Tin tặc là một sự hiện diện đáng sợ trong hệ sinh thái Web3. Đối với các dự án, tính năng mã nguồn mở khiến họ luôn lo lắng, sợ rằng sẽ có lỗ hổng dẫn đến sự cố an ninh. Đối với cá nhân, việc không hiểu ý nghĩa của các thao tác có thể dẫn đến rủi ro bị đánh cắp tài sản mỗi khi tương tác hoặc ký trên chuỗi. Vấn đề an ninh luôn là một trong những điểm đau của thế giới tiền điện tử, và đặc điểm của blockchain khiến cho việc lấy lại tài sản bị đánh cắp gần như là không thể, vì vậy việc có kiến thức về an ninh là vô cùng quan trọng.
Gần đây, một phương pháp lừa đảo mới đã bắt đầu xuất hiện, chỉ cần ký tên là có thể dẫn đến việc tài sản bị đánh cắp, phương pháp này tinh vi khó phòng ngừa. Những địa chỉ đã từng tương tác với một số DEX đều có thể đối mặt với rủi ro. Bài viết này sẽ phân tích phương pháp lừa đảo ký tên này để tránh tổn thất tài sản nhiều hơn.
Diễn biến sự kiện
Một người bạn ( nhỏ A ) tìm kiếm sự giúp đỡ sau khi tài sản trong ví của cậu ấy bị đánh cắp. Khác với những cách bị đánh cắp thông thường, nhỏ A không tiết lộ khóa riêng và cũng không tương tác với hợp đồng trang web lừa đảo.
Cuộc điều tra cho thấy, USDT của nhỏ A đã được chuyển qua hàm Transfer From. Điều này có nghĩa là một địa chỉ khác đã thực hiện việc chuyển Token, chứ không phải do rò rỉ khóa riêng của ví.
Chi tiết giao dịch hiển thị:
Địa chỉ kết thúc fd51 sẽ chuyển tài sản của nhỏ A đến địa chỉ kết thúc a0c8
Tương tác với hợp đồng Permit2 của một DEX nào đó
Câu hỏi then chốt là: Làm thế nào để địa chỉ fd51 có được quyền sở hữu tài sản? Tại sao lại liên quan đến một DEX nào đó?
Điều tra thêm cho thấy, địa chỉ fd51 đã thực hiện thao tác Permit trước khi chuyển tài sản, cả hai thao tác đều tương tác với hợp đồng Permit2 của một DEX nào đó.
Permit2 là hợp đồng mới được một DEX ra mắt vào cuối năm 2022, cho phép chia sẻ và quản lý quyền truy cập token giữa các ứng dụng, nhằm cung cấp trải nghiệm người dùng đồng nhất, chi phí thấp và an toàn hơn.
Permit2 đóng vai trò là trung gian giữa người dùng và DApp, người dùng chỉ cần ủy quyền cho hợp đồng Permit2, tất cả các DApp tích hợp Permit2 có thể chia sẻ hạn mức ủy quyền. Điều này giảm chi phí tương tác, nâng cao trải nghiệm người dùng, nhưng cũng có thể trở thành con dao hai lưỡi.
Permit2 biến các thao tác của người dùng thành chữ ký ngoại tuyến, và các thao tác trên chuỗi được thực hiện bởi một bên trung gian. Điều này cho phép người dùng không có ETH cũng có thể sử dụng các Token khác để thanh toán Gas hoặc hoàn toàn miễn Gas.
Tuy nhiên, chữ ký ngoại tuyến là khâu mà người dùng dễ dàng bỏ qua nhất. Nhiều người sẽ không kiểm tra hoặc hiểu nội dung chữ ký một cách cẩn thận, đây chính là điểm nguy hiểm nhất.
Để kích hoạt chiêu trò lừa bịp này, điều kiện tiên quyết là ví cần ủy quyền Token cho hợp đồng Permit2. Hiện tại, chỉ cần thực hiện Swap trên DApp tích hợp Permit2 hoặc một số DEX, đều cần có sự ủy quyền này.
Điều đáng sợ hơn là, bất kể số tiền Swap là bao nhiêu, hợp đồng Permit2 của một DEX nào đó mặc định yêu cầu cấp phép toàn bộ số dư. Mặc dù ví sẽ nhắc nhở nhập số tiền tùy chỉnh, nhưng hầu hết mọi người có thể chọn giá trị tối đa hoặc giá trị mặc định, trong khi giá trị mặc định của Permit2 là hạn mức không giới hạn.
Điều này có nghĩa là, người dùng tương tác với một DEX và ủy quyền hợp đồng Permit2 sau năm 2023 có thể phải đối mặt với rủi ro.
Tin tặc lợi dụng hàm Permit, thông qua chữ ký của nạn nhân để chuyển quyền hạn Token được cấp cho hợp đồng Permit2. Chỉ cần có chữ ký, tin tặc có thể chuyển tài sản của nạn nhân.
làm thế nào để phòng tránh?
