Gần đây, "lừa đảo chữ ký" đã trở thành phương thức lừa đảo được các hacker Web3 ưa chuộng nhất. Mặc dù các chuyên gia an ninh và các công ty ví liên tục tuyên truyền kiến thức liên quan, mỗi ngày vẫn có nhiều người dùng sa vào bẫy. Một trong những nguyên nhân chính gây ra tình trạng này là phần lớn mọi người thiếu hiểu biết về nguyên lý cơ bản của tương tác ví, và đối với những người không chuyên, rào cản học tập khá cao.
Để giúp nhiều người hiểu vấn đề này hơn, bài viết sẽ đi sâu vào logic cơ bản của lừa đảo chữ ký theo cách minh họa và cố gắng giải thích bằng ngôn ngữ dễ hiểu.
Đầu tiên, chúng ta cần hiểu rằng khi sử dụng ví, có hai loại thao tác chính: "ký" và "tương tác". Nói một cách đơn giản, ký xảy ra ngoài chuỗi (ngoài chuỗi), không cần phải trả phí Gas; trong khi tương tác xảy ra trên chuỗi (trên chuỗi), cần phải trả phí Gas.
Chữ ký thường được sử dụng để xác thực danh tính, chẳng hạn như đăng nhập vào ví. Khi bạn muốn trao đổi token trên một sàn DEX, bạn cần kết nối ví trước, lúc này bạn cần chữ ký để chứng minh bạn là chủ sở hữu của ví đó. Quá trình này sẽ không tạo ra bất kỳ dữ liệu hoặc trạng thái nào trên blockchain, vì vậy không cần phải trả phí.
Giao tiếp xảy ra khi thực hiện các thao tác thực tế. Ví dụ, khi bạn muốn trao đổi token trên DEX, trước tiên bạn cần trả một khoản phí để thông báo cho hợp đồng thông minh: "Tôi đã chấp thuận bạn có thể sử dụng 100USDT của tôi", bước này được gọi là ủy quyền (approve). Sau đó, bạn cũng cần trả thêm một khoản phí để thông báo cho hợp đồng thông minh: "Bây giờ bắt đầu thực hiện thao tác trao đổi", sau đó bạn đã hoàn tất giao dịch trao đổi 100USDT lấy các token khác.
Sau khi hiểu sự khác biệt giữa chữ ký và tương tác, chúng ta sẽ giới thiệu ba phương pháp lừa đảo phổ biến: lừa đảo ủy quyền, lừa đảo chữ ký Permit và lừa đảo chữ ký Permit2.
Lừa đảo ủy quyền là một trong những phương thức lừa đảo cổ điển nhất trong Web3. Tin tặc sẽ tạo ra một trang web giả mạo trông giống như một dự án NFT, thường có một nút "nhận airdrop" nổi bật ở giữa trang. Khi người dùng nhấp vào đó, giao diện bật lên của ví thực ra là yêu cầu người dùng ủy quyền để chuyển token đến địa chỉ của tin tặc. Nếu người dùng xác nhận thao tác, tin tặc sẽ thành công trong việc lấy tài sản của người dùng.
Tuy nhiên, tấn công lừa đảo được ủy quyền có một điểm yếu: do cần phải trả phí Gas, nhiều người dùng sẽ cẩn trọng hơn khi thực hiện các giao dịch liên quan đến tiền, chỉ cần chú ý một chút là có thể phát hiện ra điều bất thường, tương đối dễ phòng ngừa.
Phishing bằng chữ ký Permit và Permit2 đang là vùng điểm nóng về an toàn tài sản Web3 hiện nay. Phương pháp này khó phòng ngừa vì người dùng luôn cần phải ký để đăng nhập vào ví trước khi sử dụng DApp. Nhiều người đã hình thành tư duy "hành động này là an toàn", cộng với việc không cần phải trả phí, và phần lớn mọi người không hiểu ý nghĩa của mỗi chữ ký, khiến cho phương pháp lừa đảo này trở nên đặc biệt nguy hiểm.
