Lừa đảo chữ ký trong Web3: Phân tích nguyên lý và hướng dẫn phòng ngừa
Trong thế giới Web3, "lừa đảo chữ ký" đang trở thành một trong những phương thức tấn công được các hacker ưa chuộng nhất. Mặc dù các chuyên gia trong ngành và các công ty an ninh liên tục cảnh báo, hàng ngày vẫn có không ít người dùng bị lừa. Một trong những nguyên nhân chính của tình trạng này là phần lớn mọi người thiếu hiểu biết về logic cơ bản của việc tương tác với ví, trong khi đó, việc học các kiến thức liên quan lại quá khó khăn đối với những người không có nền tảng kỹ thuật.
Để giúp nhiều người hiểu vấn đề này, chúng tôi sẽ phân tích logic cơ bản của lừa đảo ký tên theo cách dễ hiểu.
Đầu tiên, chúng ta cần hiểu rằng khi sử dụng ví có hai thao tác chính: "ký" và "tương tác". Nói một cách đơn giản, ký xảy ra bên ngoài chuỗi khối (off-chain), không cần phải trả phí Gas; trong khi tương tác xảy ra trên chuỗi khối (on-chain), cần phải trả phí Gas.
Chữ ký thường được sử dụng để xác thực danh tính, chẳng hạn như đăng nhập vào ví. Khi bạn muốn thực hiện giao dịch trên một sàn giao dịch phi tập trung, bạn cần kết nối ví trước, lúc này bạn cần ký để chứng minh bạn là chủ sở hữu của ví đó. Quá trình này sẽ không thay đổi bất kỳ dữ liệu hoặc trạng thái nào trên blockchain, vì vậy không cần phải trả phí.
So với trước, tương tác liên quan đến các thao tác trên chuỗi thực tế. Ví dụ, khi bạn đổi token tại sàn giao dịch phi tập trung, bạn cần phải ủy quyền cho hợp đồng thông minh của sàn giao dịch sử dụng token của bạn trước, sau đó mới thực hiện thao tác đổi thực tế. Cả hai bước này đều cần phải trả phí Gas.
Sau khi hiểu sự khác biệt giữa chữ ký và tương tác, hãy cùng xem xét một số phương thức lừa đảo phổ biến: lừa đảo ủy quyền, lừa đảo chữ ký Permit và lừa đảo chữ ký Permit2.
Phishing được cấp quyền lợi dụng cơ chế cấp phép của hợp đồng thông minh. Tin tặc có thể tạo ra một trang web giả mạo, dụ dỗ người dùng thực hiện các thao tác cấp phép, thực chất là để người dùng cấp quyền cho địa chỉ của tin tặc sử dụng token của mình.
Permit và Permit2 ký tên lừa đảo thì kín đáo hơn. Permit là một chức năng mở rộng của tiêu chuẩn ERC-20, cho phép người dùng phê duyệt người khác sử dụng mã thông báo của mình thông qua chữ ký. Tin tặc có thể dụ dỗ người dùng ký một giấy phép như vậy, sau đó lợi dụng chữ ký này để chuyển nhượng tài sản của người dùng.
Permit2 là một tính năng mà một số nền tảng giao dịch giới thiệu để đơn giản hóa thao tác của người dùng. Nó cho phép người dùng ủy quyền một lần cho nền tảng sử dụng một số lượng lớn mã thông báo, sau đó mỗi lần giao dịch chỉ cần ký tên. Mặc dù tiện lợi, nhưng nếu chữ ký rơi vào tay kẻ xấu, có thể dẫn đến mất mát tài sản.
Để phòng ngừa những rủi ro này, chúng tôi đề xuất:
Nuôi dưỡng ý thức an toàn, mỗi lần thao tác ví đều phải kiểm tra cẩn thận những gì bạn đang làm.
Tách biệt quỹ lớn và ví sử dụng hàng ngày để giảm thiểu tổn thất tiềm năng.
Học cách nhận biết định dạng chữ ký của Permit và Permit2. Nếu bạn thấy yêu cầu chữ ký chứa thông tin sau, hãy đặc biệt cẩn thận:
Trang web tương tác
Địa chỉ bên ủy quyền
Địa chỉ bên được ủy quyền
Số lượng được ủy quyền
Số ngẫu nhiên
Thời gian hết hạn
Bằng cách hiểu những cơ chế này và thực hiện các biện pháp phòng ngừa thích hợp, chúng ta có thể bảo vệ tài sản kỹ thuật số của mình tốt hơn và tham gia an toàn vào hệ sinh thái Web3.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
13 thích
Phần thưởng
13
4
Chia sẻ
Bình luận
0/400
0xSherlock
· 18giờ trước
Lại bị câu được vài trăm eth
Xem bản gốcTrả lời0
WalletDetective
· 18giờ trước
Người mới nên xem xét việc phòng tránh lừa đảo, điều này rất quan trọng.
