Tôi nhớ ai đó trong nhóm đã chia sẻ một câu nói khá thông minh: “Nếu bạn không biết ai tạo ra lợi nhuận, thì bạn chính là người tạo ra lợi nhuận đó.” Điều này thực sự gây đồng cảm với tôi. Nguyên tắc tương tự cũng áp dụng vào việc bảo mật khi sử dụng ví điện tử. Nếu bạn không chắc chắn về ý nghĩa của một hành động cụ thể, thì mỗi tương tác hoặc chữ ký trên chuỗi mà bạn thực hiện có thể gây rủi ro mất mát tài sản của ví của bạn.
Gần đây, Scam Sniffer đã công bố báo cáo lừa đảo giữa năm 2024: Chỉ trong nửa đầu năm nay, đã có 260.000 nạn nhân bị lừa đảo trên các chuỗi EVM (chuỗi dựa trên Ethereum), dẫn đến tổng thiệt hại lên tới 314 triệu đô la. Để có cái nhìn tổng quan, con số này đã vượt qua số tiền 295 triệu đô la bị mất do các cuộc tấn công lừa đảo trong cả năm 2023, và chỉ mất sáu tháng để đạt được con số này, như được thể hiện trong biểu đồ dưới đây.
Báo cáo nhấn mạnh rằng hầu hết các vụ mất cắp token ERC20 xảy ra từ việc ký hiệu lừa đảo, như Permit (ký hiệu ủy quyền ngoại tuyến), Increase Allowance (mở rộng giới hạn ủy quyền), và Uniswap Permit2. Các cuộc tấn công lừa đảo rõ ràng vẫn là một lỗ hổng quan trọng trong bảo mật trên chuỗi.
Vài ngày trước, một người bạn gặp phải vấn đề. Hai tháng trước, vào ngày 14 tháng 6, họ đã thực hiện ba lần chuyển khoản từ Ví Coinbase của họ đến Binance (chuyển khoản chuỗi Ethereum). Lần chuyển khoản đầu tiên đã thành công, nhưng hai lần chuyển khoản còn lại không bao giờ đến, và giờ đây đã là hai tháng. Điều gì có thể đã đi sai?
Tôi đã kiểm tra hồ sơ giao dịch trên Etherscan và chỉ tìm thấy một giao dịch, không có dấu vết của hai giao dịch khác, như được hiển thị trong hình ảnh dưới đây.
Nhìn kỹ hơn vào tất cả các giao dịch trên chuỗi từ ngày 14 tháng 6, tôi thấy ba lần cố gắng chuyển tiền, nhưng hai lần cuối bị đánh dấu là giao dịch thất bại, như được hiển thị trong hình ảnh dưới đây.
Sau đó tôi nhấp vào một trong những giao dịch thất bại (được đánh dấu là “Fail”) để xem điều gì đã sai. Tin nhắn lỗi nói rằng, “Gặp lỗi trong quá trình thực thi hợp đồng.” Theo tài liệu chính thức của Etherscan, loại lỗi này không dẫn đến mất tài sản từ ví. Trong những trường hợp như vậy, các token không bao giờ rời khỏi ví của người gửi, mặc dù phí gas vẫn bị trừ đi. Điều này được minh hoạ trong hình ảnh dưới đây.
Để giải quyết loại vấn đề này, cần xác nhận những điều sau:
-Kiểm tra xem tiền có thực sự được chuyển đi hay bị mất từ ví vào ngày đó (tức là nếu giao dịch thất bại không dẫn đến việc tiền trở về ví).
- Nếu xác nhận rằng tài sản đã được chuyển hoặc mất, bạn có thể cần liên hệ với bộ phận hỗ trợ khách hàng của nền tảng liên quan. Trong những trường hợp như vậy, tốt nhất là liên hệ với nền tảng có trách nhiệm gửi hoặc khởi tạo việc rút tiền, vì nền tảng hoặc địa chỉ nhận sẽ không thể giải quyết vấn đề.
Vì điều này, khuyến nghị thông thường của tôi là bạn nên giữ nhật ký giao dịch chi tiết, chẳng hạn như sử dụng Excel để theo dõi các giao dịch hàng ngày (mua / bán) và dòng tiền của bạn (thu nhập / chi phí). Bằng cách này, nếu có bất kỳ vấn đề nào phát sinh, bạn có thể so sánh nhật ký với các bản ghi giao dịch trên chuỗi để xác minh chéo. Tôi thực sự giữ một bản ghi như vậy, ghi lại mọi giao dịch một cách chi tiết. Tôi cũng thêm ghi chú về kinh nghiệm hoặc suy nghĩ của mình về một số giao dịch nhất định.
