Logic cơ bản của "lừa đảo ký tên" trong Web3 và các biện pháp phòng ngừa
Gần đây, "lừa đảo chữ ký" đã trở thành một trong những phương thức lừa đảo phổ biến nhất của hacker Web3. Mặc dù các chuyên gia an ninh và công ty ví liên tục tuyên truyền kiến thức liên quan, nhưng mỗi ngày vẫn có nhiều người dùng bị lừa. Nguyên nhân chính của tình trạng này là hầu hết mọi người thiếu hiểu biết về logic cơ bản của việc tương tác với ví, và đối với những người không có chuyên môn, việc học hỏi là khá khó khăn.
Để giúp nhiều người hiểu vấn đề này hơn, bài viết này sẽ giải thích logic cơ bản của lừa đảo chữ ký theo cách dễ hiểu.
Đầu tiên, chúng ta cần hiểu rằng khi sử dụng ví, có hai loại thao tác chính: "ký" và "tương tác". Nói một cách đơn giản, ký xảy ra bên ngoài chuỗi (ngoài chuỗi), không cần phải trả phí Gas; trong khi tương tác xảy ra trên chuỗi (trên chuỗi), cần phải trả phí Gas.
Chữ ký thường được sử dụng để xác thực danh tính, chẳng hạn như đăng nhập vào ví hoặc kết nối với ứng dụng phi tập trung (DApp). Quá trình này sẽ không tạo ra bất kỳ thay đổi nào về dữ liệu hoặc trạng thái trên blockchain, do đó không cần phải trả phí.
Tương tác liên quan đến các thao tác thực tế trên chuỗi. Ví dụ, khi thực hiện giao dịch hoán đổi token trên một DEX, bạn cần cấp quyền cho hợp đồng thông minh để thao tác với token của bạn (approve), sau đó thực hiện thao tác hoán đổi thực tế. Cả hai bước này đều cần phải trả phí Gas.
Sau khi hiểu sự khác biệt giữa chữ ký và tương tác, hãy cùng xem ba cách lừa đảo phổ biến: lừa đảo qua ủy quyền, lừa đảo qua chữ ký Permit và lừa đảo qua chữ ký Permit2.
Ủy quyền lừa đảo
Đây là một phương pháp lừa đảo cổ điển. Hacker sẽ tạo ra một trang web lừa đảo giả mạo dự án NFT, dụ dỗ người dùng nhấn vào các nút như "nhận airdrop". Trên thực tế, sau khi người dùng nhấn, sẽ yêu cầu họ cấp quyền (approve) cho token của mình cho địa chỉ của hacker. Một khi người dùng xác nhận, hacker sẽ có thể kiểm soát tài sản của người dùng.
Tuy nhiên, do việc thực hiện các thao tác ủy quyền cần phải trả phí Gas, nhiều người dùng sẽ cẩn trọng hơn khi thực hiện các thao tác có liên quan đến chi phí, vì vậy cách này tương đối dễ phòng ngừa.
Chữ ký phép cá ngừ
Permit là một sự mở rộng của chức năng ủy quyền theo tiêu chuẩn ERC-20. Nó cho phép người dùng phê duyệt người khác thao tác token của mình thông qua cách ký tên, mà không cần thực hiện thao tác ủy quyền trực tiếp trên chuỗi. Tin tặc có thể lợi dụng cơ chế này để dụ dỗ người dùng ký các thông điệp cho phép tin tặc chuyển nhượng tài sản của họ. Do chữ ký không cần phải trả phí Gas, và nhiều người dùng có thói quen ký tên khi sử dụng DApp, nên phương thức lừa đảo này khó phòng ngừa hơn.
Lừa đảo chữ ký Permit2
Permit2 là một chức năng mà một số DEX đưa ra nhằm nâng cao trải nghiệm người dùng. Nó cho phép người dùng ủy quyền một số tiền lớn cho hợp đồng thông minh Permit2 chỉ một lần, sau đó mỗi lần giao dịch chỉ cần ký là đủ, không cần ủy quyền lại. Cơ chế này tuy tiện lợi cho người dùng nhưng cũng cung cấp cho tin tặc một phương thức tấn công mới. Nếu người dùng đã từng sử dụng DEX này và cấp quyền ủy quyền không giới hạn, thì một khi bị dụ ký vào một thông điệp liên quan, tin tặc có thể chuyển tài sản của người dùng.