Hiểu và nhận diện nội dung chữ ký:
Học cách nhận diện định dạng chữ ký Permit, bao gồm các thông tin chính như Owner, Spender, value, nonce và deadline. Sử dụng plugin an toàn sẽ giúp nhận diện.
Tách biệt ví tài sản và ví tương tác:
Nên lưu trữ một lượng lớn tài sản trong ví lạnh, chỉ giữ một số ít tiền trong ví tương tác, điều này có thể giảm thiểu đáng kể tổn thất tiềm năng.
Hạn chế Ủy quyền hoặc hủy ủy quyền hợp đồng Permit2:
Khi thực hiện Swap, chỉ ủy quyền số tiền cần thiết. Mặc dù tăng chi phí tương tác, nhưng có thể tránh được rủi ro lừa đảo chữ ký Permit2. Người dùng đã ủy quyền có thể hủy ủy quyền bằng cách sử dụng plugin an toàn.
Xác định xem mã thông báo có hỗ trợ chức năng permit hay không:
Chú ý xem các đồng token đang nắm giữ có hỗ trợ chức năng này hay không, nếu có hỗ trợ thì cần thực hiện giao dịch một cách cẩn thận, kiểm tra kỹ lưỡng các chữ ký không rõ nguồn gốc.
Xây dựng kế hoạch cứu trợ tài sản hoàn thiện:
Nếu phát hiện bị lừa nhưng các nền tảng khác vẫn có token, cần thận trọng trong việc rút và chuyển. Kẻ tấn công có thể theo dõi số dư địa chỉ theo thời gian thực, nên khuyên dùng chuyển MEV hoặc tìm kiếm sự trợ giúp từ công ty an ninh chuyên nghiệp.
Trong tương lai, khả năng lừa đảo dựa trên Permit2 có thể gia tăng, phương pháp lừa đảo bằng chữ ký này rất tinh vi và khó phòng ngừa. Khi phạm vi ứng dụng của Permit2 mở rộng, số lượng địa chỉ có nguy cơ bị lộ sẽ tăng lên. Hy vọng độc giả sẽ lan truyền bài viết này, nhằm tránh cho nhiều người hơn phải chịu tổn thất.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
9 thích
Phần thưởng
9
4
Chia sẻ
Bình luận
0/400
GmGmNoGn
· 11giờ trước
Chữ ký chính là hố
Xem bản gốcTrả lời0
NFTArchaeologis
· 11giờ trước
Di sản và bài học từ kỷ nguyên hoang dã số, lỗ hổng Plato System năm 1970 đã dạy cho chúng ta giá trị của sự an toàn.
Xem bản gốcTrả lời0
FlippedSignal
· 11giờ trước
Bây giờ ai có thể chịu đựng được chứ.
Xem bản gốcTrả lời0
AirdropHunterWang
· 11giờ trước
Ký tên cần cẩn thận, vừa muốn kiếm tiền vừa sợ bị lừa.
Ký tên Permit2 lừa đảo mới. Giao dịch cần thận trọng.
Hé lộ trò lừa bịp ký tên Permit2 của Uniswap
Tin tặc là một sự hiện diện đáng sợ trong hệ sinh thái Web3. Đối với các dự án, tính năng mã nguồn mở khiến họ luôn lo lắng, sợ rằng sẽ có lỗ hổng dẫn đến sự cố an ninh. Đối với cá nhân, việc không hiểu ý nghĩa của các thao tác có thể dẫn đến rủi ro bị đánh cắp tài sản mỗi khi tương tác hoặc ký trên chuỗi. Vấn đề an ninh luôn là một trong những điểm đau của thế giới tiền điện tử, và đặc điểm của blockchain khiến cho việc lấy lại tài sản bị đánh cắp gần như là không thể, vì vậy việc có kiến thức về an ninh là vô cùng quan trọng.
Gần đây, một phương pháp lừa đảo mới đã bắt đầu xuất hiện, chỉ cần ký tên là có thể dẫn đến việc tài sản bị đánh cắp, phương pháp này tinh vi khó phòng ngừa. Những địa chỉ đã từng tương tác với một số DEX đều có thể đối mặt với rủi ro. Bài viết này sẽ phân tích phương pháp lừa đảo ký tên này để tránh tổn thất tài sản nhiều hơn.
Diễn biến sự kiện
Một người bạn ( nhỏ A ) tìm kiếm sự giúp đỡ sau khi tài sản trong ví của cậu ấy bị đánh cắp. Khác với những cách bị đánh cắp thông thường, nhỏ A không tiết lộ khóa riêng và cũng không tương tác với hợp đồng trang web lừa đảo.
Cuộc điều tra cho thấy, USDT của nhỏ A đã được chuyển qua hàm Transfer From. Điều này có nghĩa là một địa chỉ khác đã thực hiện việc chuyển Token, chứ không phải do rò rỉ khóa riêng của ví.