Cơ chế Permit là sự mở rộng của chức năng ủy quyền theo tiêu chuẩn ERC-20. Nói một cách đơn giản, nó cho phép bạn phê duyệt người khác di chuyển token của bạn thông qua chữ ký. Khác với ủy quyền truyền thống, Permit là bạn ký trên một "giấy chứng nhận", cho phép ai đó di chuyển token của bạn. Người nắm giữ "giấy chứng nhận" này có thể trả phí Gas cho hợp đồng thông minh, thông báo cho hợp đồng: "anh ấy cho phép tôi di chuyển token của anh ấy", từ đó thực hiện việc chuyển nhượng tài sản. Trong quá trình này, người dùng chỉ ký một chữ ký, nhưng thực tế đã cho phép người khác gọi ủy quyền và chuyển token. Hacker có thể tạo ra các trang web lừa đảo, thay thế nút đăng nhập ví bằng lừa đảo Permit, dễ dàng lấy tài sản của người dùng.
Permit2 không phải là một chức năng của ERC-20, mà là một tính năng được một số DEX phát triển để nâng cao trải nghiệm người dùng. Nó cho phép người dùng ủy quyền một khoản lớn cho DEX một lần, sau đó mỗi giao dịch chỉ cần ký tên là đủ, và hợp đồng Permit2 sẽ thanh toán phí Gas (được trừ từ token đổi cuối cùng). Tuy nhiên, để trở thành nạn nhân của lừa đảo Permit2, điều kiện tiên quyết là người dùng đã từng sử dụng DEX đó và đã ủy quyền một số lượng không giới hạn cho hợp đồng thông minh Permit2. Do hiện tại DEX này mặc định hoạt động là ủy quyền không giới hạn, số lượng người dùng đáp ứng điều kiện này là khá lớn.
Tóm lại, lừa đảo ủy quyền về cơ bản là người dùng trả phí để thông báo cho hợp đồng thông minh: "Tôi đồng ý để bạn chuyển token của tôi cho hacker". Lừa đảo ký tên thì người dùng ký một "chứng từ" cho phép người khác di chuyển tài sản đến hacker, hacker sau đó trả phí để thông báo cho hợp đồng thông minh: "Tôi muốn chuyển token của anh ta cho bản thân". Permit và Permit2 hiện là những khu vực có tần suất lừa đảo ký tên cao, Permit là tính năng mở rộng ủy quyền của ERC-20, trong khi Permit2 là tính năng mới được một DEX giới thiệu.
Vậy, làm thế nào để ngăn chặn những cuộc tấn công lừa đảo này?
Việc nuôi dưỡng ý thức an toàn là vô cùng quan trọng. Mỗi lần thực hiện các thao tác với ví, bạn cần kiểm tra kỹ lưỡng xem bạn đang thực hiện thao tác gì.
Tách biệt quỹ lớn và ví sử dụng hàng ngày để giảm thiểu khả năng mất mát.
Học cách nhận diện định dạng chữ ký của Permit và Permit2. Khi bạn thấy chữ ký chứa thông tin sau đây, hãy cảnh giác đặc biệt:
Interactive:địa chỉ tương tác
Chủ sở hữu:Địa chỉ bên ủy quyền
Spender:địa chỉ bên được ủy quyền
Giá trị:Số lượng được cấp phép
Nonce:số ngẫu nhiên
Deadline:Thời gian hết hạn
Bằng cách hiểu những nguyên lý cơ bản này và áp dụng các biện pháp phòng ngừa thích hợp, chúng ta có thể bảo vệ tốt hơn an toàn tài sản Web3 của mình.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
12 thích
Phần thưởng
12
6
Chia sẻ
Bình luận
0/400
MemeCurator
· 11giờ trước
又有 đồ ngốc bị câu了
Xem bản gốcTrả lời0
AlgoAlchemist
· 11giờ trước
Người mới đều biết phòng tránh lừa đảo, đồ ngốc vẫn bị mắc bẫy.
Xem bản gốcTrả lời0
MEVHunterZhang
· 11giờ trước
Lại bị người ta câu đi mấy chục w nữa rồi.
