Trong hệ sinh thái Web3, hacker luôn là một sự hiện diện khiến các dự án và người dùng bình thường cảm thấy lo lắng. Do tính không thể đảo ngược của blockchain, một khi tài sản đã bị đánh cắp thì gần như không thể lấy lại, vì vậy việc sở hữu kiến thức bảo mật là vô cùng quan trọng đối với mỗi người tham gia vào thế giới tiền mã hóa.
Gần đây, một phương pháp lừa đảo mới bắt đầu hoạt động, chỉ cần ký tên có thể dẫn đến việc tài sản bị đánh cắp, phương pháp này cực kỳ ẩn giật và khó phòng ngừa. Điều đáng lo ngại hơn là, tất cả các địa chỉ đã tương tác với một DEX nào đó đều có thể bị lộ ra trước rủi ro này. Bài viết này sẽ phân tích sâu về nguyên lý và các biện pháp phòng ngừa của phương pháp lừa đảo ký tên này.
Diễn biến sự kiện
Vấn đề bắt nguồn từ một người bạn ( nhỏ A ) bị đánh cắp tài sản. Khác với các phương thức đánh cắp thông thường, nhỏ A không hề để lộ khóa riêng, cũng không tương tác với các trang web hoặc hợp đồng nghi ngờ. Qua trình duyệt blockchain có thể thấy, USDT trong ví của nhỏ A đã bị chuyển đi thông qua hàm Transfer From, điều này có nghĩa là một địa chỉ bên thứ ba đã thực hiện việc chuyển nhượng tài sản, chứ không phải do khóa riêng của ví bị lộ.
Tiếp tục tra cứu chi tiết giao dịch phát hiện:
Một địa chỉ có đuôi số fd51 đã chuyển tài sản của nhỏ A sang một địa chỉ khác
Hành động này là để tương tác với hợp đồng Permit2 của một DEX nào đó.
Vấn đề chính là, địa chỉ fd51 đã có được quyền thao tác tài sản của A nhỏ như thế nào? Tại sao lại có liên quan đến hợp đồng của một DEX nào đó?
Phân tích kỹ thuật câu cá
Để hiểu phương pháp lừa đảo này, chúng ta cần hiểu trước chức năng của hợp đồng Permit2. Permit2 là một hợp đồng phê duyệt token được một số DEX ra mắt vào cuối năm 2022, nhằm mục đích cho phép các ứng dụng khác nhau chia sẻ và quản lý quyền phê duyệt token, từ đó tạo ra một trải nghiệm người dùng đồng nhất, hiệu quả về chi phí và an toàn hơn.
Dưới cách tương tác truyền thống, người dùng mỗi lần tương tác với các DApp khác nhau đều cần phải cấp phép riêng biệt. Trong khi đó, Permit2 hoạt động như một người trung gian, người dùng chỉ cần cấp phép Token cho hợp đồng Permit2, tất cả các DApp tích hợp Permit2 có thể chia sẻ hạn mức cấp phép này. Điều này giảm đáng kể chi phí tương tác của người dùng và nâng cao trải nghiệm.
Tuy nhiên, Permit2 cũng mang lại những rủi ro mới. Nó đã chuyển đổi hoạt động của người dùng từ tương tác trên chuỗi sang ký quỹ ngoài chuỗi, và tất cả các hoạt động trên chuỗi được thực hiện bởi các vai trò trung gian ( như hợp đồng Permit2 ). Mặc dù giải pháp này thuận tiện, nhưng ký quỹ ngoài chuỗi chính là giai đoạn mà người dùng dễ dàng lơ là cảnh giác nhất.
Trong trường hợp của nhỏ A, điểm mấu chốt là tin tặc đã lợi dụng hàm Permit của hợp đồng Permit2. Hàm này cho phép chuyển quyền hạn mức Token của người dùng cho Permit2 sang địa chỉ khác thông qua chữ ký. Nói cách khác, chỉ cần có chữ ký của người dùng, tin tặc có thể điều khiển Token trong ví của người dùng.
Biện pháp phòng ngừa
Xem xét rằng Permit2 có thể trở nên phổ biến hơn trong tương lai, dưới đây là một số đề xuất phòng ngừa hiệu quả:
Học cách nhận diện định dạng chữ ký Permit. Chữ ký Permit thường chứa các thông tin quan trọng như Owner, Spender, value, nonce và deadline. Sử dụng plugin an toàn có thể giúp nhận diện.
