Nhiều người dùng gặp phải một câu hỏi khi tương tác với ví: "Tôi chỉ ký một chữ ký, tại sao tài sản của tôi lại biến mất?" Hình thức lừa đảo "ký tên đánh cắp" đang trở thành một trong những thủ đoạn lừa đảo được tin tặc Web3 ưa chuộng nhất. Mặc dù các chuyên gia an ninh và các công ty ví liên tục nhắc nhở người dùng nâng cao cảnh giác, nhưng hàng ngày vẫn có rất nhiều người rơi vào bẫy.
Một trong những nguyên nhân chính gây ra tình huống này là hầu hết người dùng thiếu hiểu biết về cơ chế nền tảng của việc tương tác với ví, và việc học tập đối với những người không phải kỹ thuật viên có ngưỡng khó khăn cao. Do đó, chúng tôi quyết định giải thích nguyên lý của lừa đảo ký tên thông qua hình ảnh và cố gắng sử dụng ngôn ngữ dễ hiểu để người dùng thông thường cũng có thể hiểu.
Đầu tiên, chúng ta cần hiểu rằng khi sử dụng ví chỉ có hai thao tác: "ký" và "tương tác". Cách hiểu đơn giản nhất là: ký xảy ra ngoài chuỗi blockchain ( chuỗi dưới ), không cần phải trả phí Gas; trong khi tương tác xảy ra trên chuỗi blockchain ( chuỗi trên ), cần phải trả phí Gas.
Chữ ký thường được sử dụng để xác thực danh tính, chẳng hạn như đăng nhập vào ví. Khi bạn muốn trao đổi token trên một DEX, bạn cần kết nối ví trước, lúc này bạn cần chữ ký để chứng minh "Tôi là chủ sở hữu của ví này". Quá trình này sẽ không tạo ra bất kỳ dữ liệu hoặc trạng thái nào trên blockchain, do đó không cần phải tốn phí.
Và tương tác là khi bạn thực sự muốn hoán đổi token trên DEX, bạn cần trả một khoản phí để thông báo cho hợp đồng thông minh của DEX: "Tôi muốn hoán đổi 100USDT lấy một token, tôi ủy quyền cho bạn có thể di chuyển 100USDT của tôi". Bước này được gọi là ủy quyền (approve). Sau đó, bạn cũng phải trả một khoản phí nữa để thông báo cho hợp đồng thông minh: "Bây giờ tôi muốn hoán đổi 100USDT lấy một token, bạn có thể thực hiện thao tác được rồi". Như vậy, bạn đã hoàn thành giao dịch hoán đổi 100USDT lấy một token.
Sau khi hiểu rõ sự khác biệt giữa chữ ký và tương tác, chúng ta sẽ giới thiệu ba phương pháp lừa đảo phổ biến: lừa đảo ủy quyền, lừa đảo chữ ký Permit và lừa đảo chữ ký Permit2.
Lừa đảo ủy quyền là một trong những phương pháp lừa đảo cổ điển nhất trong Web3. Tin tặc sẽ tạo ra một trang web giả mạo dưới dạng dự án NFT, trong đó có một nút "Nhận airdrop" nổi bật. Khi người dùng nhấp vào, giao diện ví bật lên thực chất là yêu cầu người dùng ủy quyền để chuyển token đến địa chỉ của tin tặc. Nếu người dùng xác nhận thao tác này, tin tặc sẽ hoàn thành một vụ lừa đảo.
Tuy nhiên, việc ủy quyền đánh cắp có một nhược điểm: vì cần phải trả phí Gas, hiện nay nhiều người dùng sẽ cẩn thận hơn khi thực hiện các giao dịch liên quan đến tiền, chỉ cần chú ý một chút trên các trang web lạ là có thể phát hiện ra sự bất thường.
