Trong một lời nhắc nhở rõ ràng về cách mà những sai lầm cũ có thể ám ảnh người dùng Web3, một ví crypto đã mất hơn 908.000 USD trong USDC do một trò lừa đảo phishing. Theo một bài đăng của Scam Sniffer, vụ trộm này đã được kích hoạt bởi một sự chấp thuận mà nạn nhân đã ký 458 ngày trước, đã lâu bị quên nhưng vẫn còn hiệu lực. Kẻ tấn công đã sử dụng quyền này để chuyển tiền trực tiếp từ ví của nạn nhân đến một địa chỉ phishing.
Giao dịch, diễn ra vào đầu ngày 2 tháng 8, đã được thực hiện bởi nhóm Pink Drainer, một hoạt động lừa đảo nổi tiếng. Sự phê duyệt đã không được kiểm tra và mở, cho phép kẻ tấn công truy cập hoàn toàn khi thời điểm đến.
Cách Nó Đã Xảy Ra
Phê duyệt hợp đồng thông minh cho phép các ứng dụng phi tập trung (dApps) di chuyển token thay mặt cho người dùng. Mặc dù rất cần thiết cho DeFi, những quyền hạn này vẫn tồn tại cho đến khi bị thu hồi thủ công. Trong trường hợp này, nạn nhân đã ký một phê duyệt hơn một năm trước. Kẻ tấn công đã khai thác quyền truy cập này, siphoning gần một triệu đô la trong một giao dịch duy nhất.
Các nhà nghiên cứu bảo mật đã cảnh báo rằng ngay cả những phê duyệt cũ, dường như vô hại cũng có thể bị các tác nhân xấu tái sử dụng. Chỉ cần một sơ suất, một trang web độc hại, một dApp giả mạo, hoặc một kết nối lỗi thời, để kẻ tấn công có thể ra tay.
Phê duyệt Token: Một Rủi Ro Im Lặng
Nhiều người dùng quên rằng các phê duyệt hợp đồng thông minh không bị giới hạn thời gian. Nếu bạn đã từng nhấp vào "phê duyệt" trên một ứng dụng DeFi, quyền đó có thể vẫn còn hoạt động. Đó là lý do tại sao các chuyên gia an ninh khuyên người dùng nên thường xuyên xem xét các khoản cho phép token của họ.
Để giữ an toàn, người dùng nên biến việc sử dụng các công cụ an toàn thành thói quen. Trang Phê duyệt Token của Etherscan và Debank giúp người dùng kiểm tra và hủy bỏ các quyền không cần thiết. Chỉ mất vài phút, nhưng có thể tiết kiệm hàng ngàn.
Không phải đầu tiên, cũng không phải cuối cùng
Sự cố này gia nhập vào danh sách ngày càng tăng của các trường hợp tương tự. Trong năm qua, một số người dùng đã mất tiền do các phê duyệt chưa bị thu hồi. Scam Sniffer và các tổ chức giám sát trên chuỗi khác, như PeckShield, đã nhiều lần chỉ ra các cuộc tấn công lừa đảo lợi dụng quyền truy cập ví bị quên.
Các kế hoạch lừa đảo này thường sử dụng các trang web hoặc liên kết lừa đảo để đánh lừa người dùng ký các phê duyệt độc hại. Khi được cấp phép, những quyền này có thể im lặng cho đến khi một kẻ lừa đảo quyết định rút tiền.
Scam Sniffer Là Ai?
Scam Sniffer là một công ty an ninh Web3 tập trung vào việc phát hiện lừa đảo và giáo dục người dùng crypto. Tiện ích mở rộng trình duyệt và cảnh báo của họ giúp người dùng phát hiện bẫy lừa đảo trước khi quá muộn. Cảnh báo sớm của họ đã làm sáng tỏ sự cố, củng cố nhu cầu về sự cảnh giác liên tục.
Giữ an toàn, Cập nhật thông tin
Để bảo vệ ví của mình, người dùng nên thực hiện một vài biện pháp phòng ngừa quan trọng. Bắt đầu bằng cách kiểm tra các phê duyệt token cũ của bạn; thu hồi những cái bạn không còn sử dụng nữa có thể chặn những kẻ lừa đảo trước khi chúng tấn công. Đừng ký mù quáng vào các lời mời hợp đồng thông minh, dù chúng có vẻ hợp pháp đến đâu. Nếu bạn đang xử lý giá trị thực, một ví phần cứng sẽ thêm một lớp bảo vệ bổ sung mà khó có thể đánh bại.