Tách biệt lưu trữ tài sản và ví tương tác. Lưu trữ tài sản lớn trong ví lạnh, ví tương tác chỉ giữ một lượng nhỏ tiền, có thể giảm thiểu đáng kể rủi ro mất mát.
Hạn chế hạn mức ủy quyền hoặc hủy ủy quyền. Khi tương tác chỉ ủy quyền số tiền cần thiết, mặc dù sẽ tăng một số chi phí, nhưng có thể tránh bị lừa đảo chữ ký Permit2. Đã ủy quyền có thể được hủy qua plugin bảo mật.
Tìm hiểu xem các token mà bạn nắm giữ có hỗ trợ chức năng permit hay không. Đối với các token hỗ trợ tính năng này, cần phải thận trọng hơn trong giao dịch, kiểm tra kỹ lưỡng từng chữ ký không xác định.
Xây dựng kế hoạch ứng phó khẩn cấp. Nếu phát hiện bị lừa nhưng vẫn còn tài sản trên các nền tảng khác, cần nhanh chóng xây dựng một kế hoạch cứu trợ tài sản hoàn thiện, có thể xem xét sử dụng MEV chuyển nhượng hoặc tìm kiếm sự hỗ trợ từ các đội ngũ an ninh chuyên nghiệp.
Khi ứng dụng Permit2 mở rộng, các phương pháp lừa đảo dựa trên nó có thể ngày càng nhiều. Cách lừa đảo bằng chữ ký này cực kỳ tinh vi và khó phòng ngừa, hy vọng nhiều người sẽ hiểu rõ các rủi ro liên quan, nâng cao cảnh giác, tránh bị tổn thất.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
17 thích
Phần thưởng
17
6
Chia sẻ
Bình luận
0/400
CryptoPunster
· 07-15 11:51
Cười chết, đồ ngốc gặp hợp đồng thông minh gọi bố
Xem bản gốcTrả lời0
FloorPriceNightmare
· 07-13 04:24
Thông báo ký tên lần thứ 800
Xem bản gốcTrả lời0
RugResistant
· 07-13 04:21
又 một đợt đồ ngốc sẽ bị chơi đùa với mọi người
Xem bản gốcTrả lời0
WalletDetective
· 07-13 04:21
又有 đồ ngốc掉坑里了
Xem bản gốcTrả lời0
LazyDevMiner
· 07-13 04:14
Lại là một sự cố ký tên, người mới lại bị thiệt thòi!
Xem bản gốcTrả lời0
PhantomMiner
· 07-13 04:08
Lại là chiêu trò mới để gọi vốn, khiến tôi không dám ký tên nữa.
Phương pháp lừa đảo chữ ký Permit2 mới cho người mới: Cảnh báo bảo mật tài sản của người dùng DEX
Cạm bẫy chữ ký ẩn - Khám phá trò lừa bịp Uniswap Permit2
Trong hệ sinh thái Web3, hacker luôn là một sự hiện diện khiến các dự án và người dùng bình thường cảm thấy lo lắng. Do tính không thể đảo ngược của blockchain, một khi tài sản đã bị đánh cắp thì gần như không thể lấy lại, vì vậy việc sở hữu kiến thức bảo mật là vô cùng quan trọng đối với mỗi người tham gia vào thế giới tiền mã hóa.
Gần đây, một phương pháp lừa đảo mới bắt đầu hoạt động, chỉ cần ký tên có thể dẫn đến việc tài sản bị đánh cắp, phương pháp này cực kỳ ẩn giật và khó phòng ngừa. Điều đáng lo ngại hơn là, tất cả các địa chỉ đã tương tác với một DEX nào đó đều có thể bị lộ ra trước rủi ro này. Bài viết này sẽ phân tích sâu về nguyên lý và các biện pháp phòng ngừa của phương pháp lừa đảo ký tên này.
Diễn biến sự kiện
Vấn đề bắt nguồn từ một người bạn ( nhỏ A ) bị đánh cắp tài sản. Khác với các phương thức đánh cắp thông thường, nhỏ A không hề để lộ khóa riêng, cũng không tương tác với các trang web hoặc hợp đồng nghi ngờ. Qua trình duyệt blockchain có thể thấy, USDT trong ví của nhỏ A đã bị chuyển đi thông qua hàm Transfer From, điều này có nghĩa là một địa chỉ bên thứ ba đã thực hiện việc chuyển nhượng tài sản, chứ không phải do khóa riêng của ví bị lộ.
