểu đáng kể thiệt hại khi gặp phải trò lừa bịp.
Hạn chế hạn mức ủy quyền hoặc hủy ủy quyền: Khi hoán đổi trên một nền tảng giao dịch, chỉ ủy quyền số tiền cần thiết cho việc tương tác. Mặc dù việc phải ủy quyền lại mỗi lần tương tác sẽ tăng chi phí, nhưng có thể tránh được rủi ro lừa đảo chữ ký Permit2. Người dùng đã ủy quyền có thể hủy ủy quyền thông qua plugin bảo mật.
Nhận diện tính chất của token, chú ý xem có hỗ trợ chức năng permit hay không: Trong tương lai, có thể sẽ có nhiều token ERC20 hơn hỗ trợ chức năng permit. Cần chú ý xem token bạn nắm giữ có hỗ trợ hay không, nếu có thì các thao tác giao dịch cần phải cẩn thận đặc biệt, kiểm tra kỹ từng chữ ký không rõ.
Nếu bị lừa, nếu có token lưu trữ trên nền tảng khác, cần xây dựng kế hoạch cứu trợ hoàn chỉnh: Nếu phát hiện bị lừa nhưng vẫn còn token thông qua việc staking hoặc các phương thức khác trên nền tảng khác, cần phải cẩn thận khi rút và chuyển. Hacker có thể theo dõi số dư địa chỉ bất cứ lúc nào, một khi có token xuất hiện có thể sẽ chuyển đi. Cần xây dựng quy trình cứu trợ hoàn chỉnh, việc rút và chuyển cần được thực hiện đồng bộ, có thể sử dụng MEV để chuyển hoặc tìm sự hỗ trợ từ đội ngũ an ninh chuyên nghiệp.
Trong tương lai, các cuộc lừa đảo dựa trên Permit2 có thể gia tăng, phương thức này cực kỳ tinh vi và khó phòng ngừa. Khi phạm vi ứng dụng của Permit2 mở rộng, số địa chỉ bị lộ rủi ro cũng sẽ tăng lên. Hy vọng độc giả sau khi đọc bài viết này có thể truyền bá đến nhiều người hơn, để tránh nhiều người phải chịu thiệt hại.