Blockchain và Tài sản tiền điện tử an toàn: Phòng ngừa các kỹ thuật lừa đảo mới
Tài sản tiền điện tử và công nghệ Blockchain đang định hình lại khái niệm tự do tài chính, nhưng đồng thời cũng mang đến những thách thức về an ninh mới. Những kẻ lừa đảo không còn chỉ dừng lại ở việc khai thác lỗ hổng công nghệ, mà khéo léo biến chính các giao thức hợp đồng thông minh của Blockchain thành công cụ tấn công. Họ sử dụng những cái bẫy kỹ thuật xã hội được thiết kế tinh vi, kết hợp với tính minh bạch và đặc điểm không thể đảo ngược của Blockchain, biến lòng tin của người dùng thành công cụ đánh cắp tài sản. Từ việc làm giả hợp đồng thông minh đến việc thao túng giao dịch liên chuỗi, những cuộc tấn công này không chỉ kín đáo khó phát hiện mà còn trở nên lừa đảo hơn nhờ vẻ ngoài "hợp pháp" của chúng.
Một, giao thức làm thế nào trở thành công cụ lừa đảo?
Giao thức Blockchain lẽ ra phải đảm bảo an toàn và niềm tin, nhưng những kẻ lừa đảo đã lợi dụng đặc điểm của nó, kết hợp với sự bất cẩn của người dùng, tạo ra nhiều phương thức tấn công ẩn giấu khác nhau. Dưới đây là một số thủ thuật phổ biến và chi tiết kỹ thuật của chúng:
(1) ủy quyền hợp đồng thông minh độc hại
Nguyên lý kỹ thuật:
Trên các Blockchain như Ethereum, tiêu chuẩn token ERC-20 cho phép người dùng ủy quyền cho bên thứ ba (thường là hợp đồng thông minh) rút một số lượng token nhất định từ ví của họ thông qua hàm "Approve". Chức năng này được áp dụng rộng rãi trong các giao thức tài chính phi tập trung (DeFi), nơi người dùng cần ủy quyền cho hợp đồng thông minh để thực hiện giao dịch, staking hoặc khai thác thanh khoản. Tuy nhiên, những kẻ lừa đảo đã lợi dụng cơ chế này để thiết kế các hợp đồng độc hại.
Cách hoạt động:
Kẻ lừa đảo tạo ra một ứng dụng phi tập trung (DApp) giả mạo như một dự án hợp pháp, thường thông qua các trang web lừa đảo hoặc quảng cáo trên mạng xã hội. Người dùng kết nối ví và bị dụ nhấp vào "Approve", bề ngoài là cấp quyền cho một lượng token nhỏ, nhưng thực tế có thể là một hạn mức không giới hạn. Khi việc cấp quyền hoàn tất, địa chỉ hợp đồng của kẻ lừa đảo có được quyền, có thể gọi hàm "TransferFrom" bất cứ lúc nào, rút tất cả các token tương ứng từ ví của người dùng.
(2) ký tên lừa đảo
Nguyên lý kỹ thuật:
Giao dịch Blockchain yêu cầu người dùng tạo chữ ký thông qua khóa riêng để chứng minh tính hợp pháp của giao dịch. Ví thường sẽ hiển thị yêu cầu ký, sau khi người dùng xác nhận, giao dịch sẽ được phát sóng đến mạng. Kẻ lừa đảo lợi dụng quy trình này để làm giả yêu cầu ký và đánh cắp tài sản.
Cách thức hoạt động:
Người dùng nhận được một email hoặc tin nhắn giả mạo thành thông báo chính thức, chẳng hạn như "Airdrop NFT của bạn đang chờ nhận, vui lòng xác minh ví". Sau khi nhấp vào liên kết, người dùng được dẫn đến một trang web độc hại, yêu cầu kết nối ví và ký một giao dịch "xác minh". Giao dịch này thực tế có thể là gọi hàm "Transfer", trực tiếp chuyển ETH hoặc token trong ví đến địa chỉ của kẻ lừa đảo; hoặc là một thao tác "SetApprovalForAll", ủy quyền cho kẻ lừa đảo kiểm soát bộ sưu tập NFT của người dùng.
