Phân tích các phương pháp tấn công lừa đảo Web3: Logic cơ bản của lừa đảo chữ ký và các biện pháp phòng ngừa
Gần đây, "lừa đảo ký tên" đã trở thành một trong những phương thức tấn công được yêu thích nhất của hacker Web3. Mặc dù các chuyên gia trong ngành và nhiều công ty ví tiền, an ninh luôn tuyên truyền kiến thức liên quan, nhưng vẫn có nhiều người dùng rơi vào cạm bẫy. Một trong những lý do chính gây ra tình trạng này là hầu hết mọi người thiếu hiểu biết về logic nền tảng của việc tương tác với ví, và đối với những người không chuyên, ngưỡng học tập khá cao.
Để giúp nhiều người hiểu rõ vấn đề này, chúng tôi sẽ giải thích logic cơ bản của phishing chữ ký theo cách đơn giản và dễ hiểu.
Đầu tiên, chúng ta cần hiểu rằng khi sử dụng ví có hai thao tác cơ bản: "ký" và "tương tác". Nói một cách đơn giản, ký diễn ra ngoài chuỗi (off-chain), không cần phải trả phí Gas; trong khi tương tác diễn ra trên chuỗi (on-chain), cần phải trả phí Gas.
Chữ ký thường được sử dụng để xác thực danh tính, chẳng hạn như đăng nhập vào ví. Ví dụ, khi bạn muốn trao đổi token trên một DEX nào đó, bạn cần kết nối ví trước, và lúc này bạn cần chữ ký để chứng minh bạn là chủ sở hữu của ví đó. Quá trình này sẽ không gây ra bất kỳ thay đổi nào về dữ liệu hoặc trạng thái của blockchain, vì vậy không cần phải trả phí.
So với đó, tương tác liên quan đến các thao tác trên chuỗi thực tế. Ví dụ, khi bạn thực hiện hoán đổi token trên một DEX, trước tiên bạn cần trả một khoản phí để ủy quyền cho hợp đồng thông minh thực hiện thao tác trên token của bạn (tức là thao tác approve), sau đó bạn phải trả một khoản phí khác để thực hiện thao tác hoán đổi thực tế.
Sau khi hiểu sự khác biệt giữa chữ ký và tương tác, chúng ta hãy xem xét một số cách lừa đảo phổ biến: lừa đảo ủy quyền, lừa đảo chữ ký Permit và lừa đảo chữ ký Permit2.
Lừa đảo ủy quyền là một phương pháp lừa đảo Web3 kinh điển, sử dụng cơ chế ủy quyền (approve). Hacker có thể tạo một trang web lừa đảo giả mạo dự án NFT, dụ dỗ người dùng nhấp vào nút "nhận airdrop". Thực tế, hành động này sẽ yêu cầu người dùng ủy quyền token của họ cho địa chỉ của hacker. Tuy nhiên, do hành động này cần phải trả phí Gas, nhiều người dùng sẽ cảnh giác hơn khi gặp những hành động phải tốn tiền, do đó tương đối dễ phòng tránh.
Việc lừa đảo chữ ký Permit và Permit2 hiện đang là điểm nóng về an ninh tài sản Web3. Hai phương thức này khó phòng ngừa vì người dùng thường cần phải ký tên để đăng nhập vào ví trước khi sử dụng DApp, điều này có thể đã tạo ra một tư duy "an toàn". Thêm vào đó, việc ký tên không cần phải trả phí, và hầu hết người dùng không hiểu ý nghĩa đằng sau từng chữ ký, khiến cho các cuộc tấn công lừa đảo kiểu này càng trở nên nguy hiểm.
Permit là một chức năng mở rộng được ủy quyền theo tiêu chuẩn ERC-20. Nói một cách đơn giản, nó cho phép người dùng phê duyệt người khác thao tác token của mình thông qua cách ký tên. Hacker có thể lừa đảo người dùng ký Permit thông qua các trang web lừa đảo, từ đó có được quyền truy cập vào tài sản của người dùng.