Đến thời điểm này, vấn đề có vẻ đã được hiểu rõ. Tuy nhiên, trong quá trình xem xét lịch sử giao dịch trên chuỗi khối, tôi phát hiện ra một vấn đề nghiêm trọng hơn với ví của người bạn này - nó đã bị nhắm mục tiêu bởi các hacker!
Chuyện gì đã xảy ra? Hãy nhìn kỹ hơn (như được hiển thị trong hình ảnh bên dưới):
Hãy trước tiên nhìn vào hộp màu đỏ trong hình ảnh (một giao dịch hợp lệ):
Người sở hữu ví mới đổi $10,000 và chuyển USDT vào một ví bắt đầu bằng 0x8F và kết thúc bằng f103.
Bây giờ, hãy kiểm tra hộp màu xanh (một giao dịch lừa đảo):
Ngay sau đó, hacker đã tạo ra một số giao dịch giả mạo. Thú vị thay, địa chỉ ví của hacker cũng bắt đầu bằng 0x8F và kết thúc bằng f103.
Hãy so sánh địa chỉ ví một cách cẩn thận hơn:
Địa chỉ thật của chủ ví là:
0x8F773C2E1bF81cbA8ee71CBb8d33249Be6e5f103
Các địa chỉ ví của hacker là:
0x8F7cCF79d497feDa14eD09F55d2c511001E5f103
0x8F776d5623F778Ea061efcA240912f9643fdf103
Bạn có nhận thấy vấn đề không? Bốn ký tự đầu tiên và bốn ký tự cuối cùng của những địa chỉ này giống nhau, khiến chúng trông gần như giống nhau khi nhìn nhanh. Nếu bạn sao chép và dán một địa chỉ trực tiếp từ lịch sử giao dịch mà không kiểm tra kỹ, bạn có thể dễ dàng gửi tiền trực tiếp cho kẻ hack.
Vậy, rõ ràng ví này đã bị mục tiêu của một hacker cố gắng lừa đảo tài sản. Hơn nữa, trang transaction hash xác nhận điều này — Transaction Action được đánh dấu là Fake_Phishing, không còn nghi ngờ gì nữa rằng đây là địa chỉ của một hacker. Xem hình ảnh dưới đây để tham khảo.
Mẹo Nhanh: Tại sao bạn không thể thấy giao dịch không hợp lệ hoặc chuyển khoản trị giá không? Làm thế nào để chuyển trình duyệt Ethereum sang tiếng Trung Quốc đơn giản?
Mặc định, Etherscan ẩn các giao dịch không hợp lệ và chuyển khoản giá trị không. Nếu bạn muốn xem chúng, chỉ cần vào trang cài đặt trên Etherscan và bật tùy chọn nâng cao. Tương tự, nếu bạn muốn sử dụng giao diện bằng tiếng Trung đơn giản, bạn cũng có thể điều chỉnh điều này trong cài đặt. Xem hình ảnh dưới đây để tham khảo. Ngoài ra, bạn cũng có thể sử dụng khám phá nhiều chuỗi bên thứ ba như Oklink, cũng hỗ trợ tiếng Trung đơn giản.
An ninh ví tiền là một điều cần được chú ý kỹ, đặc biệt là đối với các ví đang giữ tài sản quan trọng (trên 1 triệu đô la). Một ý tưởng tốt là phân phối tài sản của bạn vào các ví khác nhau dựa trên mục đích của chúng để tăng cường an toàn. Dưới đây là cách tôi cá nhân tổ chức các ví của mình thành các mức độ:
Cấp độ 1: Một ví lạnh được thiết lập trên điện thoại Apple, nghiêm ngặt dành cho việc lưu trữ dài hạn. Nó được giữ ngoại tuyến và không bao giờ được sử dụng cho bất kỳ giao dịch hoặc chuyển khoản nào. Tôi dự định giữ những tài sản này ít nhất 10 năm mà không chạm vào chúng. Nếu bạn muốn sử dụng ví lạnh cho giao dịch, bạn có thể xem xét mua các ví phần cứng nổi tiếng thông qua các kênh uy tín (như Trezor, Ledger, v.v.).