Tiếp theo là lừa đảo chữ ký Permit và Permit2, đây là khu vực đặc biệt nguy hiểm cho an toàn tài sản Web3 hiện nay. Điều này khó phòng ngừa vì mỗi lần sử dụng DApp đều cần phải ký tên để đăng nhập vào ví, nhiều người dùng đã hình thành tư duy "hành động này là an toàn". Hơn nữa, việc không cần phải trả phí và hầu hết mọi người không hiểu ý nghĩa của từng chữ ký đã khiến cho phương thức lừa đảo này trở nên đặc biệt nguy hiểm.
Permit là một chức năng mở rộng được cấp phép theo tiêu chuẩn ERC-20. Nói một cách đơn giản, bạn có thể phê duyệt người khác di chuyển token của bạn bằng cách ký tên. Khác với việc (Approve) yêu cầu bạn phải trả phí, Permit giống như việc bạn ký một "giấy phép", cho phép ai đó di chuyển token của bạn. Sau đó, người đó mang "giấy phép" này đến hợp đồng thông minh, trả phí Gas và nói với hợp đồng: "Anh ta cho phép tôi di chuyển token của anh ấy". Trong quá trình này, bạn chỉ ký tên, nhưng thực tế lại cho phép người khác gọi quyền hạn và chuyển token của bạn.
Permit2 không phải là một chức năng của ERC-20, mà là một chức năng do một số DEX phát triển để thuận tiện cho người dùng. Mục đích của nó là cho phép người dùng ủy quyền một số tiền lớn một lần, sau đó mỗi lần giao dịch chỉ cần ký là đủ, không cần ủy quyền lại. Như vậy, người dùng chỉ cần trả phí Gas một lần cho mỗi giao dịch, và khoản phí này sẽ được hợp đồng Permit2 thanh toán thay, cuối cùng sẽ được trừ từ token được đổi.
Tuy nhiên, điều kiện tiên quyết để lừa đảo Permit2 là người dùng đã từng sử dụng DEX này và đã cấp quyền hạn không giới hạn cho hợp đồng thông minh Permit2. Vì hiện tại DEX này mặc định thực hiện cấp quyền hạn không giới hạn, nên số lượng người dùng đáp ứng điều kiện này là khá nhiều.
Tóm lại, bản chất của lừa đảo ủy quyền là bạn trả phí để thông báo cho hợp đồng thông minh: "Tôi ủy quyền cho bạn chuyển token của tôi cho hacker". Bản chất của lừa đảo ký tên là bạn đã ký một "giấy phép" cho phép người khác di chuyển tài sản của bạn cho hacker, hacker sau đó trả phí để thông báo cho hợp đồng thông minh: "Tôi muốn chuyển token của anh ấy về cho tôi".
Vậy, làm thế nào để phòng ngừa những cuộc tấn công lừa đảo này?
Việc nuôi dưỡng nhận thức về an toàn là rất quan trọng. Mỗi lần thực hiện các thao tác với ví, bạn cần kiểm tra kỹ lưỡng xem bạn đang thực hiện thao tác gì.
Tách biệt quỹ lớn và ví sử dụng hàng ngày, như vậy ngay cả khi bị lừa đảo cũng có thể giảm thiểu tổn thất.
Học cách nhận diện định dạng chữ ký của Permit và Permit2. Nếu bạn thấy chữ ký chứa thông tin sau, hãy cảnh giác:
Interactive:địa chỉ tương tác
Chủ sở hữu:Địa chỉ bên ủy quyền
Spender:Địa chỉ bên được ủy quyền
Giá trị:Số lượng được ủy quyền
Nonce:số ngẫu nhiên
Deadline:Thời gian hết hạn
Bằng cách hiểu những logic cơ bản và biện pháp phòng ngừa này, người dùng có thể bảo vệ tài sản kỹ thuật số của mình tốt hơn, tránh trở thành nạn nhân của lừa đảo chữ ký.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
22 thích
Phần thưởng
22
6
Chia sẻ
Bình luận
0/400
PoetryOnChain
· 07-17 15:03
又有 đồ ngốc 被薅了吧
Xem bản gốcTrả lời0
SchrodingerWallet
· 07-16 16:37
Người dân đồ ngốc chờ bị giết...