Permit2 là một chức năng được một số DEX giới thiệu nhằm nâng cao trải nghiệm người dùng. Nó cho phép người dùng cấp quyền lớn một lần cho hợp đồng thông minh Permit2, sau đó mỗi giao dịch chỉ cần ký là đủ, không cần cấp quyền lại. Tuy nhiên, điều này cũng tạo cơ hội cho hacker.
Để phòng ngừa những cuộc tấn công lừa đảo này, chúng tôi khuyên bạn:
Nuôi dưỡng ý thức an toàn, mỗi lần thực hiện thao tác ví đều phải kiểm tra kỹ nội dung cụ thể của thao tác.
Tách biệt số tiền lớn với ví sử dụng hàng ngày để giảm thiểu tổn thất tiềm ẩn.
Học cách nhận diện định dạng chữ ký của Permit và Permit2. Khi bạn thấy yêu cầu chữ ký chứa thông tin sau, hãy luôn cảnh giác:
Interactive:trang web tương tác
Chủ sở hữu:Địa chỉ bên ủy quyền
Spender:Địa chỉ bên được ủy quyền
Giá trị:Số lượng được ủy quyền
Nonce:số ngẫu nhiên
Deadline:Thời gian hết hạn
Bằng cách hiểu nguyên lý và biện pháp phòng ngừa của những cuộc tấn công lừa đảo này, chúng ta có thể bảo vệ tài sản kỹ thuật số của mình tốt hơn, khám phá và tương tác an toàn trong thế giới Web3.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
19 thích
Phần thưởng
19
5
Chia sẻ
Bình luận
0/400
ApeEscapeArtist
· 08-04 00:11
Lại có đồ ngốc bị câu rồi chứ gì.
Xem bản gốcTrả lời0
GateUser-40edb63b
· 08-04 00:11
Lại làm giả chữ ký để lừa đảo phải không?
Xem bản gốcTrả lời0
pvt_key_collector
· 08-03 23:58
Thật là một trò đùa, lại bị lừa thêm một lần nữa.
Xem bản gốcTrả lời0
MissedAirdropBro
· 08-03 23:50
Không phải bị đánh cắp thì cũng là địa chỉ bị đánh dấu, mệt mỏi quá.
Phân tích tấn công lừa đảo chữ ký Web3: Hướng dẫn toàn diện về logic cơ bản và biện pháp phòng ngừa
Phân tích các phương pháp tấn công lừa đảo Web3: Logic cơ bản của lừa đảo chữ ký và các biện pháp phòng ngừa
Gần đây, "lừa đảo ký tên" đã trở thành một trong những phương thức tấn công được yêu thích nhất của hacker Web3. Mặc dù các chuyên gia trong ngành và nhiều công ty ví tiền, an ninh luôn tuyên truyền kiến thức liên quan, nhưng vẫn có nhiều người dùng rơi vào cạm bẫy. Một trong những lý do chính gây ra tình trạng này là hầu hết mọi người thiếu hiểu biết về logic nền tảng của việc tương tác với ví, và đối với những người không chuyên, ngưỡng học tập khá cao.
Để giúp nhiều người hiểu rõ vấn đề này, chúng tôi sẽ giải thích logic cơ bản của phishing chữ ký theo cách đơn giản và dễ hiểu.
Đầu tiên, chúng ta cần hiểu rằng khi sử dụng ví có hai thao tác cơ bản: "ký" và "tương tác". Nói một cách đơn giản, ký diễn ra ngoài chuỗi (off-chain), không cần phải trả phí Gas; trong khi tương tác diễn ra trên chuỗi (on-chain), cần phải trả phí Gas.
