Tin tặc luôn là một trong những điều đáng sợ nhất trong hệ sinh thái Web3. Đối với các dự án, đặc tính mã nguồn mở khiến họ cảm thấy như đang đi trên băng mỏng khi phát triển, sợ rằng sẽ để lại lỗ hổng bảo mật. Đối với người dùng cá nhân, mỗi lần tương tác hoặc ký trên chuỗi có thể dẫn đến việc tài sản bị đánh cắp, nếu không hiểu rõ ý nghĩa của thao tác thì càng nguy hiểm hơn. Do đó, vấn đề an ninh luôn là một trong những vấn đề hóc búa nhất trong thế giới tiền điện tử. Vì tính không thể đảo ngược của blockchain, tài sản bị đánh cắp gần như không thể được khôi phục, điều này càng làm nổi bật tầm quan trọng của kiến thức về an ninh.
Gần đây, một phương pháp lừa đảo mới đã xuất hiện, chỉ cần ký tên là có thể dẫn đến việc tài sản bị đánh cắp. Phương pháp này rất tinh vi và khó phòng ngừa, và những địa chỉ đã từng tương tác với Uniswap đều có thể đối mặt với rủi ro. Bài viết này sẽ trình bày chi tiết về phương pháp lừa đảo ký tên này, nhằm giảm thiểu thiệt hại tài sản của nhiều người dùng hơn.
Diễn biến sự kiện
Gần đây, một người bạn ( tạm gọi là nhỏ A ) đã bị đánh cắp tài sản ví. Khác với những cách bị đánh cắp thông thường, nhỏ A không tiết lộ khóa riêng, cũng không tương tác với hợp đồng đáng ngờ. Qua trình duyệt blockchain có thể thấy, USDT trong ví nhỏ A đã được chuyển đi thông qua hàm Transfer From. Điều này có nghĩa là địa chỉ bên thứ ba đã thao tác để chuyển Token đi, chứ không phải do rò rỉ khóa riêng của ví.
Chi tiết giao dịch hiển thị:
Địa chỉ có đuôi fd51 đã chuyển tài sản của nhỏ A đến địa chỉ có đuôi a0c8
Hành động này tương tác với hợp đồng Permit2 của một nền tảng giao dịch nào đó.
Vấn đề quan trọng là: Địa chỉ kết thúc bằng fd51 đã nhận được quyền truy cập tài sản này như thế nào? Tại sao lại liên quan đến một sàn giao dịch nào đó?
Một cuộc điều tra sâu hơn cho thấy, trước khi chuyển tài sản của A nhỏ, địa chỉ có số đuôi fd51 đã thực hiện một thao tác Permit, và hai thao tác này đều liên quan đến hợp đồng Permit2 của một nền tảng giao dịch.
Hợp đồng Permit2 là hợp đồng thông minh mới được một nền tảng giao dịch ra mắt vào cuối năm 2022. Nó cho phép ủy quyền mã thông báo để chia sẻ và quản lý giữa các ứng dụng khác nhau, nhằm tạo ra trải nghiệm người dùng đồng nhất, tiết kiệm chi phí và an toàn hơn. Khi ngày càng nhiều dự án tích hợp Permit2, nó có thể đạt được tiêu chuẩn hóa phê duyệt Token trong tất cả các ứng dụng, cải thiện trải nghiệm người dùng bằng cách giảm chi phí giao dịch, đồng thời nâng cao tính an toàn của hợp đồng thông minh.
Sự xuất hiện của Permit2 có thể thay đổi quy tắc trò chơi trong hệ sinh thái Dapp. Dưới cách truyền thống, người dùng mỗi khi tương tác với một Dapp đều cần phải cấp quyền riêng biệt. Tuy nhiên, Permit2 có thể loại bỏ bước này, giảm thiểu chi phí tương tác cho người dùng và mang lại trải nghiệm tốt hơn. Permit2 giữ vai trò như một trung gian giữa người dùng và Dapp, người dùng chỉ cần cấp quyền Token cho hợp đồng Permit2, tất cả các Dapp tích hợp hợp đồng này sẽ có thể chia sẻ hạn mức quyền này.