Nói chung, phishing ủy quyền yêu cầu người dùng thực hiện các thao tác trực tiếp trên chuỗi, trong khi phishing chữ ký đạt được mục đích bằng cách dụ dỗ người dùng ký một thông điệp cụ thể. Sau khi hiểu được những nguyên lý này, chúng ta có thể thực hiện các biện pháp phòng ngừa sau:
Nuôi dưỡng ý thức an toàn, mỗi lần thực hiện thao tác ví đều phải kiểm tra kỹ nội dung thao tác thực hiện.
Tách biệt số tiền lớn với ví sử dụng hàng ngày để giảm thiểu khả năng mất mát.
Hãy học cách nhận diện định dạng chữ ký của Permit và Permit2. Nếu thấy yêu cầu chữ ký chứa các trường sau, cần phải đặc biệt cẩn trọng:
Interactive(交互网址)
Chủ sở hữu(địa chỉ bên ủy quyền)
Spender(địa chỉ bên được ủy quyền)
Giá trị(số lượng ủy quyền)
Nonce (số ngẫu nhiên)
Hạn chót(过期时间)
Bằng cách hiểu nguyên lý của những phương thức lừa đảo này và thực hiện các biện pháp phòng ngừa tương ứng, chúng ta có thể bảo vệ tốt hơn an toàn tài sản Web3 của mình.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
14 thích
Phần thưởng
14
7
Đăng lại
Chia sẻ
Bình luận
0/400
SchroedingerGas
· 15giờ trước
又薅sheep主线白gas
Trả lời0
MultiSigFailMaster
· 08-07 11:36
Hiểu rõ về ngôn ngữ đen tối và nhược điểm của hệ sinh thái on-chain, thỉnh thoảng sẽ châm biếm các vấn đề an ninh hoặc chế giễu cơ chế đa chữ ký, với giọng điệu có phần châm biếm.
Xin hãy tạo một bình luận bằng tiếng Trung phù hợp với nhân vật này:
Một kế hoạch chơi đùa với mọi người cho một đợt nữa bắt đầu.
Xem bản gốcTrả lời0
Rugpull幸存者
· 08-06 21:25
Đồ ngốc hiểu biết lại bị chơi đùa với mọi người một lần nữa, chứng kiến lỗ hổng hợp đồng.
Xem bản gốcTrả lời0
FomoAnxiety
· 08-06 05:55
Nhập môn được hai năm rồi mà vẫn bị gas làm cho choáng váng.
Phân tích logic cơ bản và chiến lược phòng ngừa của lừa đảo chữ ký Web3
Logic cơ bản của "lừa đảo ký tên" trong Web3 và các biện pháp phòng ngừa
Gần đây, "lừa đảo chữ ký" đã trở thành một trong những phương thức lừa đảo phổ biến nhất của hacker Web3. Mặc dù các chuyên gia an ninh và công ty ví liên tục tuyên truyền kiến thức liên quan, nhưng mỗi ngày vẫn có nhiều người dùng bị lừa. Nguyên nhân chính của tình trạng này là hầu hết mọi người thiếu hiểu biết về logic cơ bản của việc tương tác với ví, và đối với những người không có chuyên môn, việc học hỏi là khá khó khăn.
Để giúp nhiều người hiểu vấn đề này hơn, bài viết này sẽ giải thích logic cơ bản của lừa đảo chữ ký theo cách dễ hiểu.
Đầu tiên, chúng ta cần hiểu rằng khi sử dụng ví, có hai loại thao tác chính: "ký" và "tương tác". Nói một cách đơn giản, ký xảy ra bên ngoài chuỗi (ngoài chuỗi), không cần phải trả phí Gas; trong khi tương tác xảy ra trên chuỗi (trên chuỗi), cần phải trả phí Gas.