Hạng mục 2: Ví nóng dành cho số tiền lớn. Tôi sử dụng Trust Wallet và không cấp quyền cho bất kỳ ứng dụng phi tập trung nào. Ví này chỉ được sử dụng để chuyển tiền giữa các ví của tôi và rút hoặc chuyển tiền đến Binance.
Tier 3: Chục ví nhỏ, một số dùng cho mục đích kiểm tra (như tương tác với dự án mới để thử các tính năng của chúng hoặc đôi khi nhặt được airdrop), trong khi những ví khác được sử dụng để mua altcoin hoặc meme token (mặc dù trong những năm gần đây tôi không làm nhiều điều này). Mỗi ví chỉ chứa số tiền nhỏ, dao động từ vài trăm đến vài nghìn đô la. Tôi thoải mái hơn với việc cấp phép và chữ ký cho những ví này, và ngay cả khi một ví bị hack, cũng không quan trọng lắm. Quản lý tất cả những ví này có thể có vẻ phiền toái, nhưng đáng để làm vì sự an toàn được tăng thêm.
Tóm lại, mỗi người có sở thích riêng về cách quản lý ví của mình, tuỳ thuộc vào tình hình của họ. Người dùng tiền điện tử có kinh nghiệm thường thích giữ tài sản của mình trên chuỗi khối, nhưng đối với hầu hết những người mới tham gia, việc lưu trữ tài sản (dưới 100.000 đô la) trên các nền tảng lớn như Binance hoặc OKX thực sự an toàn hơn.
Bây giờ, hãy đi qua một số chiêu trò lừa đảo phổ biến:
Để bắt đầu, hãy giải thích một số khái niệm cơ bản: Khi bạn chuyển tiền mã thông báo trên Ethereum, thông thường bạn tương tác với hợp đồng thông minh của mã thông báo bằng cách sử dụng chức năng Chuyển hoặc chức năng Chuyển Từ. Chức năng Chuyển được sử dụng khi chủ sở hữu trực tiếp ủy quyền chuyển mã thông báo đến địa chỉ khác, trong khi Chuyển Từ cho phép một bên thứ ba chuyển mã thông báo từ một địa chỉ sang một địa chỉ khác.
Đây là cách mà một cuộc tấn công lừa đảo Giấy phép hoạt động:
Đầu tiên, kẻ tấn công lừa nạn nhân nhấp vào liên kết lừa đảo hoặc truy cập trang web giả mạo, khiến họ ký giao dịch ví (ngoài chuỗi).
Sau đó, kẻ tấn công sử dụng chức năng Permit để được ủy quyền.
Cuối cùng, kẻ tấn công gọi chức năng Transfer From để di chuyển tài sản của nạn nhân, hoàn thành cuộc tấn công lừa đảo.
Phương pháp lừa đảo này có một đặc điểm quan trọng: sau khi kẻ tấn công có quyền truy cập vào chữ ký ủy quyền của bạn, họ có thể thực hiện các hoạt động Cho phép và Chuyển từ. Điều quan trọng cần lưu ý là ủy quyền sẽ không xuất hiện trong lịch sử giao dịch trên chuỗi của nạn nhân, nhưng nó sẽ được hiển thị trong hoạt động địa chỉ của kẻ tấn công.
Thường thì, các loại tấn công lừa đảo chữ ký này chỉ xảy ra một lần, có nghĩa là chúng không tạo ra mối đe dọa lừa đảo tiếp theo. Nói một cách đơn giản: một cuộc tấn công lừa đảo chữ ký không thể đánh cắp cụm từ ghi nhớ của ví của bạn (hoặc khóa riêng tư). Mỗi lần cố gắng lừa đảo chỉ cho phép kẻ tấn công sử dụng quyền ủy quyền một lần, và chỉ ảnh hưởng đến mã thông báo và blockchain mà bạn đã ủy quyền (ví dụ, nếu bạn đã ủy quyền USDT, kẻ tấn công chỉ có thể lấy USDT của bạn). Nói cách khác, một chữ ký lừa đảo duy nhất chỉ cung cấp cho kẻ tấn công một cơ hội một lần, trừ khi bạn mắc sai lầm ký lại trong tương lai, tạo cơ hội cho họ để khai thác ví của bạn lần nữa.
