Với sự phát triển của hệ sinh thái Web3, "lừa đảo bằng chữ ký" đã trở thành một trong những phương thức tấn công được các hacker ưa chuộng nhất. Mặc dù các chuyên gia trong ngành và các công ty an ninh không ngừng tuyên truyền kiến thức, nhưng hàng ngày vẫn có nhiều người dùng mắc bẫy. Điều này chủ yếu là do hầu hết người dùng thiếu hiểu biết về cơ chế tương tác ví và đối với những người không chuyên, việc học các kiến thức liên quan có ngưỡng khó cao.
Để giúp nhiều người hiểu và phòng ngừa loại rủi ro này, chúng tôi sẽ giải thích hai chế độ cơ bản của việc sử dụng ví Web3 theo cách dễ hiểu: "ký tên" và "tương tác".
Chữ ký là một thao tác xảy ra bên ngoài chuỗi khối, không cần phải trả phí Gas. Nó thường được sử dụng để xác thực, như đăng nhập vào ví hoặc kết nối với ứng dụng phi tập trung (DApp). Ví dụ, khi bạn muốn trao đổi token trên một DEX nào đó, trước tiên bạn cần kết nối ví, điều này liên quan đến một thao tác ký, thông báo cho trang web "Tôi là chủ sở hữu của ví này". Quá trình này sẽ không ảnh hưởng đến chuỗi khối, do đó không cần phí.
Tương tác là các thao tác được thực hiện trực tiếp trên blockchain, cần phải trả phí Gas. Lấy ví dụ về việc trao đổi token trên DEX, trước tiên bạn cần cấp quyền (approve) cho hợp đồng thông minh sử dụng token của bạn, sau đó mới thực hiện thao tác trao đổi thực tế. Cả hai bước này đều yêu cầu phải trả phí Gas.
Sau khi hiểu sự khác biệt giữa hai loại thao tác này, chúng ta hãy xem xét ba cách lừa đảo phổ biến: lừa đảo ủy quyền, lừa đảo chữ ký Permit và lừa đảo chữ ký Permit2.
Phishing ủy quyền được thực hiện thông qua cơ chế approve. Tin tặc có thể tạo ra một trang web lừa đảo giả mạo dự án NFT, dụ dỗ người dùng nhấp vào nút "nhận airdrop". Thực tế, thao tác này sẽ kích hoạt một yêu cầu ủy quyền, cho phép tin tặc kiểm soát token của người dùng. Tuy nhiên, do thao tác này cần phải trả phí Gas, người dùng thường sẽ cẩn trọng hơn, khiến cho phương thức lừa đảo này tương đối dễ nhận diện.
Chữ ký Permit và Permit2 thì kín đáo hơn, vì chúng lợi dụng sự tin tưởng của người dùng vào thao tác ký. Permit là một tính năng mở rộng của tiêu chuẩn ERC-20, cho phép người dùng ủy quyền cho người khác di chuyển token của mình thông qua chữ ký. Tin tặc có thể dụ dỗ người dùng ký một thông điệp có vẻ vô hại, nhưng thực chất lại là "giấy phép" ủy quyền cho tin tặc chuyển nhượng tài sản của người dùng.
Permit2 là một chức năng được phát triển bởi một DEX nào đó, nhằm đơn giản hóa hoạt động của người dùng và giảm phí Gas. Tuy nhiên, nếu người dùng đã từng sử dụng DEX đó và cấp quyền không giới hạn, thì ngay khi ký một thông điệp Permit2 độc hại, hacker có thể dễ dàng chuyển nhượng tài sản của người dùng.
Để phòng ngừa những rủi ro này, người dùng nên:
Nuôi dưỡng ý thức an toàn, mỗi lần thực hiện thao tác ví đều phải kiểm tra cẩn thận.
Tách biệt số tiền lớn với ví sử dụng hàng ngày để giảm thiểu tổn thất tiềm ẩn.
Học cách nhận diện định dạng chữ ký của Permit và Permit2, bao gồm địa chỉ trang web tương tác, địa chỉ của bên ủy quyền, địa chỉ của bên được ủy quyền, số lượng ủy quyền, số ngẫu nhiên và thời gian hết hạn.