Tuy nhiên, Permit2 cũng là một con dao hai lưỡi. Nó biến các thao tác của người dùng thành chữ ký ngoài chuỗi, tất cả các thao tác trên chuỗi đều do một vai trò trung gian thực hiện. Điều này cho phép người dùng ngay cả khi không có ETH trong ví vẫn có thể sử dụng các Token khác để thanh toán phí Gas hoặc được vai trò trung gian hoàn phí. Nhưng chữ ký ngoài chuỗi cũng là khâu mà người dùng dễ bỏ qua nhất, hầu hết mọi người sẽ không kiểm tra kỹ nội dung chữ ký, đây chính là điểm nguy hiểm nhất.
phương pháp câu cá tái hiện
Để kích hoạt việc lừa đảo chữ ký Permit2 này, điều kiện tiên quyết là ví bị lừa phải đã cấp quyền cho hợp đồng Permit2 của một nền tảng giao dịch nào đó. Hiện tại, chỉ cần thực hiện Swap trên Dapp tích hợp với Permit2 hoặc một nền tảng giao dịch nào đó, đều cần phải cấp quyền cho hợp đồng Permit2.
Điều đáng sợ hơn là, bất kể số tiền Swap là bao nhiêu, hợp đồng Permit2 của một nền tảng giao dịch nào đó sẽ mặc định cho phép người dùng ủy quyền toàn bộ số dư của Token đó. Mặc dù ví sẽ hiển thị thông báo nhập số tiền tùy chỉnh, nhưng hầu hết mọi người sẽ chọn giá trị tối đa hoặc giá trị mặc định, và giá trị mặc định của Permit2 là hạn mức vô hạn.
Điều này có nghĩa là, chỉ cần bạn đã tương tác với một nền tảng giao dịch nào đó sau năm 2023 và ủy quyền cho hợp đồng Permit2, bạn có thể phải đối mặt với rủi ro lừa đảo này.
Cốt lõi nằm ở hàm Permit, nó cho phép chuyển giao hạn mức Token được ủy quyền cho hợp đồng Permit2 đến địa chỉ khác. Kẻ tấn công chỉ cần có chữ ký của người dùng, có thể lấy quyền truy cập vào Token trong ví của người dùng và chuyển tài sản.
biện pháp phòng ngừa
Hiểu và nhận diện nội dung chữ ký: Học cách nhận diện định dạng chữ ký Permit, bao gồm Owner, Spender, value, nonce và deadline cùng các thông tin quan trọng khác. Sử dụng plugin an toàn sẽ giúp nhận diện.
Tách biệt lưu trữ tài sản và ví tương tác: Để số lượng lớn tài sản trong ví lạnh, ví tương tác chỉ giữ một lượng nhỏ tiền, có thể giảm thiểu đáng kể tổn thất khi gặp phải lừa đảo.
Giới hạn hạn mức ủy quyền hoặc hủy ủy quyền: Khi thực hiện Swap trên một nền tảng giao dịch, chỉ ủy quyền số tiền tương tác cần thiết. Mặc dù việc phải ủy quyền lại mỗi lần sẽ làm tăng chi phí, nhưng có thể tránh được rủi ro lừa đảo chữ ký Permit2. Người dùng đã ủy quyền có thể hủy ủy quyền thông qua tiện ích bảo mật.
Nhận diện xem token có hỗ trợ chức năng permit hay không: Chú ý đến việc liệu token mà bạn nắm giữ có hỗ trợ chức năng này hay không, đối với các token hỗ trợ, cần phải cẩn thận hơn khi giao dịch, kiểm tra kỹ từng chữ ký không quen thuộc.
Xây dựng kế hoạch cứu trợ tài sản hoàn chỉnh: Nếu sau khi bị lừa vẫn còn token trên các nền tảng khác, cần thận trọng khi rút và chuyển khoản. Hacker có thể theo dõi số dư địa chỉ của bạn bất cứ lúc nào, ngay khi có token sẽ chuyển đi. Hãy xem xét việc sử dụng chuyển giao MEV hoặc tìm kiếm sự hỗ trợ từ các đội ngũ an ninh chuyên nghiệp.