(Image credit: bocaibocai@wzxznl)
Phương pháp lừa đảo này tương tự như cuộc tấn công Permit đã được đề cập trước đó, cả hai đều liên quan đến lừa đảo chữ ký ngoại chuỗi. Uniswap Permit2 là một hợp đồng thông minh được giới thiệu bởi Uniswap vào năm 2022. Theo Uniswap, đó là một hợp đồng cho phép token được thiết kế để cho phép quyền token được chia sẻ và quản lý trên các ứng dụng khác nhau, tạo ra trải nghiệm người dùng mượt mà, tiết kiệm chi phí và an toàn hơn. Nhiều dự án hiện đã tích hợp Permit2.
Gần đây, tôi đã đọc một số bài viết của bocaibocai (X@wzxznl) để khám phá sâu hơn về cơ chế tấn công lừa đảo Permit2. Đây là một tóm tắt nhanh:
Khi bạn muốn thực hiện một giao dịch hoán đổi trên một sàn giao dịch phi tập trung (DEX), quy trình truyền thống yêu cầu bạn phải ủy quyền cho DEX truy cập vào token của bạn và sau đó thực hiện giao dịch hoán đổi. Điều này thường đồng nghĩa với việc phải trả phí gas hai lần, điều này có thể gây bất tiện cho người dùng. Permit2 đơn giản hóa quy trình này bằng cách bỏ qua bước ủy quyền bổ sung, hiệu quả giảm thiểu chi phí tương tác và cải thiện trải nghiệm người dùng tổng thể.
Về cơ bản, Permit2 hoạt động như một trung gian giữa người dùng và dApps. Khi người dùng ủy quyền Permit2, bất kỳ dApp nào tích hợp với Permit2 đều có thể chia sẻ giới hạn ủy quyền đó. Điều này không chỉ giảm chi phí và tối ưu quy trình cho người dùng mà còn giúp dApps thu hút nhiều người dùng và thanh khoản hơn nhờ trải nghiệm tốt hơn.
Những gì ban đầu có vẻ như một tình huống đôi bên cùng có lợi cũng có thể trở thành một con dao hai lưỡi. Thông thường, cả quá trình ủy quyền và chuyển khoản quỹ đều liên quan đến các hoạt động trên chuỗi bởi người dùng. Nhưng với Permit2, tương tác của người dùng được giảm xuống chỉ là một chữ ký ngoài chuỗi, trong khi các trung gian như hợp đồng Permit2 hoặc các dự án được tích hợp với nó xử lý các hoạt động trên chuỗi. Thay đổi này mang lại lợi ích bằng cách giảm ma sát trên chuỗi cho người dùng, nhưng nó cũng mang lại những rủi ro. Chữ ký ngoài chuỗi là nơi mà người dùng thường giảm bớt sự cảnh giác của họ. Ví dụ, khi kết nối ví với một số dApp, người dùng sẽ được yêu cầu ký vào một cái gì đó, nhưng hầu hết không kiểm tra hoặc hiểu nội dung chữ ký một cách cẩn thận (mà thường trông giống như một đống mã). Sự thiếu cẩn trọng này có thể gây nguy hiểm.
Một vấn đề lớn khác là rằng Permit2 mặc định cho phép truy cập vào toàn bộ số dư token của bạn, bất kể bạn đổi lấy bao nhiêu. Trong khi các ví như MetaMask cho phép bạn thiết lập một giới hạn tùy chỉnh, hầu hết người dùng có lẽ chỉ cần nhấp vào “tối đa” hoặc sử dụng cài đặt mặc định. Mặc định cho Permit2 là sự ủy quyền không giới hạn, điều này đặc biệt nguy hiểm. Xem hình ảnh dưới đây để tham khảo.
Điều này có nghĩa là nếu bạn đã tương tác với Uniswap và cấp quyền cho hợp đồng Permit2, bạn sẽ dễ bị lừa đảo này.
Ví dụ, hãy xem Xiao Li đã sử dụng Uniswap và ủy quyền một số lượng không giới hạn USDT cho hợp đồng Permit2. Sau đó, trong quá trình giao dịch ví thông thường, Xiao Li vô tình rơi vào một chiếc bẫy lừa đảo liên quan đến Permit2. Một khi kẻ tấn công có chữ ký của Xiao Li, họ có thể sử dụng nó để thực hiện hai hoạt động quan trọng trên hợp đồng Permit2 - Permit và Transfer From - để đánh cắp tài sản của Xiao Li.