Tóm lại, người dùng Web3 cần luôn giữ cảnh giác, hiểu rõ ý nghĩa của mỗi thao tác để bảo vệ an toàn tài sản kỹ thuật số của mình.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Phân tích tấn công lừa đảo chữ ký Web3: Từ cơ chế nền tảng đến chiến lược phòng ngừa
Phân tích logic cơ bản của lừa đảo chữ ký Web3
Với sự phát triển của hệ sinh thái Web3, "lừa đảo bằng chữ ký" đã trở thành một trong những phương thức tấn công được các hacker ưa chuộng nhất. Mặc dù các chuyên gia trong ngành và các công ty an ninh không ngừng tuyên truyền kiến thức, nhưng hàng ngày vẫn có nhiều người dùng mắc bẫy. Điều này chủ yếu là do hầu hết người dùng thiếu hiểu biết về cơ chế tương tác ví và đối với những người không chuyên, việc học các kiến thức liên quan có ngưỡng khó cao.
Để giúp nhiều người hiểu và phòng ngừa loại rủi ro này, chúng tôi sẽ giải thích hai chế độ cơ bản của việc sử dụng ví Web3 theo cách dễ hiểu: "ký tên" và "tương tác".
Chữ ký là một thao tác xảy ra bên ngoài chuỗi khối, không cần phải trả phí Gas. Nó thường được sử dụng để xác thực, như đăng nhập vào ví hoặc kết nối với ứng dụng phi tập trung (DApp). Ví dụ, khi bạn muốn trao đổi token trên một DEX nào đó, trước tiên bạn cần kết nối ví, điều này liên quan đến một thao tác ký, thông báo cho trang web "Tôi là chủ sở hữu của ví này". Quá trình này sẽ không ảnh hưởng đến chuỗi khối, do đó không cần phí.
Tương tác là các thao tác được thực hiện trực tiếp trên blockchain, cần phải trả phí Gas. Lấy ví dụ về việc trao đổi token trên DEX, trước tiên bạn cần cấp quyền (approve) cho hợp đồng thông minh sử dụng token của bạn, sau đó mới thực hiện thao tác trao đổi thực tế. Cả hai bước này đều yêu cầu phải trả phí Gas.
Sau khi hiểu sự khác biệt giữa hai loại thao tác này, chúng ta hãy xem xét ba cách lừa đảo phổ biến: lừa đảo ủy quyền, lừa đảo chữ ký Permit và lừa đảo chữ ký Permit2.
Phishing ủy quyền được thực hiện thông qua cơ chế approve. Tin tặc có thể tạo ra một trang web lừa đảo giả mạo dự án NFT, dụ dỗ người dùng nhấp vào nút "nhận airdrop". Thực tế, thao tác này sẽ kích hoạt một yêu cầu ủy quyền, cho phép tin tặc kiểm soát token của người dùng. Tuy nhiên, do thao tác này cần phải trả phí Gas, người dùng thường sẽ cẩn trọng hơn, khiến cho phương thức lừa đảo này tương đối dễ nhận diện.
Chữ ký Permit và Permit2 thì kín đáo hơn, vì chúng lợi dụng sự tin tưởng của người dùng vào thao tác ký. Permit là một tính năng mở rộng của tiêu chuẩn ERC-20, cho phép người dùng ủy quyền cho người khác di chuyển token của mình thông qua chữ ký. Tin tặc có thể dụ dỗ người dùng ký một thông điệp có vẻ vô hại, nhưng thực chất lại là "giấy phép" ủy quyền cho tin tặc chuyển nhượng tài sản của người dùng.
Permit2 là một chức năng được phát triển bởi một DEX nào đó, nhằm đơn giản hóa hoạt động của người dùng và giảm phí Gas. Tuy nhiên, nếu người dùng đã từng sử dụng DEX đó và cấp quyền không giới hạn, thì ngay khi ký một thông điệp Permit2 độc hại, hacker có thể dễ dàng chuyển nhượng tài sản của người dùng.
Để phòng ngừa những rủi ro này, người dùng nên:
Tóm lại, người dùng Web3 cần luôn giữ cảnh giác, hiểu rõ ý nghĩa của mỗi thao tác để bảo vệ an toàn tài sản kỹ thuật số của mình.