Phân tích nguyên lý lừa đảo ký Web3: Sự khác biệt giữa ủy quyền, Permit và Permit2
Trong lĩnh vực Web3, "lừa đảo chữ ký" đã trở thành một trong những phương thức tấn công phổ biến nhất của hacker. Mặc dù các chuyên gia bảo mật và công ty ví liên tục giáo dục cộng đồng, vẫn có nhiều người dùng gặp phải tổn thất mỗi ngày. Nguyên nhân chủ yếu là do hầu hết người dùng thiếu hiểu biết về logic cơ bản của việc tương tác với ví, và đối với những người không có chuyên môn kỹ thuật, việc học những kiến thức này có mức độ khó khăn cao.
Để giúp nhiều người hiểu vấn đề này hơn, chúng tôi sẽ giải thích logic cơ bản của phishing chữ ký bằng cách hình ảnh hóa và sử dụng ngôn ngữ dễ hiểu.
Đầu tiên, chúng ta cần hiểu rằng khi sử dụng ví có hai loại thao tác chính: "ký" và "tương tác". Nói một cách đơn giản, ký là thao tác xảy ra bên ngoài blockchain, không cần phải trả phí Gas; trong khi tương tác là thao tác xảy ra trên blockchain, cần phải trả phí Gas.
Chữ ký thường được sử dụng để xác minh danh tính, chẳng hạn như đăng nhập vào một ứng dụng phi tập trung (DApp). Quá trình này sẽ không tạo ra bất kỳ thay đổi nào đối với dữ liệu blockchain, vì vậy không cần phải trả phí. Ngược lại, các tương tác liên quan đến các hoạt động trên chuỗi thực tế, chẳng hạn như trao đổi token, cần phải trả phí Gas.
Tiếp theo, chúng tôi sẽ giới thiệu ba phương pháp lừa đảo phổ biến: lừa đảo ủy quyền, lừa đảo chữ ký Permit và lừa đảo chữ ký Permit2.
Phishing ủy quyền là một phương pháp tấn công cổ điển, tận dụng cơ chế ủy quyền của hợp đồng thông minh. Kẻ tấn công có thể tạo ra một trang web lừa đảo giả danh dự án NFT, dụ dỗ người dùng nhấp vào nút "Nhận airdrop". Trên thực tế, thao tác này sẽ ủy quyền cho kẻ tấn công truy cập vào token của người dùng. Tuy nhiên, vì phương pháp này cần phải trả phí Gas, người dùng thường có phần cảnh giác hơn, tương đối dễ phòng ngừa.
Việc giả mạo chữ ký Permit và Permit2 hiện đang trở thành một vấn đề khó khăn hơn. Permit là một chức năng mở rộng của tiêu chuẩn ERC-20, cho phép người dùng phê duyệt người khác di chuyển token của họ thông qua chữ ký. Cách này không yêu cầu thanh toán phí Gas trực tiếp, vì vậy người dùng có thể vô tình ủy quyền cho hacker thao tác tài sản của mình.
Permit2 là một tính năng được một số DEX giới thiệu nhằm nâng cao trải nghiệm người dùng. Nó cho phép người dùng ủy quyền một lần với số tiền lớn, sau đó mỗi giao dịch chỉ cần ký là đủ, không cần ủy quyền lại. Tuy nhiên, điều này cũng tạo cơ hội cho hacker.
Để phòng ngừa những cuộc tấn công này, người dùng nên:
Nuôi dưỡng ý thức an toàn, kiểm tra cẩn thận trước mỗi thao tác.
Tách biệt số tiền lớn với ví sử dụng hàng ngày.
Học cách nhận diện định dạng chữ ký của Permit và Permit2, giữ cảnh giác với các chữ ký chứa thông tin như địa chỉ bên cấp phép, địa chỉ bên được cấp phép, số lượng được cấp phép, v.v.