(3) Token giả và "tấn công bụi"
Nguyên lý kỹ thuật:
Tính công khai của Blockchain cho phép bất kỳ ai gửi token đến bất kỳ địa chỉ nào, ngay cả khi người nhận không yêu cầu một cách chủ động. Kẻ lừa đảo tận dụng điều này bằng cách gửi một lượng nhỏ Tài sản tiền điện tử đến nhiều địa chỉ ví để theo dõi hoạt động của ví và liên kết nó với cá nhân hoặc công ty sở hữu ví.
Cách thức hoạt động:
Trong hầu hết các trường hợp, "bụi" được sử dụng trong cuộc tấn công bụi được phát cho ví của người dùng dưới dạng airdrop, các token này có thể mang tên hoặc siêu dữ liệu hấp dẫn, dụ dỗ người dùng truy cập vào một trang web để xem chi tiết. Người dùng có thể cố gắng đổi những token này ra tiền, trong khi kẻ tấn công có thể truy cập ví của người dùng thông qua địa chỉ hợp đồng đi kèm với token. Càng kín đáo hơn, cuộc tấn công bụi sẽ sử dụng kỹ thuật xã hội, phân tích các giao dịch tiếp theo của người dùng, khóa địa chỉ ví hoạt động của người dùng, từ đó thực hiện các lừa đảo chính xác hơn.
Hai, những trò lừa đảo này tại sao khó phát hiện?
Những vụ lừa đảo này thành công một phần lớn là vì chúng ẩn mình trong các cơ chế hợp pháp của Blockchain, khiến người dùng thông thường khó phân biệt được bản chất độc hại của chúng. Dưới đây là một số lý do chính:
Độ phức tạp của công nghệ: Mã hợp đồng thông minh và yêu cầu ký kết có thể khó hiểu đối với người dùng không có kỹ thuật. Ví dụ, một yêu cầu "Approve" có thể hiển thị dưới dạng dữ liệu thập lục phân phức tạp, khiến người dùng không thể trực quan đánh giá ý nghĩa của nó.
Tính hợp pháp trên chuỗi: Tất cả các giao dịch đều được ghi lại trên Blockchain, có vẻ như minh bạch, nhưng nạn nhân thường chỉ nhận ra hậu quả của việc ủy quyền hoặc chữ ký sau đó, và lúc này tài sản đã không thể thu hồi.
Kỹ thuật xã hội: Kẻ lừa đảo lợi dụng điểm yếu của con người, chẳng hạn như tham lam, sợ hãi hoặc lòng tin, để thiết kế những cái bẫy lừa đảo hấp dẫn.
Ngụy trang tinh vi: Các trang web lừa đảo có thể sử dụng URL tương tự như tên miền chính thức, thậm chí thông qua chứng chỉ HTTPS để tăng độ tin cậy.
Ba, làm thế nào để bảo vệ ví tài sản tiền điện tử của bạn?
Đối mặt với những trò lừa đảo kết hợp giữa kỹ thuật và tâm lý này, việc bảo vệ tài sản cần một chiến lược đa tầng. Dưới đây là các biện pháp phòng ngừa chi tiết:
Kiểm tra và quản lý quyền hạn được ủy quyền
Thường xuyên sử dụng công cụ chuyên nghiệp để kiểm tra hồ sơ ủy quyền của ví.
Hủy bỏ các quyền hạn không cần thiết, đặc biệt là quyền hạn không giới hạn đối với địa chỉ không rõ.
Trước mỗi lần cấp quyền, hãy đảm bảo DApp đến từ nguồn đáng tin cậy.
Kiểm tra giá trị "Allowance", nếu là "vô hạn", cần ngay lập tức hủy bỏ.
Xác minh liên kết và nguồn
Nhập URL chính thức bằng tay, tránh nhấp vào liên kết trong mạng xã hội hoặc email.
Đảm bảo trang web sử dụng tên miền và chứng chỉ SSL đúng.
Cảnh giác với tên miền có lỗi chính tả hoặc ký tự thừa.
Sử dụng ví lạnh và chữ ký đa chiều
Lưu trữ hầu hết tài sản trong ví phần cứng, chỉ kết nối với mạng khi cần thiết.
Đối với tài sản lớn, sử dụng công cụ ký đa chữ ký, yêu cầu xác nhận giao dịch bằng nhiều khóa.
