Phân tích thủ đoạn lừa đảo ký Web3: Từ ủy quyền đến Permit2
Gần đây, "lừa đảo bằng chữ ký" đã trở thành một trong những phương thức tấn công được các hacker Web3 ưa chuộng nhất. Mặc dù các chuyên gia bảo mật và công ty ví liên tục phổ biến kiến thức liên quan, nhưng hàng ngày vẫn có nhiều người dùng rơi vào bẫy. Một trong những nguyên nhân chính gây ra tình trạng này là hầu hết người dùng thiếu hiểu biết về logic cơ bản của các tương tác với ví, đồng thời mức độ học hỏi cũng khá cao.
Để giúp nhiều người hiểu vấn đề này hơn, bài viết sẽ phân tích logic cơ bản của lừa đảo chữ ký Web3 theo cách dễ hiểu, đặc biệt là dành cho những người dùng không quen thuộc với công nghệ.
Đầu tiên, chúng ta cần hiểu rằng khi sử dụng ví có hai loại thao tác chính: "ký" và "tương tác". Nói đơn giản, ký diễn ra ngoài chuỗi (off-chain), không cần phải trả phí Gas; trong khi tương tác diễn ra trên chuỗi (on-chain), cần phải trả phí Gas.
Chữ ký thường được sử dụng để xác thực danh tính, chẳng hạn như đăng nhập vào ví hoặc kết nối với một DApp nào đó. Quá trình này sẽ không ảnh hưởng đến blockchain, vì vậy không cần phải trả phí. Còn tương tác thì liên quan đến các thao tác thực tế trên chuỗi, như việc trao đổi token trên DEX, điều này cần phải trả phí Gas.
Sau khi hiểu sự khác biệt giữa chữ ký và tương tác, chúng ta hãy xem xét một số phương thức lừa đảo phổ biến:
Lừa đảo ủy quyền:
Đây là một phương pháp câu cá cổ điển. Kẻ tấn công sẽ tạo ra một trang web giả mạo, dụ dỗ người dùng thực hiện các thao tác ủy quyền. Khi người dùng nhấp vào các nút như "Nhận airdrop", thực tế là họ đang ủy quyền cho địa chỉ của kẻ tấn công thao tác token của mình. Mặc dù phương pháp này cần phải trả phí Gas, nhưng vẫn có người dùng vô tình mắc bẫy.
Lừa đảo chữ ký Permit:
Permit là một tính năng mở rộng của tiêu chuẩn ERC-20, cho phép người dùng ủy quyền cho người khác thao tác token của mình thông qua chữ ký. Hacker có thể lợi dụng cơ chế này để dụ dỗ người dùng ký một thông điệp có vẻ vô hại, nhưng thực chất lại là "giấy ủy quyền" cho hacker chuyển nhượng tài sản của người dùng.
Lừa đảo chữ ký Permit2:
Permit2 là một tính năng được phát triển bởi một số DEX nhằm đơn giản hóa quy trình thao tác của người dùng. Tuy nhiên, nếu người dùng đã từng cấp quyền tối đa cho hợp đồng Permit2, kẻ tấn công có thể lợi dụng điều này để thực hiện các cuộc tấn công lừa đảo.
Để phòng ngừa những cuộc tấn công lừa đảo này, người dùng có thể thực hiện các biện pháp sau:
Nâng cao ý thức an toàn, mỗi lần thực hiện thao tác ví đều phải kiểm tra cẩn thận.
Tách biệt số tiền lớn với ví sử dụng hàng ngày để giảm thiểu tổn thất tiềm ẩn.
Học cách nhận diện định dạng chữ ký của Permit và Permit2, hãy cảnh giác với những chữ ký chứa thông tin về địa chỉ bên ủy quyền, địa chỉ bên được ủy quyền, số lượng ủy quyền, v.v.
Nói chung, bản chất của việc ký tên lừa đảo là dụ dỗ người dùng ký một "giấy phép" cho phép người khác thao tác tài sản của mình. Hiểu được nguyên lý của những cuộc tấn công này và giữ cảnh giác là rất quan trọng để bảo vệ tài sản số của mình.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
16 thích
Phần thưởng
16
7
Chia sẻ
Bình luận
0/400
AirdropBlackHole
· 14giờ trước
Người mới còn bị chém không?