Xem bản gốcTrả lời0
WalletDetective
· 11giờ trước
Lại bị đánh cắp rồi? Không ngạc nhiên, không xem kỹ nội dung chữ ký.
Xem bản gốcTrả lời0
OnchainArchaeologist
· 11giờ trước
又被 chơi đùa với mọi người啦 根本学不会
Xem bản gốcTrả lời0
SolidityNewbie
· 11giờ trước
Bị chơi đùa với mọi người một lần thì sẽ nhớ lâu hơn.
Độ sâu phân tích lừa đảo chữ ký Web3: Nhận diện rủi ro và chiến lược phòng ngừa
Phân tích logic cơ bản của lừa đảo chữ ký Web3
Gần đây, "lừa đảo chữ ký" đã trở thành phương thức lừa đảo được các hacker Web3 ưa chuộng nhất. Mặc dù các chuyên gia an ninh và các công ty ví liên tục tuyên truyền kiến thức liên quan, mỗi ngày vẫn có nhiều người dùng sa vào bẫy. Một trong những nguyên nhân chính gây ra tình trạng này là phần lớn mọi người thiếu hiểu biết về nguyên lý cơ bản của tương tác ví, và đối với những người không chuyên, rào cản học tập khá cao.
Để giúp nhiều người hiểu vấn đề này hơn, bài viết sẽ đi sâu vào logic cơ bản của lừa đảo chữ ký theo cách minh họa và cố gắng giải thích bằng ngôn ngữ dễ hiểu.
Đầu tiên, chúng ta cần hiểu rằng khi sử dụng ví, có hai loại thao tác chính: "ký" và "tương tác". Nói một cách đơn giản, ký xảy ra ngoài chuỗi (ngoài chuỗi), không cần phải trả phí Gas; trong khi tương tác xảy ra trên chuỗi (trên chuỗi), cần phải trả phí Gas.
Chữ ký thường được sử dụng để xác thực danh tính, chẳng hạn như đăng nhập vào ví. Khi bạn muốn trao đổi token trên một sàn DEX, bạn cần kết nối ví trước, lúc này bạn cần chữ ký để chứng minh bạn là chủ sở hữu của ví đó. Quá trình này sẽ không tạo ra bất kỳ dữ liệu hoặc trạng thái nào trên blockchain, vì vậy không cần phải trả phí.
Giao tiếp xảy ra khi thực hiện các thao tác thực tế. Ví dụ, khi bạn muốn trao đổi token trên DEX, trước tiên bạn cần trả một khoản phí để thông báo cho hợp đồng thông minh: "Tôi đã chấp thuận bạn có thể sử dụng 100USDT của tôi", bước này được gọi là ủy quyền (approve). Sau đó, bạn cũng cần trả thêm một khoản phí để thông báo cho hợp đồng thông minh: "Bây giờ bắt đầu thực hiện thao tác trao đổi", sau đó bạn đã hoàn tất giao dịch trao đổi 100USDT lấy các token khác.
Sau khi hiểu sự khác biệt giữa chữ ký và tương tác, chúng ta sẽ giới thiệu ba phương pháp lừa đảo phổ biến: lừa đảo ủy quyền, lừa đảo chữ ký Permit và lừa đảo chữ ký Permit2.
Lừa đảo ủy quyền là một trong những phương thức lừa đảo cổ điển nhất trong Web3. Tin tặc sẽ tạo ra một trang web giả mạo trông giống như một dự án NFT, thường có một nút "nhận airdrop" nổi bật ở giữa trang. Khi người dùng nhấp vào đó, giao diện bật lên của ví thực ra là yêu cầu người dùng ủy quyền để chuyển token đến địa chỉ của tin tặc. Nếu người dùng xác nhận thao tác, tin tặc sẽ thành công trong việc lấy tài sản của người dùng.
Tuy nhiên, tấn công lừa đảo được ủy quyền có một điểm yếu: do cần phải trả phí Gas, nhiều người dùng sẽ cẩn trọng hơn khi thực hiện các giao dịch liên quan đến tiền, chỉ cần chú ý một chút là có thể phát hiện ra điều bất thường, tương đối dễ phòng ngừa.