Chữ ký thường được sử dụng để xác thực danh tính, chẳng hạn như đăng nhập vào ví. Ví dụ, khi bạn muốn trao đổi token trên một DEX nào đó, bạn cần kết nối ví trước, và lúc này bạn cần chữ ký để chứng minh bạn là chủ sở hữu của ví đó. Quá trình này sẽ không gây ra bất kỳ thay đổi nào về dữ liệu hoặc trạng thái của blockchain, vì vậy không cần phải trả phí.
So với đó, tương tác liên quan đến các thao tác trên chuỗi thực tế. Ví dụ, khi bạn thực hiện hoán đổi token trên một DEX, trước tiên bạn cần trả một khoản phí để ủy quyền cho hợp đồng thông minh thực hiện thao tác trên token của bạn (tức là thao tác approve), sau đó bạn phải trả một khoản phí khác để thực hiện thao tác hoán đổi thực tế.
Sau khi hiểu sự khác biệt giữa chữ ký và tương tác, chúng ta hãy xem xét một số cách lừa đảo phổ biến: lừa đảo ủy quyền, lừa đảo chữ ký Permit và lừa đảo chữ ký Permit2.
Lừa đảo ủy quyền là một phương pháp lừa đảo Web3 kinh điển, sử dụng cơ chế ủy quyền (approve). Hacker có thể tạo một trang web lừa đảo giả mạo dự án NFT, dụ dỗ người dùng nhấp vào nút "nhận airdrop". Thực tế, hành động này sẽ yêu cầu người dùng ủy quyền token của họ cho địa chỉ của hacker. Tuy nhiên, do hành động này cần phải trả phí Gas, nhiều người dùng sẽ cảnh giác hơn khi gặp những hành động phải tốn tiền, do đó tương đối dễ phòng tránh.
Việc lừa đảo chữ ký Permit và Permit2 hiện đang là điểm nóng về an ninh tài sản Web3. Hai phương thức này khó phòng ngừa vì người dùng thường cần phải ký tên để đăng nhập vào ví trước khi sử dụng DApp, điều này có thể đã tạo ra một tư duy "an toàn". Thêm vào đó, việc ký tên không cần phải trả phí, và hầu hết người dùng không hiểu ý nghĩa đằng sau từng chữ ký, khiến cho các cuộc tấn công lừa đảo kiểu này càng trở nên nguy hiểm.
Permit là một chức năng mở rộng được ủy quyền theo tiêu chuẩn ERC-20. Nói một cách đơn giản, nó cho phép người dùng phê duyệt người khác thao tác token của mình thông qua cách ký tên. Hacker có thể lừa đảo người dùng ký Permit thông qua các trang web lừa đảo, từ đó có được quyền truy cập vào tài sản của người dùng.
Permit2 là một chức năng được một số DEX giới thiệu nhằm nâng cao trải nghiệm người dùng. Nó cho phép người dùng cấp quyền lớn một lần cho hợp đồng thông minh Permit2, sau đó mỗi giao dịch chỉ cần ký là đủ, không cần cấp quyền lại. Tuy nhiên, điều này cũng tạo cơ hội cho hacker.
Để phòng ngừa những cuộc tấn công lừa đảo này, chúng tôi khuyên bạn:
Nuôi dưỡng ý thức an toàn, mỗi lần thực hiện thao tác ví đều phải kiểm tra kỹ nội dung cụ thể của thao tác.
Tách biệt số tiền lớn với ví sử dụng hàng ngày để giảm thiểu tổn thất tiềm ẩn.
Học cách nhận diện định dạng chữ ký của Permit và Permit2. Khi bạn thấy yêu cầu chữ ký chứa thông tin sau, hãy luôn cảnh giác:
Bằng cách hiểu nguyên lý và biện pháp phòng ngừa của những cuộc tấn công lừa đảo này, chúng ta có thể bảo vệ tài sản kỹ thuật số của mình tốt hơn, khám phá và tương tác an toàn trong thế giới Web3.