Xem bản gốcTrả lời0
BearMarketHustler
· 14giờ trước
又是 đồ ngốc chơi đùa với mọi người大礼包
Xem bản gốcTrả lời0
ForkTrooper
· 14giờ trước
Thật nhiều đồ ngốc đang chờ chơi đùa với mọi người
Xem bản gốcTrả lời0
MonkeySeeMonkeyDo
· 14giờ trước
Đừng bị lừa, hãy bình tĩnh ký tên.
Xem bản gốcTrả lời0
DefiOldTrickster
· 14giờ trước
Đã chơi qua bẫy này rồi, nói thật không bằng cắm đầu mở một kho trống.
Phân tích toàn diện về lừa đảo ký Web3: Từ bẫy ủy quyền đến rủi ro Permit2
Phân tích thủ đoạn lừa đảo ký Web3: Từ ủy quyền đến Permit2
Gần đây, "lừa đảo bằng chữ ký" đã trở thành một trong những phương thức tấn công được các hacker Web3 ưa chuộng nhất. Mặc dù các chuyên gia bảo mật và công ty ví liên tục phổ biến kiến thức liên quan, nhưng hàng ngày vẫn có nhiều người dùng rơi vào bẫy. Một trong những nguyên nhân chính gây ra tình trạng này là hầu hết người dùng thiếu hiểu biết về logic cơ bản của các tương tác với ví, đồng thời mức độ học hỏi cũng khá cao.
Để giúp nhiều người hiểu vấn đề này hơn, bài viết sẽ phân tích logic cơ bản của lừa đảo chữ ký Web3 theo cách dễ hiểu, đặc biệt là dành cho những người dùng không quen thuộc với công nghệ.
Đầu tiên, chúng ta cần hiểu rằng khi sử dụng ví có hai loại thao tác chính: "ký" và "tương tác". Nói đơn giản, ký diễn ra ngoài chuỗi (off-chain), không cần phải trả phí Gas; trong khi tương tác diễn ra trên chuỗi (on-chain), cần phải trả phí Gas.
Chữ ký thường được sử dụng để xác thực danh tính, chẳng hạn như đăng nhập vào ví hoặc kết nối với một DApp nào đó. Quá trình này sẽ không ảnh hưởng đến blockchain, vì vậy không cần phải trả phí. Còn tương tác thì liên quan đến các thao tác thực tế trên chuỗi, như việc trao đổi token trên DEX, điều này cần phải trả phí Gas.
Sau khi hiểu sự khác biệt giữa chữ ký và tương tác, chúng ta hãy xem xét một số phương thức lừa đảo phổ biến:
Lừa đảo chữ ký Permit: Permit là một tính năng mở rộng của tiêu chuẩn ERC-20, cho phép người dùng ủy quyền cho người khác thao tác token của mình thông qua chữ ký. Hacker có thể lợi dụng cơ chế này để dụ dỗ người dùng ký một thông điệp có vẻ vô hại, nhưng thực chất lại là "giấy ủy quyền" cho hacker chuyển nhượng tài sản của người dùng.
Lừa đảo chữ ký Permit2: Permit2 là một tính năng được phát triển bởi một số DEX nhằm đơn giản hóa quy trình thao tác của người dùng. Tuy nhiên, nếu người dùng đã từng cấp quyền tối đa cho hợp đồng Permit2, kẻ tấn công có thể lợi dụng điều này để thực hiện các cuộc tấn công lừa đảo.
Để phòng ngừa những cuộc tấn công lừa đảo này, người dùng có thể thực hiện các biện pháp sau:
Nói chung, bản chất của việc ký tên lừa đảo là dụ dỗ người dùng ký một "giấy phép" cho phép người khác thao tác tài sản của mình. Hiểu được nguyên lý của những cuộc tấn công này và giữ cảnh giác là rất quan trọng để bảo vệ tài sản số của mình.