Hãy xử lý yêu cầu chữ ký một cách cẩn thận
Mỗi lần ký tên, hãy đọc kỹ chi tiết giao dịch trong cửa sổ bật lên của ví.
Sử dụng chức năng của trình duyệt Blockchain để phân tích nội dung chữ ký, hoặc tham khảo chuyên gia kỹ thuật.
Tạo ví độc lập cho các giao dịch rủi ro cao, lưu trữ một lượng nhỏ tài sản.
ứng phó với cuộc tấn công bụi
Sau khi nhận được token không rõ nguồn gốc, đừng tương tác với nó. Đánh dấu nó là "rác" hoặc ẩn nó.
Xác nhận nguồn gốc của token qua trình duyệt blockchain, nếu là gửi hàng loạt, hãy cảnh giác cao độ.
Tránh công khai địa chỉ ví, hoặc sử dụng địa chỉ mới để thực hiện các thao tác nhạy cảm.
Kết luận
Việc thực hiện các biện pháp an ninh nêu trên có thể giảm đáng kể rủi ro trở thành nạn nhân của các kế hoạch gian lận cao cấp. Tuy nhiên, an ninh thực sự không chỉ phụ thuộc vào công nghệ. Khi ví phần cứng xây dựng hàng rào vật lý và chữ ký đa chữ ký phân tán rủi ro, thì sự hiểu biết của người dùng về logic ủy quyền và thái độ thận trọng đối với hành vi trên chuỗi mới là thành trì cuối cùng để chống lại các cuộc tấn công.
Mỗi lần phân tích dữ liệu trước khi ký, mỗi lần kiểm tra quyền sau khi ủy quyền, đều là sự bảo vệ cho chủ quyền số của bản thân. Dù công nghệ tương lai phát triển như thế nào, ranh giới cốt lõi vẫn nằm ở: nội hóa nhận thức về an toàn thành thói quen, duy trì sự cân bằng giữa niềm tin và xác thực. Trong thế giới Blockchain, mỗi lần nhấp chuột, mỗi giao dịch đều được ghi lại vĩnh viễn, không thể thay đổi. Do đó, việc giữ cảnh giác và thận trọng là vô cùng quan trọng.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
25 thích
Phần thưởng
25
8
Chia sẻ
Bình luận
0/400
BitcoinDaddy
· 07-17 22:06
Tác giả kho mã ứng dụng không biết thông tin cá nhân được công nhận
Xem bản gốcTrả lời0
DeFiDoctor
· 07-17 20:22
Bản ghi khám bệnh cho thấy: Gần ba phần trăm bệnh nhân không thực hiện cách ly rủi ro trong thời gian sử dụng ví lạnh.
Xem bản gốcTrả lời0
ImpermanentTherapist
· 07-17 08:16
Còn phải xem trí óc thế nào.
Xem bản gốcTrả lời0
WenAirdrop
· 07-15 19:21
Lại bị đánh cắp tệ hơn sao? Đã nói trước là không có nhiều dự án đáng tin cậy.
Xem bản gốcTrả lời0
BridgeNomad
· 07-14 22:58
đã thấy những mẫu khai thác tương tự kể từ nomad... ví lạnh = bộ dụng cụ sinh tồn rn
Xem bản gốcTrả lời0
CryptoComedian
· 07-14 22:52
Hướng dẫn bảo vệ đồ ngốc hôm nay: Mã Tiền Pháo
Xem bản gốcTrả lời0
tokenomics_truther
· 07-14 22:49
Cũ rồi mà vẫn có người bị lừa.
Xem bản gốcTrả lời0
CryptoTarotReader
· 07-14 22:41
Nằm thua lỗ một đồng thì có gì, bán lẻ tập thể chết đột ngột mới là bình thường.