Khi phạm vi ứng dụng của Permit2 mở rộng, việc lừa đảo dựa trên nó có thể ngày càng nhiều hơn. Phương thức lừa đảo ký tên này cực kỳ tinh vi và khó phòng ngừa, và ngày càng nhiều địa chỉ sẽ bị phơi bày trước rủi ro. Hy vọng độc giả có thể truyền bá những thông tin này đến nhiều người hơn, nhằm tránh việc nhiều người phải chịu tổn thất.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
20 thích
Phần thưởng
20
4
Chia sẻ
Bình luận
0/400
AlgoAlchemist
· 07-31 07:26
Ví tiền lại nổ rồi sao... thảm
Xem bản gốcTrả lời0
CryptoGoldmine
· 07-28 16:06
Dữ liệu vượt trội hơn tranh luận, đầu tư một năm lợi nhuận 155%
Uniswap Permit2 chữ ký lừa đảo mới trò lừa bịp bảo mật tài sản bốn biện pháp phòng ngừa
Hé lộ trò lừa bịp ký tên Uniswap Permit2
Tin tặc luôn là một trong những điều đáng sợ nhất trong hệ sinh thái Web3. Đối với các dự án, đặc tính mã nguồn mở khiến họ cảm thấy như đang đi trên băng mỏng khi phát triển, sợ rằng sẽ để lại lỗ hổng bảo mật. Đối với người dùng cá nhân, mỗi lần tương tác hoặc ký trên chuỗi có thể dẫn đến việc tài sản bị đánh cắp, nếu không hiểu rõ ý nghĩa của thao tác thì càng nguy hiểm hơn. Do đó, vấn đề an ninh luôn là một trong những vấn đề hóc búa nhất trong thế giới tiền điện tử. Vì tính không thể đảo ngược của blockchain, tài sản bị đánh cắp gần như không thể được khôi phục, điều này càng làm nổi bật tầm quan trọng của kiến thức về an ninh.
Gần đây, một phương pháp lừa đảo mới đã xuất hiện, chỉ cần ký tên là có thể dẫn đến việc tài sản bị đánh cắp. Phương pháp này rất tinh vi và khó phòng ngừa, và những địa chỉ đã từng tương tác với Uniswap đều có thể đối mặt với rủi ro. Bài viết này sẽ trình bày chi tiết về phương pháp lừa đảo ký tên này, nhằm giảm thiểu thiệt hại tài sản của nhiều người dùng hơn.
Diễn biến sự kiện
Gần đây, một người bạn ( tạm gọi là nhỏ A ) đã bị đánh cắp tài sản ví. Khác với những cách bị đánh cắp thông thường, nhỏ A không tiết lộ khóa riêng, cũng không tương tác với hợp đồng đáng ngờ. Qua trình duyệt blockchain có thể thấy, USDT trong ví nhỏ A đã được chuyển đi thông qua hàm Transfer From. Điều này có nghĩa là địa chỉ bên thứ ba đã thao tác để chuyển Token đi, chứ không phải do rò rỉ khóa riêng của ví.
Chi tiết giao dịch hiển thị:
Vấn đề quan trọng là: Địa chỉ kết thúc bằng fd51 đã nhận được quyền truy cập tài sản này như thế nào? Tại sao lại liên quan đến một sàn giao dịch nào đó?
Một cuộc điều tra sâu hơn cho thấy, trước khi chuyển tài sản của A nhỏ, địa chỉ có số đuôi fd51 đã thực hiện một thao tác Permit, và hai thao tác này đều liên quan đến hợp đồng Permit2 của một nền tảng giao dịch.
Hợp đồng Permit2 là hợp đồng thông minh mới được một nền tảng giao dịch ra mắt vào cuối năm 2022. Nó cho phép ủy quyền mã thông báo để chia sẻ và quản lý giữa các ứng dụng khác nhau, nhằm tạo ra trải nghiệm người dùng đồng nhất, tiết kiệm chi phí và an toàn hơn. Khi ngày càng nhiều dự án tích hợp Permit2, nó có thể đạt được tiêu chuẩn hóa phê duyệt Token trong tất cả các ứng dụng, cải thiện trải nghiệm người dùng bằng cách giảm chi phí giao dịch, đồng thời nâng cao tính an toàn của hợp đồng thông minh.
Sự xuất hiện của Permit2 có thể thay đổi quy tắc trò chơi trong hệ sinh thái Dapp. Dưới cách truyền thống, người dùng mỗi khi tương tác với một Dapp đều cần phải cấp quyền riêng biệt. Tuy nhiên, Permit2 có thể loại bỏ bước này, giảm thiểu chi phí tương tác cho người dùng và mang lại trải nghiệm tốt hơn. Permit2 giữ vai trò như một trung gian giữa người dùng và Dapp, người dùng chỉ cần cấp quyền Token cho hợp đồng Permit2, tất cả các Dapp tích hợp hợp đồng này sẽ có thể chia sẻ hạn mức quyền này.
