Logic cơ bản của lừa đảo ký Web3: Ủy quyền, Giấy phép và Giấy phép2
Gần đây, "lừa đảo chữ ký" đã trở thành phương pháp lừa đảo được các hacker Web3 ưa chuộng nhất. Mặc dù các chuyên gia trong ngành và nhiều công ty ví tiền, an ninh không ngừng tuyên truyền giáo dục, nhưng mỗi ngày vẫn có nhiều người dùng bị lừa. Một trong những nguyên nhân chính gây ra tình trạng này là phần lớn người dùng thiếu hiểu biết về nguyên lý cơ bản của việc tương tác với ví, và đối với những người không có kiến thức kỹ thuật, mức độ khó khăn trong việc học kiến thức liên quan là khá cao.
Để giúp nhiều người hiểu vấn đề này, bài viết sẽ phân tích chi tiết logic cơ bản của lừa đảo bằng chữ ký theo cách trực quan, và cố gắng sử dụng ngôn ngữ đơn giản dễ hiểu, để độc giả không có nền tảng kỹ thuật cũng có thể dễ dàng nắm bắt.
Đầu tiên, chúng ta cần hiểu rằng khi sử dụng ví, có hai loại thao tác chính: "ký" và "tương tác". Nói một cách đơn giản, ký là thao tác xảy ra bên ngoài blockchain, không cần phải trả phí Gas; trong khi tương tác là thao tác diễn ra trên blockchain, cần phải trả phí Gas.
Một ví dụ điển hình về chữ ký là xác thực danh tính, chẳng hạn như đăng nhập vào ví. Khi bạn cần thực hiện trao đổi token trên một sàn giao dịch phi tập trung (DEX), trước tiên bạn phải kết nối ví của mình. Trong quá trình này, bạn cần ký để chứng minh "Tôi là chủ sở hữu của ví này". Bước này sẽ không ảnh hưởng đến dữ liệu hoặc trạng thái của blockchain, vì vậy không cần phải trả phí.
So với đó, tương tác là việc thực hiện các thao tác thực tế trên blockchain. Ví dụ, khi bạn trao đổi token trên DEX, bạn cần thanh toán một khoản phí trước, thông báo cho hợp đồng thông minh của DEX: "Tôi ủy quyền bạn di chuyển 100USDT của tôi". Bước này được gọi là ủy quyền (approve). Sau đó, bạn cũng cần thanh toán thêm một khoản phí, thông báo cho hợp đồng: "Bây giờ hãy thực hiện thao tác đổi 100USDT lấy 1 token". Như vậy, bạn đã hoàn thành việc trao đổi token.
Sau khi hiểu sự khác biệt giữa chữ ký và tương tác, chúng ta hãy xem xét một số phương thức lừa đảo phổ biến: lừa đảo ủy quyền, lừa đảo chữ ký Permit và lừa đảo chữ ký Permit2.
Phishing ủy quyền là một trong những phương pháp lừa đảo điển hình nhất trong giai đoạn đầu của Web3. Tin tặc sẽ tạo ra một trang web giả danh là dự án bình thường, dụ dỗ người dùng nhấp vào các nút như "nhận airdrop". Trên thực tế, giao diện ví bật lên sau khi người dùng nhấp vào đang yêu cầu người dùng ủy quyền cho địa chỉ của tin tặc thao tác với token của mình. Một khi người dùng xác nhận, tin tặc có thể kiểm soát tài sản của người dùng.
Tuy nhiên, việc ủy quyền đánh cắp thông tin có một nhược điểm: do cần phải trả phí Gas, nhiều người dùng sẽ cẩn thận hơn khi thực hiện các giao dịch liên quan đến tiền, dễ dàng phát hiện ra bất thường.
Và việc lừa đảo thông qua chữ ký Permit và Permit2 đã trở thành khu vực rủi ro lớn nhất đối với an toàn tài sản Web3 hiện nay. Nguyên nhân chính là do người dùng luôn cần phải ký tên để đăng nhập vào ví khi sử dụng các ứng dụng phi tập trung (DApp). Nhiều người đã hình thành tư duy "chữ ký là an toàn", cộng với việc ký tên không cần phải trả phí, và hầu hết mọi người không hiểu ý nghĩa đằng sau từng chữ ký, khiến cho loại hình lừa đảo này trở nên khó phòng ngừa hơn.