Đây là cách mà cuộc tấn công lừa đảo này hoạt động:
Trước khi bị tấn công lừa đảo, người dùng đã sử dụng Uniswap và cấp quyền cho hợp đồng Uniswap Permit2 (với sự cho phép không giới hạn theo mặc định).
Kẻ tấn công sau đó tạo một liên kết hoặc trang web lừa đảo giả mạo, lừa người dùng ký giao dịch. Khi chữ ký được bắt, hacker sẽ thu được tất cả thông tin họ cần (bước này tương tự như Permit phishing).
Sử dụng điều này, kẻ tấn công gọi hàm Permit trong hợp đồng Permit2, hoàn tất việc cấp quyền.
Cuối cùng, kẻ tấn công gọi hàm Transfer From trong hợp đồng Permit2 để chuyển tài sản của nạn nhân, hoàn thành cuộc tấn công lừa đảo.
Thường thì, các cuộc tấn công này liên quan đến nhiều địa chỉ nhận. Một số chỉ được sử dụng cho hoạt động lừa đảo (và có thể còn được tạo ra để trông giống địa chỉ của nạn nhân với các ký tự tương tự ở đầu và cuối), trong khi các địa chỉ khác thuộc về các nhóm lừa đảo tổ chức (ví dụ, các nhà cung cấp DaaS). Ngành công nghiệp lừa đảo mục tiêu các ví tiền điện tử dường như đã phát triển thành một thị trường ngầm đầy đủ. Xem hình ảnh dưới đây.
Bạn có thể bảo vệ bản thân khỏi các cuộc tấn công lừa đảo Permit và Permit2 như thế nào?
Một phương án là sử dụng các plugin bảo mật trình duyệt như Scamsniffer (Tôi đã sử dụng nó trên Google Chrome của tôi) để chặn các liên kết lừa đảo. Ngoài ra, bạn có thể kiểm tra định kỳ và thu hồi bất kỳ sự ủy quyền hoặc chữ ký nào không cần thiết hoặc đáng ngờ với các công cụ như Revoke Cash. Xem hình ảnh dưới đây để xem một ví dụ.
Bạn cũng có thể sử dụng một công cụ quản lý ủy quyền chuyên dụng từ Scamsniffer, được thiết kế đặc biệt cho Uniswap Permit2, để định kỳ xem xét lại các ủy quyền của bạn. Nếu có bất kỳ điều gì bất thường, việc thu hồi quyền truy cập ngay lập tức là rất quan trọng. Xem hình ảnh dưới đây.
Nói vậy, yếu tố quan trọng nhất là duy trì ý thức bảo mật mạnh mẽ. Tránh truy cập vào các trang web hoặc liên kết không rõ nguồn gốc và khi tương tác với dApps, luôn kiểm tra hai lần những gì bạn đang ủy quyền.
(Ảnh: bocaibocai@wzxznl)
Mẹo Nhanh: Làm thế nào để bạn biết được chữ ký ví là cho Permit hay Permit2?
Khi ký, bạn sẽ thấy một số chi tiết trong cửa sổ xác nhận ủy quyền. Bạn có thể nhận ra loại chữ ký bằng cách nhìn vào các trường chính như những gì được hiển thị trong hình ảnh dưới đây:
Chủ sở hữu (địa chỉ cấp phép); Người tiêu dùng (địa chỉ nhận phép); Giá trị (số tiền được phép); Số thứ tự (một số ngẫu nhiên duy nhất); Hạn chót (ngày hết hạn).
Loại lừa đảo này rất phổ biến. Ví dụ, nếu bạn thường xuyên duyệt trang X (trước đây là Twitter), bạn có thể gặp các tin nhắn cung cấp “free airdrops”. Đôi khi, bạn thậm chí có thể tìm thấy các NFT ngẫu nhiên rơi vào ví của bạn (có thể bao gồm liên kết trang web).
Nếu bạn nhấp vào một trang web lừa đảo và tiếp tục với một Claimhành động, tài sản trong ví của bạn có thể bị hacker đánh cắp ngay lập tức.
Làm thế nào để bảo vệ bản thân?