Tuy nhiên, Permit2 cũng là một con dao hai lưỡi. Nó biến các thao tác của người dùng thành chữ ký ngoài chuỗi, tất cả các thao tác trên chuỗi đều do một vai trò trung gian thực hiện. Điều này cho phép người dùng ngay cả khi không có ETH trong ví vẫn có thể sử dụng các Token khác để thanh toán phí Gas hoặc được vai trò trung gian hoàn phí. Nhưng chữ ký ngoài chuỗi cũng là khâu mà người dùng dễ bỏ qua nhất, hầu hết mọi người sẽ không kiểm tra kỹ nội dung chữ ký, đây chính là điểm nguy hiểm nhất.
phương pháp câu cá tái hiện
Để kích hoạt việc lừa đảo chữ ký Permit2 này, điều kiện tiên quyết là ví bị lừa phải đã cấp quyền cho hợp đồng Permit2 của một nền tảng giao dịch nào đó. Hiện tại, chỉ cần thực hiện Swap trên Dapp tích hợp với Permit2 hoặc một nền tảng giao dịch nào đó, đều cần phải cấp quyền cho hợp đồng Permit2.
Điều đáng sợ hơn là, bất kể số tiền Swap là bao nhiêu, hợp đồng Permit2 của một nền tảng giao dịch nào đó sẽ mặc định cho phép người dùng ủy quyền toàn bộ số dư của Token đó. Mặc dù ví sẽ hiển thị thông báo nhập số tiền tùy chỉnh, nhưng hầu hết mọi người sẽ chọn giá trị tối đa hoặc giá trị mặc định, và giá trị mặc định của Permit2 là hạn mức vô hạn.
Điều này có nghĩa là, chỉ cần bạn đã tương tác với một nền tảng giao dịch nào đó sau năm 2023 và ủy quyền cho hợp đồng Permit2, bạn có thể phải đối mặt với rủi ro lừa đảo này.
Cốt lõi nằm ở hàm Permit, nó cho phép chuyển giao hạn mức Token được ủy quyền cho hợp đồng Permit2 đến địa chỉ khác. Kẻ tấn công chỉ cần có chữ ký của người dùng, có thể lấy quyền truy cập vào Token trong ví của người dùng và chuyển tài sản.
biện pháp phòng ngừa
Tách biệt lưu trữ tài sản và ví tương tác: Để số lượng lớn tài sản trong ví lạnh, ví tương tác chỉ giữ một lượng nhỏ tiền, có thể giảm thiểu đáng kể tổn thất khi gặp phải lừa đảo.
Giới hạn hạn mức ủy quyền hoặc hủy ủy quyền: Khi thực hiện Swap trên một nền tảng giao dịch, chỉ ủy quyền số tiền tương tác cần thiết. Mặc dù việc phải ủy quyền lại mỗi lần sẽ làm tăng chi phí, nhưng có thể tránh được rủi ro lừa đảo chữ ký Permit2. Người dùng đã ủy quyền có thể hủy ủy quyền thông qua tiện ích bảo mật.
Nhận diện xem token có hỗ trợ chức năng permit hay không: Chú ý đến việc liệu token mà bạn nắm giữ có hỗ trợ chức năng này hay không, đối với các token hỗ trợ, cần phải cẩn thận hơn khi giao dịch, kiểm tra kỹ từng chữ ký không quen thuộc.
Xây dựng kế hoạch cứu trợ tài sản hoàn chỉnh: Nếu sau khi bị lừa vẫn còn token trên các nền tảng khác, cần thận trọng khi rút và chuyển khoản. Hacker có thể theo dõi số dư địa chỉ của bạn bất cứ lúc nào, ngay khi có token sẽ chuyển đi. Hãy xem xét việc sử dụng chuyển giao MEV hoặc tìm kiếm sự hỗ trợ từ các đội ngũ an ninh chuyên nghiệp.
Khi phạm vi ứng dụng của Permit2 mở rộng, việc lừa đảo dựa trên nó có thể ngày càng nhiều hơn. Phương thức lừa đảo ký tên này cực kỳ tinh vi và khó phòng ngừa, và ngày càng nhiều địa chỉ sẽ bị phơi bày trước rủi ro. Hy vọng độc giả có thể truyền bá những thông tin này đến nhiều người hơn, nhằm tránh việc nhiều người phải chịu tổn thất.