Cơ chế Permit là một sự mở rộng của chức năng ủy quyền trong tiêu chuẩn ERC-20. Nói một cách đơn giản, nó cho phép người dùng phê duyệt người khác thao tác các token của mình thông qua chữ ký. Khác với ủy quyền truyền thống (Approve), Permit là người dùng ký trên một "giấy ủy quyền", cho phép ai đó thao tác một số lượng token nhất định. Người nắm giữ "giấy ủy quyền" có thể gửi đến hợp đồng thông minh và thanh toán phí Gas, thông báo cho hợp đồng rằng "tôi đã được ủy quyền thao tác những token này". Trong quá trình này, người dùng chỉ ký tên, nhưng điều đó có thể dẫn đến việc tài sản bị chuyển nhượng. Tin tặc có thể thông qua các trang web giả mạo, thay thế nút đăng nhập ví bằng Permit phishing, từ đó dễ dàng lấy được tài sản của người dùng.
Permit2 là một tính năng do một số DEX phát triển nhằm nâng cao trải nghiệm người dùng. Mục đích của nó là đơn giản hóa vấn đề người dùng phải cấp phép và trả phí Gas đôi trong mỗi giao dịch. Người dùng có thể cấp phép hoàn toàn cho hợp đồng thông minh Permit2 một lần, sau đó mỗi giao dịch chỉ cần ký lại, phí Gas sẽ được hợp đồng Permit2 chi trả (cuối cùng sẽ trừ từ token được đổi). Tuy nhiên, nếu người dùng đã sử dụng DEX đó trước đây và đã cấp phép không giới hạn, họ có thể trở thành nạn nhân của lừa đảo Permit2. Tin tặc chỉ cần dụ dỗ người dùng ký tên, họ có thể chuyển token đã được cấp phép.
Nói chung, lừa đảo ủy quyền là khi người dùng trực tiếp cấp quyền cho hacker thao tác trên token của mình; trong khi lừa đảo chữ ký là khi người dùng vô tình ký vào "giấy ủy quyền" cho phép người khác thao tác tài sản, hacker sau đó sử dụng "giấy ủy quyền" này để chuyển tài sản. Permit là chức năng mở rộng ủy quyền của ERC-20, Permit2 là chức năng mới được ra mắt bởi một DEX.
Để phòng ngừa các cuộc tấn công lừa đảo này, chúng ta có thể thực hiện các biện pháp sau:
Nuôi dưỡng ý thức an toàn, mỗi lần thực hiện các thao tác ví đều phải kiểm tra kỹ lưỡng xem mình đang làm gì.
Tách biệt số tiền lớn và ví sử dụng hàng ngày để giảm thiểu tổn thất tiềm ẩn.
Học cách nhận diện định dạng chữ ký của Permit và Permit2. Nên đặc biệt chú ý khi thấy yêu cầu chữ ký có các trường sau:
Interactive:địa chỉ tương tác
Chủ sở hữu:Địa chỉ bên ủy quyền
Spender:Địa chỉ bên được ủy quyền
Giá trị:Số lượng được ủy quyền
Nonce:số ngẫu nhiên
Deadline:Thời hạn
Bằng cách hiểu những nguyên lý cơ bản này và thực hiện các biện pháp phòng ngừa thích hợp, chúng ta có thể bảo vệ tốt hơn sự an toàn của tài sản Web3 của mình.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
17 thích
Phần thưởng
17
9
Chia sẻ
Bình luận
0/400
OnchainHolmes
· 07-14 16:56
Ai ơi, vẫn còn nhiều đồ ngốc bị lừa đấy.
Xem bản gốcTrả lời0
BtcDailyResearcher
· 07-14 12:54
Câu cá chết cả nhà
Xem bản gốcTrả lời0
WhaleStalker
· 07-14 07:08
Sau đó còn có Hacker gây rối nữa đó.
Xem bản gốcTrả lời0
MemeTokenGenius
· 07-12 21:59
Ví tiền người mới必备贴
Xem bản gốcTrả lời0
MEVEye
· 07-12 21:57
Học nhiều hơn để ít bị chơi đùa với mọi người!