Đầu tiên, đừng tin vào những ưu đãi 'quá tốt để tin' (tránh nhấp vào các liên kết đáng ngờ hoặc chấp nhận NFT và airdrop miễn phí không rõ nguồn gốc). Thứ hai, luôn kiểm tra kỹ trang web bạn đang sử dụng để đảm bảo rằng đó là trang web chính thức và hợp lệ trước khi thực hiện bất kỳ hoạt động nào.
Vào ngày 3 tháng 5 năm nay, một cá voi crypto đã trở thành nạn nhân của một cuộc tấn công lừa đảo bằng cách sử dụng một địa chỉ tương tự, mất 1.155 WBTC (trị giá khoảng 70 triệu USD vào thời điểm đó).
SlowMist đã phân tích sự kiện này một cách chi tiết trước đây, vì vậy tôi sẽ không lặp lại chi tiết ở đây. Nếu bạn tò mò, bạn có thể xem lại vụ việc tại đây:
https://mp.weixin.qq.com/s/mQch5pEg1fmJsMbiOClwOg
Loại lừa đảo này khá đơn giản:
Đầu tiên, kẻ tấn công tạo ra một số lượng lớn địa chỉ lừa đảo gần giống với địa chỉ dự định của nạn nhân, thường khớp với 4 ký tự đầu và 6 ký tự cuối.
Tiếp theo, họ triển khai một chương trình theo lô để theo dõi hoạt động trên chuỗi của nạn nhân và sau đó tiến hành một cuộc tấn công lừa đảo bằng cách gửi một địa chỉ tương tự ngay trước giao dịch dự định.
Cuối cùng, khi nạn nhân thực hiện giao dịch, kẻ tấn công sử dụng địa chỉ có vẻ giống để gửi giao dịch ngay sau đó. Như vậy, địa chỉ lừa đảo xuất hiện trong lịch sử giao dịch của người dùng. Xem hình ảnh dưới đây.
Vì nhiều người dùng có thói quen sao chép chi tiết giao dịch từ lịch sử ví của họ, họ có thể nhìn thấy giao dịch lừa đảo gần như theo sau giao dịch của họ và không nhận ra họ đã sao chép sai địa chỉ. Mà không kiểm tra cẩn thận, họ có thể gửi nhầm 1.155 WBTC đến địa chỉ lừa đảo.
Làm thế nào để ngăn chặn điều này?
Đầu tiên, lưu các địa chỉ thường sử dụng trong sổ địa chỉ của ví của bạn (hoặc đưa chúng vào danh sách trắng), để lần sau, bạn có thể chọn đúng địa chỉ từ danh sách. Thứ hai, luôn kiểm tra lại địa chỉ đầy đủ trước khi chuyển tiền - đừng chỉ tin vào vài ký tự đầu hoặc cuối cùng. Khi thực hiện giao dịch lớn, nên gửi một giao dịch kiểm tra nhỏ trước để đảm bảo mọi thứ đều chính xác.
Các phương pháp Cho phép, Cho phép Uniswap2 và Yêu cầu được đề cập trước đó đều rơi vào lĩnh vực lừa đảo ủy quyền. Trên thực tế, có nhiều cách mà hacker có thể lợi dụng việc ủy quyền ví, chẳng hạn như với Phê duyệt (cấp quyền để một nền tảng như Uniswap sử dụng USDT của bạn) và Tăng Quyền Lực (nâng cao giới hạn về số tiền có thể chi tiêu).
Quá trình lừa đảo thường bao gồm kẻ tấn công thiết lập một liên kết hoặc trang web giả mạo hoặc thậm chí tấn công vào một trang web dự án chính thống và nhúng phần mềm độc hại, gây lừa đảo người dùng bằng cách nhấp chuột và cấp phép ví mà không biết.
Năm phương pháp lừa đảo được thảo luận chỉ là một số trong số những phương pháp phổ biến hơn. Hacker luôn tìm cách tạo ra những phương thức tấn công mới và sáng tạo. Như câu nói, "Hacker sẽ luôn đi trước một bước." Điều này có nghĩa là an ninh ví là một thách thức liên tục, và người dùng cần phải luôn cảnh giác.
Bài viết này được in lại từ [话李话外with title “你的钱包还安全吗?黑客是如何利用Permit、Uniswap Permit2、授权签名进行钓鱼的(Is your wallet safe? How hackers exploit Permit, Uniswap Permit2, and signatures for phishing.)”, All copyrights belong to the original author [话李话外]. If there are objections to this reprint, please contact the Gate Learn và họ sẽ xử lý kịp thời.
