Gần đây, "lừa đảo bằng chữ ký" đã trở thành phương thức lừa đảo được các hacker Web3 ưa chuộng nhất. Mặc dù các chuyên gia an ninh và các ví tiền lớn liên tục tuyên truyền kiến thức liên quan, nhưng mỗi ngày vẫn có nhiều người dùng rơi vào bẫy. Một trong những nguyên nhân chính gây ra tình trạng này là phần lớn mọi người thiếu hiểu biết về logic cơ bản của việc tương tác với ví, và đối với những người không có chuyên môn kỹ thuật, ngưỡng học tập khá cao.
Để giúp nhiều người hiểu vấn đề này hơn, bài viết này sẽ giải thích nguyên lý cơ bản của phishing chữ ký bằng hình ảnh một cách dễ hiểu, nhằm mục tiêu để người dùng không có nền tảng kỹ thuật cũng có thể dễ dàng hiểu.
Đầu tiên, chúng ta cần hiểu rằng khi sử dụng ví, có hai loại thao tác chính: ký và tương tác. Nói một cách đơn giản, ký xảy ra ngoài chuỗi (off-chain), không cần phải trả phí Gas; trong khi tương tác xảy ra trên chuỗi (on-chain), cần phải trả phí Gas.
Một kịch bản điển hình của việc ký là xác thực danh tính, chẳng hạn như đăng nhập vào ví. Khi bạn muốn sử dụng một ứng dụng phi tập trung (DApp), bạn cần kết nối ví và ký để chứng minh rằng bạn là chủ sở hữu của ví đó. Quá trình này sẽ không tạo ra bất kỳ dữ liệu hoặc thay đổi trạng thái nào trên blockchain, vì vậy bạn không cần phải trả phí.
So với trước, tương tác liên quan đến các thao tác trên chuỗi thực tế. Ví dụ, khi bạn thực hiện giao dịch trao đổi token trên một DEX nào đó, bạn cần phải cấp quyền cho hợp đồng thông minh để di chuyển token của bạn (được gọi là "cấp quyền" hoặc "approve"), sau đó mới thực hiện thao tác trao đổi thực tế. Cả hai bước này đều cần phải trả phí Gas.
Sau khi hiểu sự khác biệt giữa chữ ký và tương tác, chúng ta sẽ khám phá ba phương pháp lừa đảo phổ biến: lừa đảo ủy quyền, lừa đảo chữ ký Permit và lừa đảo chữ ký Permit2.
Phishing ủy quyền là một phương pháp cổ điển, tận dụng cơ chế ủy quyền. Tin tặc có thể tạo ra một trang web lừa đảo giả mạo dự án NFT, dụ dỗ người dùng nhấp vào nút "nhận airdrop". Thực tế, thao tác này sẽ yêu cầu người dùng ủy quyền cho địa chỉ của tin tặc để thao tác các token của mình.
Chữ ký Permit và Permit2 trong lừa đảo thì kín đáo hơn. Permit là tính năng mở rộng của tiêu chuẩn ERC-20, cho phép người dùng ủy quyền cho người khác di chuyển token của mình thông qua chữ ký. Permit2 là tính năng được một DEX giới thiệu, nhằm đơn giản hóa quy trình cho người dùng và giảm chi phí Gas. Mặc dù hai cơ chế này rất tiện lợi, nhưng cũng đã bị tin tặc lợi dụng để thực hiện các cuộc tấn công lừa đảo.
Để phòng ngừa lừa đảo chữ ký, người dùng nên:
Nuôi dưỡng ý thức an toàn, mỗi lần thực hiện các thao tác với ví đều phải kiểm tra cẩn thận.
Tách biệt số tiền lớn với ví sử dụng hàng ngày, giảm thiểu tổn thất tiềm ẩn.
Học cách nhận diện định dạng chữ ký của Permit và Permit2, bao gồm địa chỉ trang web tương tác, địa chỉ bên cấp quyền, địa chỉ bên được cấp quyền, số lượng quyền hạn, số ngẫu nhiên và thời gian hết hạn cùng các thông tin quan trọng khác.
Bằng cách hiểu những nguyên lý cơ bản này và thực hiện các biện pháp phòng ngừa thích hợp, người dùng có thể bảo vệ tài sản kỹ thuật số của mình tốt hơn, tránh trở thành nạn nhân của lừa đảo chữ ký.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
6 thích
Phần thưởng
6
5
Chia sẻ
Bình luận
0/400
SchrödingersNode
· 07-12 10:53
Ký một mình à?