Xem bản gốcTrả lời0
PensionDestroyer
· 07-14 18:57
Ai đã từng bị lừa thì giơ tay lên! Ai hiểu?
Xem bản gốcTrả lời0
RugDocScientist
· 07-14 18:54
Ký tên một cách cô đơn
Xem bản gốcTrả lời0
GhostAddressMiner
· 07-14 18:48
Một đợt dòng tiền của đồ ngốc lại sắp được tôi theo dõi.
Giải mã lừa đảo ký Web3: Phân tích nguyên lý và hướng dẫn phòng ngừa
Phân tích logic cơ bản của lừa đảo chữ ký Web3
Nhiều người dùng gặp phải một câu hỏi khi tương tác với ví: "Tôi chỉ ký một chữ ký, tại sao tài sản của tôi lại biến mất?" Hình thức lừa đảo "ký tên đánh cắp" đang trở thành một trong những thủ đoạn lừa đảo được tin tặc Web3 ưa chuộng nhất. Mặc dù các chuyên gia an ninh và các công ty ví liên tục nhắc nhở người dùng nâng cao cảnh giác, nhưng hàng ngày vẫn có rất nhiều người rơi vào bẫy.
Một trong những nguyên nhân chính gây ra tình huống này là hầu hết người dùng thiếu hiểu biết về cơ chế nền tảng của việc tương tác với ví, và việc học tập đối với những người không phải kỹ thuật viên có ngưỡng khó khăn cao. Do đó, chúng tôi quyết định giải thích nguyên lý của lừa đảo ký tên thông qua hình ảnh và cố gắng sử dụng ngôn ngữ dễ hiểu để người dùng thông thường cũng có thể hiểu.
Đầu tiên, chúng ta cần hiểu rằng khi sử dụng ví chỉ có hai thao tác: "ký" và "tương tác". Cách hiểu đơn giản nhất là: ký xảy ra ngoài chuỗi blockchain ( chuỗi dưới ), không cần phải trả phí Gas; trong khi tương tác xảy ra trên chuỗi blockchain ( chuỗi trên ), cần phải trả phí Gas.
Chữ ký thường được sử dụng để xác thực danh tính, chẳng hạn như đăng nhập vào ví. Khi bạn muốn trao đổi token trên một DEX, bạn cần kết nối ví trước, lúc này bạn cần chữ ký để chứng minh "Tôi là chủ sở hữu của ví này". Quá trình này sẽ không tạo ra bất kỳ dữ liệu hoặc trạng thái nào trên blockchain, do đó không cần phải tốn phí.
Và tương tác là khi bạn thực sự muốn hoán đổi token trên DEX, bạn cần trả một khoản phí để thông báo cho hợp đồng thông minh của DEX: "Tôi muốn hoán đổi 100USDT lấy một token, tôi ủy quyền cho bạn có thể di chuyển 100USDT của tôi". Bước này được gọi là ủy quyền (approve). Sau đó, bạn cũng phải trả một khoản phí nữa để thông báo cho hợp đồng thông minh: "Bây giờ tôi muốn hoán đổi 100USDT lấy một token, bạn có thể thực hiện thao tác được rồi". Như vậy, bạn đã hoàn thành giao dịch hoán đổi 100USDT lấy một token.
Sau khi hiểu rõ sự khác biệt giữa chữ ký và tương tác, chúng ta sẽ giới thiệu ba phương pháp lừa đảo phổ biến: lừa đảo ủy quyền, lừa đảo chữ ký Permit và lừa đảo chữ ký Permit2.
Lừa đảo ủy quyền là một trong những phương pháp lừa đảo cổ điển nhất trong Web3. Tin tặc sẽ tạo ra một trang web giả mạo dưới dạng dự án NFT, trong đó có một nút "Nhận airdrop" nổi bật. Khi người dùng nhấp vào, giao diện ví bật lên thực chất là yêu cầu người dùng ủy quyền để chuyển token đến địa chỉ của tin tặc. Nếu người dùng xác nhận thao tác này, tin tặc sẽ hoàn thành một vụ lừa đảo.