Bằng cách hiểu các nguyên tắc này và thực hiện các biện pháp phòng ngừa tương ứng, người dùng có thể bảo vệ tốt hơn an toàn tài sản số của mình.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Phân tích toàn diện về lừa đảo ký tên Web3: Bẫy an toàn của ủy quyền, Permit và Permit2
Phân tích nguyên lý lừa đảo ký Web3: Sự khác biệt giữa ủy quyền, Permit và Permit2
Trong lĩnh vực Web3, "lừa đảo chữ ký" đã trở thành một trong những phương thức tấn công phổ biến nhất của hacker. Mặc dù các chuyên gia bảo mật và công ty ví liên tục giáo dục cộng đồng, vẫn có nhiều người dùng gặp phải tổn thất mỗi ngày. Nguyên nhân chủ yếu là do hầu hết người dùng thiếu hiểu biết về logic cơ bản của việc tương tác với ví, và đối với những người không có chuyên môn kỹ thuật, việc học những kiến thức này có mức độ khó khăn cao.
Để giúp nhiều người hiểu vấn đề này hơn, chúng tôi sẽ giải thích logic cơ bản của phishing chữ ký bằng cách hình ảnh hóa và sử dụng ngôn ngữ dễ hiểu.
Đầu tiên, chúng ta cần hiểu rằng khi sử dụng ví có hai loại thao tác chính: "ký" và "tương tác". Nói một cách đơn giản, ký là thao tác xảy ra bên ngoài blockchain, không cần phải trả phí Gas; trong khi tương tác là thao tác xảy ra trên blockchain, cần phải trả phí Gas.
Chữ ký thường được sử dụng để xác minh danh tính, chẳng hạn như đăng nhập vào một ứng dụng phi tập trung (DApp). Quá trình này sẽ không tạo ra bất kỳ thay đổi nào đối với dữ liệu blockchain, vì vậy không cần phải trả phí. Ngược lại, các tương tác liên quan đến các hoạt động trên chuỗi thực tế, chẳng hạn như trao đổi token, cần phải trả phí Gas.
Tiếp theo, chúng tôi sẽ giới thiệu ba phương pháp lừa đảo phổ biến: lừa đảo ủy quyền, lừa đảo chữ ký Permit và lừa đảo chữ ký Permit2.
Phishing ủy quyền là một phương pháp tấn công cổ điển, tận dụng cơ chế ủy quyền của hợp đồng thông minh. Kẻ tấn công có thể tạo ra một trang web lừa đảo giả danh dự án NFT, dụ dỗ người dùng nhấp vào nút "Nhận airdrop". Trên thực tế, thao tác này sẽ ủy quyền cho kẻ tấn công truy cập vào token của người dùng. Tuy nhiên, vì phương pháp này cần phải trả phí Gas, người dùng thường có phần cảnh giác hơn, tương đối dễ phòng ngừa.
Việc giả mạo chữ ký Permit và Permit2 hiện đang trở thành một vấn đề khó khăn hơn. Permit là một chức năng mở rộng của tiêu chuẩn ERC-20, cho phép người dùng phê duyệt người khác di chuyển token của họ thông qua chữ ký. Cách này không yêu cầu thanh toán phí Gas trực tiếp, vì vậy người dùng có thể vô tình ủy quyền cho hacker thao tác tài sản của mình.
Permit2 là một tính năng được một số DEX giới thiệu nhằm nâng cao trải nghiệm người dùng. Nó cho phép người dùng ủy quyền một lần với số tiền lớn, sau đó mỗi giao dịch chỉ cần ký là đủ, không cần ủy quyền lại. Tuy nhiên, điều này cũng tạo cơ hội cho hacker.
Để phòng ngừa những cuộc tấn công này, người dùng nên:
Bằng cách hiểu các nguyên tắc này và thực hiện các biện pháp phòng ngừa tương ứng, người dùng có thể bảo vệ tốt hơn an toàn tài sản số của mình.