Và đừng bỏ qua những công cụ như Revoke.cash hoặc tiện ích mở rộng của Scam Sniffer, chúng giống như phần mềm diệt virus cho cuộc sống Web3 của bạn. Cuối cùng, sự chấp thuận mà bạn quên vào năm ngoái có thể là cái sẽ làm cạn kiệt ví của bạn vào ngày mai.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
$908K bị đánh cắp trong vụ lừa đảo liên quan đến phê duyệt ví tiền 458 ngày tuổi
Trong một lời nhắc nhở rõ ràng về cách mà những sai lầm cũ có thể ám ảnh người dùng Web3, một ví crypto đã mất hơn 908.000 USD trong USDC do một trò lừa đảo phishing. Theo một bài đăng của Scam Sniffer, vụ trộm này đã được kích hoạt bởi một sự chấp thuận mà nạn nhân đã ký 458 ngày trước, đã lâu bị quên nhưng vẫn còn hiệu lực. Kẻ tấn công đã sử dụng quyền này để chuyển tiền trực tiếp từ ví của nạn nhân đến một địa chỉ phishing.
Giao dịch, diễn ra vào đầu ngày 2 tháng 8, đã được thực hiện bởi nhóm Pink Drainer, một hoạt động lừa đảo nổi tiếng. Sự phê duyệt đã không được kiểm tra và mở, cho phép kẻ tấn công truy cập hoàn toàn khi thời điểm đến.
Cách Nó Đã Xảy Ra
Phê duyệt hợp đồng thông minh cho phép các ứng dụng phi tập trung (dApps) di chuyển token thay mặt cho người dùng. Mặc dù rất cần thiết cho DeFi, những quyền hạn này vẫn tồn tại cho đến khi bị thu hồi thủ công. Trong trường hợp này, nạn nhân đã ký một phê duyệt hơn một năm trước. Kẻ tấn công đã khai thác quyền truy cập này, siphoning gần một triệu đô la trong một giao dịch duy nhất.
Các nhà nghiên cứu bảo mật đã cảnh báo rằng ngay cả những phê duyệt cũ, dường như vô hại cũng có thể bị các tác nhân xấu tái sử dụng. Chỉ cần một sơ suất, một trang web độc hại, một dApp giả mạo, hoặc một kết nối lỗi thời, để kẻ tấn công có thể ra tay.
Phê duyệt Token: Một Rủi Ro Im Lặng
Nhiều người dùng quên rằng các phê duyệt hợp đồng thông minh không bị giới hạn thời gian. Nếu bạn đã từng nhấp vào "phê duyệt" trên một ứng dụng DeFi, quyền đó có thể vẫn còn hoạt động. Đó là lý do tại sao các chuyên gia an ninh khuyên người dùng nên thường xuyên xem xét các khoản cho phép token của họ.
Để giữ an toàn, người dùng nên biến việc sử dụng các công cụ an toàn thành thói quen. Trang Phê duyệt Token của Etherscan và Debank giúp người dùng kiểm tra và hủy bỏ các quyền không cần thiết. Chỉ mất vài phút, nhưng có thể tiết kiệm hàng ngàn.
Không phải đầu tiên, cũng không phải cuối cùng
Sự cố này gia nhập vào danh sách ngày càng tăng của các trường hợp tương tự. Trong năm qua, một số người dùng đã mất tiền do các phê duyệt chưa bị thu hồi. Scam Sniffer và các tổ chức giám sát trên chuỗi khác, như PeckShield, đã nhiều lần chỉ ra các cuộc tấn công lừa đảo lợi dụng quyền truy cập ví bị quên.
Các kế hoạch lừa đảo này thường sử dụng các trang web hoặc liên kết lừa đảo để đánh lừa người dùng ký các phê duyệt độc hại. Khi được cấp phép, những quyền này có thể im lặng cho đến khi một kẻ lừa đảo quyết định rút tiền.
Scam Sniffer Là Ai?
Scam Sniffer là một công ty an ninh Web3 tập trung vào việc phát hiện lừa đảo và giáo dục người dùng crypto. Tiện ích mở rộng trình duyệt và cảnh báo của họ giúp người dùng phát hiện bẫy lừa đảo trước khi quá muộn. Cảnh báo sớm của họ đã làm sáng tỏ sự cố, củng cố nhu cầu về sự cảnh giác liên tục.
Giữ an toàn, Cập nhật thông tin
Để bảo vệ ví của mình, người dùng nên thực hiện một vài biện pháp phòng ngừa quan trọng. Bắt đầu bằng cách kiểm tra các phê duyệt token cũ của bạn; thu hồi những cái bạn không còn sử dụng nữa có thể chặn những kẻ lừa đảo trước khi chúng tấn công. Đừng ký mù quáng vào các lời mời hợp đồng thông minh, dù chúng có vẻ hợp pháp đến đâu. Nếu bạn đang xử lý giá trị thực, một ví phần cứng sẽ thêm một lớp bảo vệ bổ sung mà khó có thể đánh bại.
Và đừng bỏ qua những công cụ như Revoke.cash hoặc tiện ích mở rộng của Scam Sniffer, chúng giống như phần mềm diệt virus cho cuộc sống Web3 của bạn. Cuối cùng, sự chấp thuận mà bạn quên vào năm ngoái có thể là cái sẽ làm cạn kiệt ví của bạn vào ngày mai.