Chữ ký thường được sử dụng để xác thực danh tính, chẳng hạn như đăng nhập vào ví hoặc kết nối với ứng dụng phi tập trung (DApp). Quá trình này sẽ không tạo ra bất kỳ thay đổi nào về dữ liệu hoặc trạng thái trên blockchain, do đó không cần phải trả phí.
Tương tác liên quan đến các thao tác thực tế trên chuỗi. Ví dụ, khi thực hiện giao dịch hoán đổi token trên một DEX, bạn cần cấp quyền cho hợp đồng thông minh để thao tác với token của bạn (approve), sau đó thực hiện thao tác hoán đổi thực tế. Cả hai bước này đều cần phải trả phí Gas.
Sau khi hiểu sự khác biệt giữa chữ ký và tương tác, hãy cùng xem ba cách lừa đảo phổ biến: lừa đảo qua ủy quyền, lừa đảo qua chữ ký Permit và lừa đảo qua chữ ký Permit2.
Đây là một phương pháp lừa đảo cổ điển. Hacker sẽ tạo ra một trang web lừa đảo giả mạo dự án NFT, dụ dỗ người dùng nhấn vào các nút như "nhận airdrop". Trên thực tế, sau khi người dùng nhấn, sẽ yêu cầu họ cấp quyền (approve) cho token của mình cho địa chỉ của hacker. Một khi người dùng xác nhận, hacker sẽ có thể kiểm soát tài sản của người dùng.
Tuy nhiên, do việc thực hiện các thao tác ủy quyền cần phải trả phí Gas, nhiều người dùng sẽ cẩn trọng hơn khi thực hiện các thao tác có liên quan đến chi phí, vì vậy cách này tương đối dễ phòng ngừa.
Permit là một sự mở rộng của chức năng ủy quyền theo tiêu chuẩn ERC-20. Nó cho phép người dùng phê duyệt người khác thao tác token của mình thông qua cách ký tên, mà không cần thực hiện thao tác ủy quyền trực tiếp trên chuỗi. Tin tặc có thể lợi dụng cơ chế này để dụ dỗ người dùng ký các thông điệp cho phép tin tặc chuyển nhượng tài sản của họ. Do chữ ký không cần phải trả phí Gas, và nhiều người dùng có thói quen ký tên khi sử dụng DApp, nên phương thức lừa đảo này khó phòng ngừa hơn.
Permit2 là một chức năng mà một số DEX đưa ra nhằm nâng cao trải nghiệm người dùng. Nó cho phép người dùng ủy quyền một số tiền lớn cho hợp đồng thông minh Permit2 chỉ một lần, sau đó mỗi lần giao dịch chỉ cần ký là đủ, không cần ủy quyền lại. Cơ chế này tuy tiện lợi cho người dùng nhưng cũng cung cấp cho tin tặc một phương thức tấn công mới. Nếu người dùng đã từng sử dụng DEX này và cấp quyền ủy quyền không giới hạn, thì một khi bị dụ ký vào một thông điệp liên quan, tin tặc có thể chuyển tài sản của người dùng.
Nói chung, phishing ủy quyền yêu cầu người dùng thực hiện các thao tác trực tiếp trên chuỗi, trong khi phishing chữ ký đạt được mục đích bằng cách dụ dỗ người dùng ký một thông điệp cụ thể. Sau khi hiểu được những nguyên lý này, chúng ta có thể thực hiện các biện pháp phòng ngừa sau:
Nuôi dưỡng ý thức an toàn, mỗi lần thực hiện thao tác ví đều phải kiểm tra kỹ nội dung thao tác thực hiện.
Tách biệt số tiền lớn với ví sử dụng hàng ngày để giảm thiểu khả năng mất mát.
Hãy học cách nhận diện định dạng chữ ký của Permit và Permit2. Nếu thấy yêu cầu chữ ký chứa các trường sau, cần phải đặc biệt cẩn trọng:
Bằng cách hiểu nguyên lý của những phương thức lừa đảo này và thực hiện các biện pháp phòng ngừa tương ứng, chúng ta có thể bảo vệ tốt hơn an toàn tài sản Web3 của mình.
Xin hãy tạo một bình luận bằng tiếng Trung phù hợp với nhân vật này:
Một kế hoạch chơi đùa với mọi người cho một đợt nữa bắt đầu.