Liability Disclaimer: Quan điểm và ý kiến được thể hiện trong bài viết này chỉ thuộc về tác giả và không đại diện cho bất kỳ lời khuyên đầu tư nào.
Các bản dịch của bài viết sang các ngôn ngữ khác được thực hiện bởi nhóm Gate Learn. Trừ khi được đề cập Gate, việc sao chép, phân phối hoặc đạo văn các bài viết đã dịch là không được phép.
Tôi nhớ ai đó trong nhóm đã chia sẻ một câu nói khá thông minh: “Nếu bạn không biết ai tạo ra lợi nhuận, thì bạn chính là người tạo ra lợi nhuận đó.” Điều này thực sự gây đồng cảm với tôi. Nguyên tắc tương tự cũng áp dụng vào việc bảo mật khi sử dụng ví điện tử. Nếu bạn không chắc chắn về ý nghĩa của một hành động cụ thể, thì mỗi tương tác hoặc chữ ký trên chuỗi mà bạn thực hiện có thể gây rủi ro mất mát tài sản của ví của bạn.
Gần đây, Scam Sniffer đã công bố báo cáo lừa đảo giữa năm 2024: Chỉ trong nửa đầu năm nay, đã có 260.000 nạn nhân bị lừa đảo trên các chuỗi EVM (chuỗi dựa trên Ethereum), dẫn đến tổng thiệt hại lên tới 314 triệu đô la. Để có cái nhìn tổng quan, con số này đã vượt qua số tiền 295 triệu đô la bị mất do các cuộc tấn công lừa đảo trong cả năm 2023, và chỉ mất sáu tháng để đạt được con số này, như được thể hiện trong biểu đồ dưới đây.
Báo cáo nhấn mạnh rằng hầu hết các vụ mất cắp token ERC20 xảy ra từ việc ký hiệu lừa đảo, như Permit (ký hiệu ủy quyền ngoại tuyến), Increase Allowance (mở rộng giới hạn ủy quyền), và Uniswap Permit2. Các cuộc tấn công lừa đảo rõ ràng vẫn là một lỗ hổng quan trọng trong bảo mật trên chuỗi.
Vài ngày trước, một người bạn gặp phải vấn đề. Hai tháng trước, vào ngày 14 tháng 6, họ đã thực hiện ba lần chuyển khoản từ Ví Coinbase của họ đến Binance (chuyển khoản chuỗi Ethereum). Lần chuyển khoản đầu tiên đã thành công, nhưng hai lần chuyển khoản còn lại không bao giờ đến, và giờ đây đã là hai tháng. Điều gì có thể đã đi sai?
Tôi đã kiểm tra hồ sơ giao dịch trên Etherscan và chỉ tìm thấy một giao dịch, không có dấu vết của hai giao dịch khác, như được hiển thị trong hình ảnh dưới đây.
Nhìn kỹ hơn vào tất cả các giao dịch trên chuỗi từ ngày 14 tháng 6, tôi thấy ba lần cố gắng chuyển tiền, nhưng hai lần cuối bị đánh dấu là giao dịch thất bại, như được hiển thị trong hình ảnh dưới đây.
Sau đó tôi nhấp vào một trong những giao dịch thất bại (được đánh dấu là “Fail”) để xem điều gì đã sai. Tin nhắn lỗi nói rằng, “Gặp lỗi trong quá trình thực thi hợp đồng.” Theo tài liệu chính thức của Etherscan, loại lỗi này không dẫn đến mất tài sản từ ví. Trong những trường hợp như vậy, các token không bao giờ rời khỏi ví của người gửi, mặc dù phí gas vẫn bị trừ đi. Điều này được minh hoạ trong hình ảnh dưới đây.
Để giải quyết loại vấn đề này, cần xác nhận những điều sau:
-Kiểm tra xem tiền có thực sự được chuyển đi hay bị mất từ ví vào ngày đó (tức là nếu giao dịch thất bại không dẫn đến việc tiền trở về ví).