Phishing bằng chữ ký Permit và Permit2 đang là vùng điểm nóng về an toàn tài sản Web3 hiện nay. Phương pháp này khó phòng ngừa vì người dùng luôn cần phải ký để đăng nhập vào ví trước khi sử dụng DApp. Nhiều người đã hình thành tư duy "hành động này là an toàn", cộng với việc không cần phải trả phí, và phần lớn mọi người không hiểu ý nghĩa của mỗi chữ ký, khiến cho phương pháp lừa đảo này trở nên đặc biệt nguy hiểm.
Cơ chế Permit là sự mở rộng của chức năng ủy quyền theo tiêu chuẩn ERC-20. Nói một cách đơn giản, nó cho phép bạn phê duyệt người khác di chuyển token của bạn thông qua chữ ký. Khác với ủy quyền truyền thống, Permit là bạn ký trên một "giấy chứng nhận", cho phép ai đó di chuyển token của bạn. Người nắm giữ "giấy chứng nhận" này có thể trả phí Gas cho hợp đồng thông minh, thông báo cho hợp đồng: "anh ấy cho phép tôi di chuyển token của anh ấy", từ đó thực hiện việc chuyển nhượng tài sản. Trong quá trình này, người dùng chỉ ký một chữ ký, nhưng thực tế đã cho phép người khác gọi ủy quyền và chuyển token. Hacker có thể tạo ra các trang web lừa đảo, thay thế nút đăng nhập ví bằng lừa đảo Permit, dễ dàng lấy tài sản của người dùng.
Permit2 không phải là một chức năng của ERC-20, mà là một tính năng được một số DEX phát triển để nâng cao trải nghiệm người dùng. Nó cho phép người dùng ủy quyền một khoản lớn cho DEX một lần, sau đó mỗi giao dịch chỉ cần ký tên là đủ, và hợp đồng Permit2 sẽ thanh toán phí Gas (được trừ từ token đổi cuối cùng). Tuy nhiên, để trở thành nạn nhân của lừa đảo Permit2, điều kiện tiên quyết là người dùng đã từng sử dụng DEX đó và đã ủy quyền một số lượng không giới hạn cho hợp đồng thông minh Permit2. Do hiện tại DEX này mặc định hoạt động là ủy quyền không giới hạn, số lượng người dùng đáp ứng điều kiện này là khá lớn.
Tóm lại, lừa đảo ủy quyền về cơ bản là người dùng trả phí để thông báo cho hợp đồng thông minh: "Tôi đồng ý để bạn chuyển token của tôi cho hacker". Lừa đảo ký tên thì người dùng ký một "chứng từ" cho phép người khác di chuyển tài sản đến hacker, hacker sau đó trả phí để thông báo cho hợp đồng thông minh: "Tôi muốn chuyển token của anh ta cho bản thân". Permit và Permit2 hiện là những khu vực có tần suất lừa đảo ký tên cao, Permit là tính năng mở rộng ủy quyền của ERC-20, trong khi Permit2 là tính năng mới được một DEX giới thiệu.
Vậy, làm thế nào để ngăn chặn những cuộc tấn công lừa đảo này?
Việc nuôi dưỡng ý thức an toàn là vô cùng quan trọng. Mỗi lần thực hiện các thao tác với ví, bạn cần kiểm tra kỹ lưỡng xem bạn đang thực hiện thao tác gì.
Tách biệt quỹ lớn và ví sử dụng hàng ngày để giảm thiểu khả năng mất mát.
Học cách nhận diện định dạng chữ ký của Permit và Permit2. Khi bạn thấy chữ ký chứa thông tin sau đây, hãy cảnh giác đặc biệt:
Bằng cách hiểu những nguyên lý cơ bản này và áp dụng các biện pháp phòng ngừa thích hợp, chúng ta có thể bảo vệ tốt hơn an toàn tài sản Web3 của mình.