Xem bản gốcTrả lời0
LiquidationWatcher
· 07-12 21:52
Đều không thể phòng ngừa được, tấn công chủ yếu là một cái phòng không kịp.
Xem bản gốcTrả lời0
MindsetExpander
· 07-12 21:40
Chiêu trò này đã cũ rồi.
Xem bản gốcTrả lời0
0xDreamChaser
· 07-12 21:35
Những bẫy của những kẻ lừa đảo này thật quá sâu sắc.
Xem bản gốcTrả lời0
InscriptionGriller
· 07-12 21:33
Giáo giáo vẫn không hiểu bẫy tiền, đã thua lỗ hết rồi.
Khám phá bí mật lừa đảo chữ ký Web3: Phân tích logic cơ bản của ủy quyền, Permit và Permit2
Logic cơ bản của lừa đảo ký Web3: Ủy quyền, Giấy phép và Giấy phép2
Gần đây, "lừa đảo chữ ký" đã trở thành phương pháp lừa đảo được các hacker Web3 ưa chuộng nhất. Mặc dù các chuyên gia trong ngành và nhiều công ty ví tiền, an ninh không ngừng tuyên truyền giáo dục, nhưng mỗi ngày vẫn có nhiều người dùng bị lừa. Một trong những nguyên nhân chính gây ra tình trạng này là phần lớn người dùng thiếu hiểu biết về nguyên lý cơ bản của việc tương tác với ví, và đối với những người không có kiến thức kỹ thuật, mức độ khó khăn trong việc học kiến thức liên quan là khá cao.
Để giúp nhiều người hiểu vấn đề này, bài viết sẽ phân tích chi tiết logic cơ bản của lừa đảo bằng chữ ký theo cách trực quan, và cố gắng sử dụng ngôn ngữ đơn giản dễ hiểu, để độc giả không có nền tảng kỹ thuật cũng có thể dễ dàng nắm bắt.
Đầu tiên, chúng ta cần hiểu rằng khi sử dụng ví, có hai loại thao tác chính: "ký" và "tương tác". Nói một cách đơn giản, ký là thao tác xảy ra bên ngoài blockchain, không cần phải trả phí Gas; trong khi tương tác là thao tác diễn ra trên blockchain, cần phải trả phí Gas.
Một ví dụ điển hình về chữ ký là xác thực danh tính, chẳng hạn như đăng nhập vào ví. Khi bạn cần thực hiện trao đổi token trên một sàn giao dịch phi tập trung (DEX), trước tiên bạn phải kết nối ví của mình. Trong quá trình này, bạn cần ký để chứng minh "Tôi là chủ sở hữu của ví này". Bước này sẽ không ảnh hưởng đến dữ liệu hoặc trạng thái của blockchain, vì vậy không cần phải trả phí.
So với đó, tương tác là việc thực hiện các thao tác thực tế trên blockchain. Ví dụ, khi bạn trao đổi token trên DEX, bạn cần thanh toán một khoản phí trước, thông báo cho hợp đồng thông minh của DEX: "Tôi ủy quyền bạn di chuyển 100USDT của tôi". Bước này được gọi là ủy quyền (approve). Sau đó, bạn cũng cần thanh toán thêm một khoản phí, thông báo cho hợp đồng: "Bây giờ hãy thực hiện thao tác đổi 100USDT lấy 1 token". Như vậy, bạn đã hoàn thành việc trao đổi token.
Sau khi hiểu sự khác biệt giữa chữ ký và tương tác, chúng ta hãy xem xét một số phương thức lừa đảo phổ biến: lừa đảo ủy quyền, lừa đảo chữ ký Permit và lừa đảo chữ ký Permit2.
Phishing ủy quyền là một trong những phương pháp lừa đảo điển hình nhất trong giai đoạn đầu của Web3. Tin tặc sẽ tạo ra một trang web giả danh là dự án bình thường, dụ dỗ người dùng nhấp vào các nút như "nhận airdrop". Trên thực tế, giao diện ví bật lên sau khi người dùng nhấp vào đang yêu cầu người dùng ủy quyền cho địa chỉ của tin tặc thao tác với token của mình. Một khi người dùng xác nhận, tin tặc có thể kiểm soát tài sản của người dùng.