Tuy nhiên, việc ủy quyền đánh cắp có một nhược điểm: vì cần phải trả phí Gas, hiện nay nhiều người dùng sẽ cẩn thận hơn khi thực hiện các giao dịch liên quan đến tiền, chỉ cần chú ý một chút trên các trang web lạ là có thể phát hiện ra sự bất thường.
Tiếp theo là lừa đảo chữ ký Permit và Permit2, đây là khu vực đặc biệt nguy hiểm cho an toàn tài sản Web3 hiện nay. Điều này khó phòng ngừa vì mỗi lần sử dụng DApp đều cần phải ký tên để đăng nhập vào ví, nhiều người dùng đã hình thành tư duy "hành động này là an toàn". Hơn nữa, việc không cần phải trả phí và hầu hết mọi người không hiểu ý nghĩa của từng chữ ký đã khiến cho phương thức lừa đảo này trở nên đặc biệt nguy hiểm.
Permit là một chức năng mở rộng được cấp phép theo tiêu chuẩn ERC-20. Nói một cách đơn giản, bạn có thể phê duyệt người khác di chuyển token của bạn bằng cách ký tên. Khác với việc (Approve) yêu cầu bạn phải trả phí, Permit giống như việc bạn ký một "giấy phép", cho phép ai đó di chuyển token của bạn. Sau đó, người đó mang "giấy phép" này đến hợp đồng thông minh, trả phí Gas và nói với hợp đồng: "Anh ta cho phép tôi di chuyển token của anh ấy". Trong quá trình này, bạn chỉ ký tên, nhưng thực tế lại cho phép người khác gọi quyền hạn và chuyển token của bạn.
Permit2 không phải là một chức năng của ERC-20, mà là một chức năng do một số DEX phát triển để thuận tiện cho người dùng. Mục đích của nó là cho phép người dùng ủy quyền một số tiền lớn một lần, sau đó mỗi lần giao dịch chỉ cần ký là đủ, không cần ủy quyền lại. Như vậy, người dùng chỉ cần trả phí Gas một lần cho mỗi giao dịch, và khoản phí này sẽ được hợp đồng Permit2 thanh toán thay, cuối cùng sẽ được trừ từ token được đổi.
Tuy nhiên, điều kiện tiên quyết để lừa đảo Permit2 là người dùng đã từng sử dụng DEX này và đã cấp quyền hạn không giới hạn cho hợp đồng thông minh Permit2. Vì hiện tại DEX này mặc định thực hiện cấp quyền hạn không giới hạn, nên số lượng người dùng đáp ứng điều kiện này là khá nhiều.
Tóm lại, bản chất của lừa đảo ủy quyền là bạn trả phí để thông báo cho hợp đồng thông minh: "Tôi ủy quyền cho bạn chuyển token của tôi cho hacker". Bản chất của lừa đảo ký tên là bạn đã ký một "giấy phép" cho phép người khác di chuyển tài sản của bạn cho hacker, hacker sau đó trả phí để thông báo cho hợp đồng thông minh: "Tôi muốn chuyển token của anh ấy về cho tôi".
Vậy, làm thế nào để phòng ngừa những cuộc tấn công lừa đảo này?
Việc nuôi dưỡng nhận thức về an toàn là rất quan trọng. Mỗi lần thực hiện các thao tác với ví, bạn cần kiểm tra kỹ lưỡng xem bạn đang thực hiện thao tác gì.
Tách biệt quỹ lớn và ví sử dụng hàng ngày, như vậy ngay cả khi bị lừa đảo cũng có thể giảm thiểu tổn thất.
Học cách nhận diện định dạng chữ ký của Permit và Permit2. Nếu bạn thấy chữ ký chứa thông tin sau, hãy cảnh giác:
Bằng cách hiểu những logic cơ bản và biện pháp phòng ngừa này, người dùng có thể bảo vệ tài sản kỹ thuật số của mình tốt hơn, tránh trở thành nạn nhân của lừa đảo chữ ký.