Khám phá thủ đoạn lừa đảo blockchain mới: Phòng ngừa bẫy ủy quyền hợp đồng thông minh
Blockchain và Tài sản tiền điện tử an toàn: Phòng ngừa các kỹ thuật lừa đảo mới
Tài sản tiền điện tử và công nghệ Blockchain đang định hình lại khái niệm tự do tài chính, nhưng đồng thời cũng mang đến những thách thức về an ninh mới. Những kẻ lừa đảo không còn chỉ dừng lại ở việc khai thác lỗ hổng công nghệ, mà khéo léo biến chính các giao thức hợp đồng thông minh của Blockchain thành công cụ tấn công. Họ sử dụng những cái bẫy kỹ thuật xã hội được thiết kế tinh vi, kết hợp với tính minh bạch và đặc điểm không thể đảo ngược của Blockchain, biến lòng tin của người dùng thành công cụ đánh cắp tài sản. Từ việc làm giả hợp đồng thông minh đến việc thao túng giao dịch liên chuỗi, những cuộc tấn công này không chỉ kín đáo khó phát hiện mà còn trở nên lừa đảo hơn nhờ vẻ ngoài "hợp pháp" của chúng.
Một, giao thức làm thế nào trở thành công cụ lừa đảo?
Giao thức Blockchain lẽ ra phải đảm bảo an toàn và niềm tin, nhưng những kẻ lừa đảo đã lợi dụng đặc điểm của nó, kết hợp với sự bất cẩn của người dùng, tạo ra nhiều phương thức tấn công ẩn giấu khác nhau. Dưới đây là một số thủ thuật phổ biến và chi tiết kỹ thuật của chúng:
(1) ủy quyền hợp đồng thông minh độc hại
Nguyên lý kỹ thuật: Trên các Blockchain như Ethereum, tiêu chuẩn token ERC-20 cho phép người dùng ủy quyền cho bên thứ ba (thường là hợp đồng thông minh) rút một số lượng token nhất định từ ví của họ thông qua hàm "Approve". Chức năng này được áp dụng rộng rãi trong các giao thức tài chính phi tập trung (DeFi), nơi người dùng cần ủy quyền cho hợp đồng thông minh để thực hiện giao dịch, staking hoặc khai thác thanh khoản. Tuy nhiên, những kẻ lừa đảo đã lợi dụng cơ chế này để thiết kế các hợp đồng độc hại.
Cách hoạt động: Kẻ lừa đảo tạo ra một ứng dụng phi tập trung (DApp) giả mạo như một dự án hợp pháp, thường thông qua các trang web lừa đảo hoặc quảng cáo trên mạng xã hội. Người dùng kết nối ví và bị dụ nhấp vào "Approve", bề ngoài là cấp quyền cho một lượng token nhỏ, nhưng thực tế có thể là một hạn mức không giới hạn. Khi việc cấp quyền hoàn tất, địa chỉ hợp đồng của kẻ lừa đảo có được quyền, có thể gọi hàm "TransferFrom" bất cứ lúc nào, rút tất cả các token tương ứng từ ví của người dùng.
(2) ký tên lừa đảo
Nguyên lý kỹ thuật: Giao dịch Blockchain yêu cầu người dùng tạo chữ ký thông qua khóa riêng để chứng minh tính hợp pháp của giao dịch. Ví thường sẽ hiển thị yêu cầu ký, sau khi người dùng xác nhận, giao dịch sẽ được phát sóng đến mạng. Kẻ lừa đảo lợi dụng quy trình này để làm giả yêu cầu ký và đánh cắp tài sản.
Cách thức hoạt động: Người dùng nhận được một email hoặc tin nhắn giả mạo thành thông báo chính thức, chẳng hạn như "Airdrop NFT của bạn đang chờ nhận, vui lòng xác minh ví". Sau khi nhấp vào liên kết, người dùng được dẫn đến một trang web độc hại, yêu cầu kết nối ví và ký một giao dịch "xác minh". Giao dịch này thực tế có thể là gọi hàm "Transfer", trực tiếp chuyển ETH hoặc token trong ví đến địa chỉ của kẻ lừa đảo; hoặc là một thao tác "SetApprovalForAll", ủy quyền cho kẻ lừa đảo kiểm soát bộ sưu tập NFT của người dùng.
(3) Token giả và "tấn công bụi"
Nguyên lý kỹ thuật: Tính công khai của Blockchain cho phép bất kỳ ai gửi token đến bất kỳ địa chỉ nào, ngay cả khi người nhận không yêu cầu một cách chủ động. Kẻ lừa đảo tận dụng điều này bằng cách gửi một lượng nhỏ Tài sản tiền điện tử đến nhiều địa chỉ ví để theo dõi hoạt động của ví và liên kết nó với cá nhân hoặc công ty sở hữu ví.