Tuy nhiên, việc ủy quyền đánh cắp thông tin có một nhược điểm: do cần phải trả phí Gas, nhiều người dùng sẽ cẩn thận hơn khi thực hiện các giao dịch liên quan đến tiền, dễ dàng phát hiện ra bất thường.
Và việc lừa đảo thông qua chữ ký Permit và Permit2 đã trở thành khu vực rủi ro lớn nhất đối với an toàn tài sản Web3 hiện nay. Nguyên nhân chính là do người dùng luôn cần phải ký tên để đăng nhập vào ví khi sử dụng các ứng dụng phi tập trung (DApp). Nhiều người đã hình thành tư duy "chữ ký là an toàn", cộng với việc ký tên không cần phải trả phí, và hầu hết mọi người không hiểu ý nghĩa đằng sau từng chữ ký, khiến cho loại hình lừa đảo này trở nên khó phòng ngừa hơn.
Cơ chế Permit là một sự mở rộng của chức năng ủy quyền trong tiêu chuẩn ERC-20. Nói một cách đơn giản, nó cho phép người dùng phê duyệt người khác thao tác các token của mình thông qua chữ ký. Khác với ủy quyền truyền thống (Approve), Permit là người dùng ký trên một "giấy ủy quyền", cho phép ai đó thao tác một số lượng token nhất định. Người nắm giữ "giấy ủy quyền" có thể gửi đến hợp đồng thông minh và thanh toán phí Gas, thông báo cho hợp đồng rằng "tôi đã được ủy quyền thao tác những token này". Trong quá trình này, người dùng chỉ ký tên, nhưng điều đó có thể dẫn đến việc tài sản bị chuyển nhượng. Tin tặc có thể thông qua các trang web giả mạo, thay thế nút đăng nhập ví bằng Permit phishing, từ đó dễ dàng lấy được tài sản của người dùng.
Permit2 là một tính năng do một số DEX phát triển nhằm nâng cao trải nghiệm người dùng. Mục đích của nó là đơn giản hóa vấn đề người dùng phải cấp phép và trả phí Gas đôi trong mỗi giao dịch. Người dùng có thể cấp phép hoàn toàn cho hợp đồng thông minh Permit2 một lần, sau đó mỗi giao dịch chỉ cần ký lại, phí Gas sẽ được hợp đồng Permit2 chi trả (cuối cùng sẽ trừ từ token được đổi). Tuy nhiên, nếu người dùng đã sử dụng DEX đó trước đây và đã cấp phép không giới hạn, họ có thể trở thành nạn nhân của lừa đảo Permit2. Tin tặc chỉ cần dụ dỗ người dùng ký tên, họ có thể chuyển token đã được cấp phép.
Nói chung, lừa đảo ủy quyền là khi người dùng trực tiếp cấp quyền cho hacker thao tác trên token của mình; trong khi lừa đảo chữ ký là khi người dùng vô tình ký vào "giấy ủy quyền" cho phép người khác thao tác tài sản, hacker sau đó sử dụng "giấy ủy quyền" này để chuyển tài sản. Permit là chức năng mở rộng ủy quyền của ERC-20, Permit2 là chức năng mới được ra mắt bởi một DEX.
Để phòng ngừa các cuộc tấn công lừa đảo này, chúng ta có thể thực hiện các biện pháp sau:
Nuôi dưỡng ý thức an toàn, mỗi lần thực hiện các thao tác ví đều phải kiểm tra kỹ lưỡng xem mình đang làm gì.
Tách biệt số tiền lớn và ví sử dụng hàng ngày để giảm thiểu tổn thất tiềm ẩn.
Học cách nhận diện định dạng chữ ký của Permit và Permit2. Nên đặc biệt chú ý khi thấy yêu cầu chữ ký có các trường sau:
Bằng cách hiểu những nguyên lý cơ bản này và thực hiện các biện pháp phòng ngừa thích hợp, chúng ta có thể bảo vệ tốt hơn sự an toàn của tài sản Web3 của mình.