Chi tiết giao dịch hiển thị:
Câu hỏi then chốt là: Làm thế nào để địa chỉ fd51 có được quyền sở hữu tài sản? Tại sao lại liên quan đến một DEX nào đó?
Điều tra thêm cho thấy, địa chỉ fd51 đã thực hiện thao tác Permit trước khi chuyển tài sản, cả hai thao tác đều tương tác với hợp đồng Permit2 của một DEX nào đó.
Permit2 là hợp đồng mới được một DEX ra mắt vào cuối năm 2022, cho phép chia sẻ và quản lý quyền truy cập token giữa các ứng dụng, nhằm cung cấp trải nghiệm người dùng đồng nhất, chi phí thấp và an toàn hơn.
Permit2 đóng vai trò là trung gian giữa người dùng và DApp, người dùng chỉ cần ủy quyền cho hợp đồng Permit2, tất cả các DApp tích hợp Permit2 có thể chia sẻ hạn mức ủy quyền. Điều này giảm chi phí tương tác, nâng cao trải nghiệm người dùng, nhưng cũng có thể trở thành con dao hai lưỡi.
Permit2 biến các thao tác của người dùng thành chữ ký ngoại tuyến, và các thao tác trên chuỗi được thực hiện bởi một bên trung gian. Điều này cho phép người dùng không có ETH cũng có thể sử dụng các Token khác để thanh toán Gas hoặc hoàn toàn miễn Gas.
Tuy nhiên, chữ ký ngoại tuyến là khâu mà người dùng dễ dàng bỏ qua nhất. Nhiều người sẽ không kiểm tra hoặc hiểu nội dung chữ ký một cách cẩn thận, đây chính là điểm nguy hiểm nhất.
Để kích hoạt chiêu trò lừa bịp này, điều kiện tiên quyết là ví cần ủy quyền Token cho hợp đồng Permit2. Hiện tại, chỉ cần thực hiện Swap trên DApp tích hợp Permit2 hoặc một số DEX, đều cần có sự ủy quyền này.
Điều đáng sợ hơn là, bất kể số tiền Swap là bao nhiêu, hợp đồng Permit2 của một DEX nào đó mặc định yêu cầu cấp phép toàn bộ số dư. Mặc dù ví sẽ nhắc nhở nhập số tiền tùy chỉnh, nhưng hầu hết mọi người có thể chọn giá trị tối đa hoặc giá trị mặc định, trong khi giá trị mặc định của Permit2 là hạn mức không giới hạn.
Điều này có nghĩa là, người dùng tương tác với một DEX và ủy quyền hợp đồng Permit2 sau năm 2023 có thể phải đối mặt với rủi ro.
Tin tặc lợi dụng hàm Permit, thông qua chữ ký của nạn nhân để chuyển quyền hạn Token được cấp cho hợp đồng Permit2. Chỉ cần có chữ ký, tin tặc có thể chuyển tài sản của nạn nhân.
làm thế nào để phòng tránh?
Tách biệt ví tài sản và ví tương tác: Nên lưu trữ một lượng lớn tài sản trong ví lạnh, chỉ giữ một số ít tiền trong ví tương tác, điều này có thể giảm thiểu đáng kể tổn thất tiềm năng.
Hạn chế Ủy quyền hoặc hủy ủy quyền hợp đồng Permit2: Khi thực hiện Swap, chỉ ủy quyền số tiền cần thiết. Mặc dù tăng chi phí tương tác, nhưng có thể tránh được rủi ro lừa đảo chữ ký Permit2. Người dùng đã ủy quyền có thể hủy ủy quyền bằng cách sử dụng plugin an toàn.
Xác định xem mã thông báo có hỗ trợ chức năng permit hay không: Chú ý xem các đồng token đang nắm giữ có hỗ trợ chức năng này hay không, nếu có hỗ trợ thì cần thực hiện giao dịch một cách cẩn thận, kiểm tra kỹ lưỡng các chữ ký không rõ nguồn gốc.
Xây dựng kế hoạch cứu trợ tài sản hoàn thiện: Nếu phát hiện bị lừa nhưng các nền tảng khác vẫn có token, cần thận trọng trong việc rút và chuyển. Kẻ tấn công có thể theo dõi số dư địa chỉ theo thời gian thực, nên khuyên dùng chuyển MEV hoặc tìm kiếm sự trợ giúp từ công ty an ninh chuyên nghiệp.
Trong tương lai, khả năng lừa đảo dựa trên Permit2 có thể gia tăng, phương pháp lừa đảo bằng chữ ký này rất tinh vi và khó phòng ngừa. Khi phạm vi ứng dụng của Permit2 mở rộng, số lượng địa chỉ có nguy cơ bị lộ sẽ tăng lên. Hy vọng độc giả sẽ lan truyền bài viết này, nhằm tránh cho nhiều người hơn phải chịu tổn thất.