Xem bản gốcTrả lời0
OptionWhisperer
· 07-09 17:28
Người béo năm nay lại bị câu thêm sáu lần rồi. Đi một lúc là rơi ví tiền.
Xem bản gốcTrả lời0
DefiPlaybook
· 07-09 12:32
Theo dữ liệu trên chuỗi trong ba tháng gần đây, loại tấn công lừa đảo ký tên này chiếm tỷ trọng 42.7% trong thiệt hại của Web3.
Phân tích nguyên lý lừa đảo chữ ký Ví Web3: Hiểu logic cơ bản để bảo vệ tài sản kỹ thuật số
Phân tích logic cơ bản của lừa đảo ký tên Web3
Gần đây, "lừa đảo bằng chữ ký" đã trở thành phương thức lừa đảo được các hacker Web3 ưa chuộng nhất. Mặc dù các chuyên gia an ninh và các ví tiền lớn liên tục tuyên truyền kiến thức liên quan, nhưng mỗi ngày vẫn có nhiều người dùng rơi vào bẫy. Một trong những nguyên nhân chính gây ra tình trạng này là phần lớn mọi người thiếu hiểu biết về logic cơ bản của việc tương tác với ví, và đối với những người không có chuyên môn kỹ thuật, ngưỡng học tập khá cao.
Để giúp nhiều người hiểu vấn đề này hơn, bài viết này sẽ giải thích nguyên lý cơ bản của phishing chữ ký bằng hình ảnh một cách dễ hiểu, nhằm mục tiêu để người dùng không có nền tảng kỹ thuật cũng có thể dễ dàng hiểu.
Đầu tiên, chúng ta cần hiểu rằng khi sử dụng ví, có hai loại thao tác chính: ký và tương tác. Nói một cách đơn giản, ký xảy ra ngoài chuỗi (off-chain), không cần phải trả phí Gas; trong khi tương tác xảy ra trên chuỗi (on-chain), cần phải trả phí Gas.
Một kịch bản điển hình của việc ký là xác thực danh tính, chẳng hạn như đăng nhập vào ví. Khi bạn muốn sử dụng một ứng dụng phi tập trung (DApp), bạn cần kết nối ví và ký để chứng minh rằng bạn là chủ sở hữu của ví đó. Quá trình này sẽ không tạo ra bất kỳ dữ liệu hoặc thay đổi trạng thái nào trên blockchain, vì vậy bạn không cần phải trả phí.
So với trước, tương tác liên quan đến các thao tác trên chuỗi thực tế. Ví dụ, khi bạn thực hiện giao dịch trao đổi token trên một DEX nào đó, bạn cần phải cấp quyền cho hợp đồng thông minh để di chuyển token của bạn (được gọi là "cấp quyền" hoặc "approve"), sau đó mới thực hiện thao tác trao đổi thực tế. Cả hai bước này đều cần phải trả phí Gas.
Sau khi hiểu sự khác biệt giữa chữ ký và tương tác, chúng ta sẽ khám phá ba phương pháp lừa đảo phổ biến: lừa đảo ủy quyền, lừa đảo chữ ký Permit và lừa đảo chữ ký Permit2.
Phishing ủy quyền là một phương pháp cổ điển, tận dụng cơ chế ủy quyền. Tin tặc có thể tạo ra một trang web lừa đảo giả mạo dự án NFT, dụ dỗ người dùng nhấp vào nút "nhận airdrop". Thực tế, thao tác này sẽ yêu cầu người dùng ủy quyền cho địa chỉ của tin tặc để thao tác các token của mình.
Chữ ký Permit và Permit2 trong lừa đảo thì kín đáo hơn. Permit là tính năng mở rộng của tiêu chuẩn ERC-20, cho phép người dùng ủy quyền cho người khác di chuyển token của mình thông qua chữ ký. Permit2 là tính năng được một DEX giới thiệu, nhằm đơn giản hóa quy trình cho người dùng và giảm chi phí Gas. Mặc dù hai cơ chế này rất tiện lợi, nhưng cũng đã bị tin tặc lợi dụng để thực hiện các cuộc tấn công lừa đảo.
Để phòng ngừa lừa đảo chữ ký, người dùng nên:
Bằng cách hiểu những nguyên lý cơ bản này và thực hiện các biện pháp phòng ngừa thích hợp, người dùng có thể bảo vệ tài sản kỹ thuật số của mình tốt hơn, tránh trở thành nạn nhân của lừa đảo chữ ký.