Xem bản gốcTrả lời0
FUDwatcher
· 18giờ trước
Được chơi cho Suckers lại có chiêu trò mới rồi
Xem bản gốcTrả lời0
defi_detective
· 18giờ trước
Ai lại dẫm phải bom lần nữa, ai bị tổn thất nặng nề?
Giải thích toàn diện về lừa đảo ký Web3: Phân tích nguyên lý và chiến lược phòng ngừa
Lừa đảo chữ ký trong Web3: Phân tích nguyên lý và hướng dẫn phòng ngừa
Trong thế giới Web3, "lừa đảo chữ ký" đang trở thành một trong những phương thức tấn công được các hacker ưa chuộng nhất. Mặc dù các chuyên gia trong ngành và các công ty an ninh liên tục cảnh báo, hàng ngày vẫn có không ít người dùng bị lừa. Một trong những nguyên nhân chính của tình trạng này là phần lớn mọi người thiếu hiểu biết về logic cơ bản của việc tương tác với ví, trong khi đó, việc học các kiến thức liên quan lại quá khó khăn đối với những người không có nền tảng kỹ thuật.
Để giúp nhiều người hiểu vấn đề này, chúng tôi sẽ phân tích logic cơ bản của lừa đảo ký tên theo cách dễ hiểu.
Đầu tiên, chúng ta cần hiểu rằng khi sử dụng ví có hai thao tác chính: "ký" và "tương tác". Nói một cách đơn giản, ký xảy ra bên ngoài chuỗi khối (off-chain), không cần phải trả phí Gas; trong khi tương tác xảy ra trên chuỗi khối (on-chain), cần phải trả phí Gas.
Chữ ký thường được sử dụng để xác thực danh tính, chẳng hạn như đăng nhập vào ví. Khi bạn muốn thực hiện giao dịch trên một sàn giao dịch phi tập trung, bạn cần kết nối ví trước, lúc này bạn cần ký để chứng minh bạn là chủ sở hữu của ví đó. Quá trình này sẽ không thay đổi bất kỳ dữ liệu hoặc trạng thái nào trên blockchain, vì vậy không cần phải trả phí.
So với trước, tương tác liên quan đến các thao tác trên chuỗi thực tế. Ví dụ, khi bạn đổi token tại sàn giao dịch phi tập trung, bạn cần phải ủy quyền cho hợp đồng thông minh của sàn giao dịch sử dụng token của bạn trước, sau đó mới thực hiện thao tác đổi thực tế. Cả hai bước này đều cần phải trả phí Gas.
Sau khi hiểu sự khác biệt giữa chữ ký và tương tác, hãy cùng xem xét một số phương thức lừa đảo phổ biến: lừa đảo ủy quyền, lừa đảo chữ ký Permit và lừa đảo chữ ký Permit2.
Phishing được cấp quyền lợi dụng cơ chế cấp phép của hợp đồng thông minh. Tin tặc có thể tạo ra một trang web giả mạo, dụ dỗ người dùng thực hiện các thao tác cấp phép, thực chất là để người dùng cấp quyền cho địa chỉ của tin tặc sử dụng token của mình.
Permit và Permit2 ký tên lừa đảo thì kín đáo hơn. Permit là một chức năng mở rộng của tiêu chuẩn ERC-20, cho phép người dùng phê duyệt người khác sử dụng mã thông báo của mình thông qua chữ ký. Tin tặc có thể dụ dỗ người dùng ký một giấy phép như vậy, sau đó lợi dụng chữ ký này để chuyển nhượng tài sản của người dùng.
Permit2 là một tính năng mà một số nền tảng giao dịch giới thiệu để đơn giản hóa thao tác của người dùng. Nó cho phép người dùng ủy quyền một lần cho nền tảng sử dụng một số lượng lớn mã thông báo, sau đó mỗi lần giao dịch chỉ cần ký tên. Mặc dù tiện lợi, nhưng nếu chữ ký rơi vào tay kẻ xấu, có thể dẫn đến mất mát tài sản.
Để phòng ngừa những rủi ro này, chúng tôi đề xuất:
Nuôi dưỡng ý thức an toàn, mỗi lần thao tác ví đều phải kiểm tra cẩn thận những gì bạn đang làm.
Tách biệt quỹ lớn và ví sử dụng hàng ngày để giảm thiểu tổn thất tiềm năng.
Học cách nhận biết định dạng chữ ký của Permit và Permit2. Nếu bạn thấy yêu cầu chữ ký chứa thông tin sau, hãy đặc biệt cẩn thận:
Bằng cách hiểu những cơ chế này và thực hiện các biện pháp phòng ngừa thích hợp, chúng ta có thể bảo vệ tài sản kỹ thuật số của mình tốt hơn và tham gia an toàn vào hệ sinh thái Web3.