Tiếp tục tra cứu chi tiết giao dịch phát hiện:
Vấn đề chính là, địa chỉ fd51 đã có được quyền thao tác tài sản của A nhỏ như thế nào? Tại sao lại có liên quan đến hợp đồng của một DEX nào đó?
Phân tích kỹ thuật câu cá
Để hiểu phương pháp lừa đảo này, chúng ta cần hiểu trước chức năng của hợp đồng Permit2. Permit2 là một hợp đồng phê duyệt token được một số DEX ra mắt vào cuối năm 2022, nhằm mục đích cho phép các ứng dụng khác nhau chia sẻ và quản lý quyền phê duyệt token, từ đó tạo ra một trải nghiệm người dùng đồng nhất, hiệu quả về chi phí và an toàn hơn.
Dưới cách tương tác truyền thống, người dùng mỗi lần tương tác với các DApp khác nhau đều cần phải cấp phép riêng biệt. Trong khi đó, Permit2 hoạt động như một người trung gian, người dùng chỉ cần cấp phép Token cho hợp đồng Permit2, tất cả các DApp tích hợp Permit2 có thể chia sẻ hạn mức cấp phép này. Điều này giảm đáng kể chi phí tương tác của người dùng và nâng cao trải nghiệm.
Tuy nhiên, Permit2 cũng mang lại những rủi ro mới. Nó đã chuyển đổi hoạt động của người dùng từ tương tác trên chuỗi sang ký quỹ ngoài chuỗi, và tất cả các hoạt động trên chuỗi được thực hiện bởi các vai trò trung gian ( như hợp đồng Permit2 ). Mặc dù giải pháp này thuận tiện, nhưng ký quỹ ngoài chuỗi chính là giai đoạn mà người dùng dễ dàng lơ là cảnh giác nhất.
Trong trường hợp của nhỏ A, điểm mấu chốt là tin tặc đã lợi dụng hàm Permit của hợp đồng Permit2. Hàm này cho phép chuyển quyền hạn mức Token của người dùng cho Permit2 sang địa chỉ khác thông qua chữ ký. Nói cách khác, chỉ cần có chữ ký của người dùng, tin tặc có thể điều khiển Token trong ví của người dùng.
Biện pháp phòng ngừa
Xem xét rằng Permit2 có thể trở nên phổ biến hơn trong tương lai, dưới đây là một số đề xuất phòng ngừa hiệu quả:
Học cách nhận diện định dạng chữ ký Permit. Chữ ký Permit thường chứa các thông tin quan trọng như Owner, Spender, value, nonce và deadline. Sử dụng plugin an toàn có thể giúp nhận diện.
Tách biệt lưu trữ tài sản và ví tương tác. Lưu trữ tài sản lớn trong ví lạnh, ví tương tác chỉ giữ một lượng nhỏ tiền, có thể giảm thiểu đáng kể rủi ro mất mát.
Hạn chế hạn mức ủy quyền hoặc hủy ủy quyền. Khi tương tác chỉ ủy quyền số tiền cần thiết, mặc dù sẽ tăng một số chi phí, nhưng có thể tránh bị lừa đảo chữ ký Permit2. Đã ủy quyền có thể được hủy qua plugin bảo mật.
Tìm hiểu xem các token mà bạn nắm giữ có hỗ trợ chức năng permit hay không. Đối với các token hỗ trợ tính năng này, cần phải thận trọng hơn trong giao dịch, kiểm tra kỹ lưỡng từng chữ ký không xác định.
Xây dựng kế hoạch ứng phó khẩn cấp. Nếu phát hiện bị lừa nhưng vẫn còn tài sản trên các nền tảng khác, cần nhanh chóng xây dựng một kế hoạch cứu trợ tài sản hoàn thiện, có thể xem xét sử dụng MEV chuyển nhượng hoặc tìm kiếm sự hỗ trợ từ các đội ngũ an ninh chuyên nghiệp.
Khi ứng dụng Permit2 mở rộng, các phương pháp lừa đảo dựa trên nó có thể ngày càng nhiều. Cách lừa đảo bằng chữ ký này cực kỳ tinh vi và khó phòng ngừa, hy vọng nhiều người sẽ hiểu rõ các rủi ro liên quan, nâng cao cảnh giác, tránh bị tổn thất.