Cách thức hoạt động: Trong hầu hết các trường hợp, "bụi" được sử dụng trong cuộc tấn công bụi được phát cho ví của người dùng dưới dạng airdrop, các token này có thể mang tên hoặc siêu dữ liệu hấp dẫn, dụ dỗ người dùng truy cập vào một trang web để xem chi tiết. Người dùng có thể cố gắng đổi những token này ra tiền, trong khi kẻ tấn công có thể truy cập ví của người dùng thông qua địa chỉ hợp đồng đi kèm với token. Càng kín đáo hơn, cuộc tấn công bụi sẽ sử dụng kỹ thuật xã hội, phân tích các giao dịch tiếp theo của người dùng, khóa địa chỉ ví hoạt động của người dùng, từ đó thực hiện các lừa đảo chính xác hơn.
Hai, những trò lừa đảo này tại sao khó phát hiện?
Những vụ lừa đảo này thành công một phần lớn là vì chúng ẩn mình trong các cơ chế hợp pháp của Blockchain, khiến người dùng thông thường khó phân biệt được bản chất độc hại của chúng. Dưới đây là một số lý do chính:
Độ phức tạp của công nghệ: Mã hợp đồng thông minh và yêu cầu ký kết có thể khó hiểu đối với người dùng không có kỹ thuật. Ví dụ, một yêu cầu "Approve" có thể hiển thị dưới dạng dữ liệu thập lục phân phức tạp, khiến người dùng không thể trực quan đánh giá ý nghĩa của nó.
Tính hợp pháp trên chuỗi: Tất cả các giao dịch đều được ghi lại trên Blockchain, có vẻ như minh bạch, nhưng nạn nhân thường chỉ nhận ra hậu quả của việc ủy quyền hoặc chữ ký sau đó, và lúc này tài sản đã không thể thu hồi.
Kỹ thuật xã hội: Kẻ lừa đảo lợi dụng điểm yếu của con người, chẳng hạn như tham lam, sợ hãi hoặc lòng tin, để thiết kế những cái bẫy lừa đảo hấp dẫn.
Ngụy trang tinh vi: Các trang web lừa đảo có thể sử dụng URL tương tự như tên miền chính thức, thậm chí thông qua chứng chỉ HTTPS để tăng độ tin cậy.
Ba, làm thế nào để bảo vệ ví tài sản tiền điện tử của bạn?
Đối mặt với những trò lừa đảo kết hợp giữa kỹ thuật và tâm lý này, việc bảo vệ tài sản cần một chiến lược đa tầng. Dưới đây là các biện pháp phòng ngừa chi tiết:
Kiểm tra và quản lý quyền hạn được ủy quyền
Xác minh liên kết và nguồn
Sử dụng ví lạnh và chữ ký đa chiều
Hãy xử lý yêu cầu chữ ký một cách cẩn thận
ứng phó với cuộc tấn công bụi
Kết luận
Việc thực hiện các biện pháp an ninh nêu trên có thể giảm đáng kể rủi ro trở thành nạn nhân của các kế hoạch gian lận cao cấp. Tuy nhiên, an ninh thực sự không chỉ phụ thuộc vào công nghệ. Khi ví phần cứng xây dựng hàng rào vật lý và chữ ký đa chữ ký phân tán rủi ro, thì sự hiểu biết của người dùng về logic ủy quyền và thái độ thận trọng đối với hành vi trên chuỗi mới là thành trì cuối cùng để chống lại các cuộc tấn công.
Mỗi lần phân tích dữ liệu trước khi ký, mỗi lần kiểm tra quyền sau khi ủy quyền, đều là sự bảo vệ cho chủ quyền số của bản thân. Dù công nghệ tương lai phát triển như thế nào, ranh giới cốt lõi vẫn nằm ở: nội hóa nhận thức về an toàn thành thói quen, duy trì sự cân bằng giữa niềm tin và xác thực. Trong thế giới Blockchain, mỗi lần nhấp chuột, mỗi giao dịch đều được ghi lại vĩnh viễn, không thể thay đổi. Do đó, việc giữ cảnh giác và thận trọng là vô cùng quan trọng.