- Nếu xác nhận rằng tài sản đã được chuyển hoặc mất, bạn có thể cần liên hệ với bộ phận hỗ trợ khách hàng của nền tảng liên quan. Trong những trường hợp như vậy, tốt nhất là liên hệ với nền tảng có trách nhiệm gửi hoặc khởi tạo việc rút tiền, vì nền tảng hoặc địa chỉ nhận sẽ không thể giải quyết vấn đề.
Vì điều này, khuyến nghị thông thường của tôi là bạn nên giữ nhật ký giao dịch chi tiết, chẳng hạn như sử dụng Excel để theo dõi các giao dịch hàng ngày (mua / bán) và dòng tiền của bạn (thu nhập / chi phí). Bằng cách này, nếu có bất kỳ vấn đề nào phát sinh, bạn có thể so sánh nhật ký với các bản ghi giao dịch trên chuỗi để xác minh chéo. Tôi thực sự giữ một bản ghi như vậy, ghi lại mọi giao dịch một cách chi tiết. Tôi cũng thêm ghi chú về kinh nghiệm hoặc suy nghĩ của mình về một số giao dịch nhất định.
Đến thời điểm này, vấn đề có vẻ đã được hiểu rõ. Tuy nhiên, trong quá trình xem xét lịch sử giao dịch trên chuỗi khối, tôi phát hiện ra một vấn đề nghiêm trọng hơn với ví của người bạn này - nó đã bị nhắm mục tiêu bởi các hacker!
Chuyện gì đã xảy ra? Hãy nhìn kỹ hơn (như được hiển thị trong hình ảnh bên dưới):
Hãy trước tiên nhìn vào hộp màu đỏ trong hình ảnh (một giao dịch hợp lệ):
Người sở hữu ví mới đổi $10,000 và chuyển USDT vào một ví bắt đầu bằng 0x8F và kết thúc bằng f103.
Bây giờ, hãy kiểm tra hộp màu xanh (một giao dịch lừa đảo):
Ngay sau đó, hacker đã tạo ra một số giao dịch giả mạo. Thú vị thay, địa chỉ ví của hacker cũng bắt đầu bằng 0x8F và kết thúc bằng f103.
Hãy so sánh địa chỉ ví một cách cẩn thận hơn:
Địa chỉ thật của chủ ví là:
0x8F773C2E1bF81cbA8ee71CBb8d33249Be6e5f103
Các địa chỉ ví của hacker là:
0x8F7cCF79d497feDa14eD09F55d2c511001E5f103
0x8F776d5623F778Ea061efcA240912f9643fdf103
Bạn có nhận thấy vấn đề không? Bốn ký tự đầu tiên và bốn ký tự cuối cùng của những địa chỉ này giống nhau, khiến chúng trông gần như giống nhau khi nhìn nhanh. Nếu bạn sao chép và dán một địa chỉ trực tiếp từ lịch sử giao dịch mà không kiểm tra kỹ, bạn có thể dễ dàng gửi tiền trực tiếp cho kẻ hack.
Vậy, rõ ràng ví này đã bị mục tiêu của một hacker cố gắng lừa đảo tài sản. Hơn nữa, trang transaction hash xác nhận điều này — Transaction Action được đánh dấu là Fake_Phishing, không còn nghi ngờ gì nữa rằng đây là địa chỉ của một hacker. Xem hình ảnh dưới đây để tham khảo.
Mẹo Nhanh: Tại sao bạn không thể thấy giao dịch không hợp lệ hoặc chuyển khoản trị giá không? Làm thế nào để chuyển trình duyệt Ethereum sang tiếng Trung Quốc đơn giản?
Mặc định, Etherscan ẩn các giao dịch không hợp lệ và chuyển khoản giá trị không. Nếu bạn muốn xem chúng, chỉ cần vào trang cài đặt trên Etherscan và bật tùy chọn nâng cao. Tương tự, nếu bạn muốn sử dụng giao diện bằng tiếng Trung đơn giản, bạn cũng có thể điều chỉnh điều này trong cài đặt. Xem hình ảnh dưới đây để tham khảo. Ngoài ra, bạn cũng có thể sử dụng khám phá nhiều chuỗi bên thứ ba như Oklink, cũng hỗ trợ tiếng Trung đơn giản.
An ninh ví tiền là một điều cần được chú ý kỹ, đặc biệt là đối với các ví đang giữ tài sản quan trọng (trên 1 triệu đô la). Một ý tưởng tốt là phân phối tài sản của bạn vào các ví khác nhau dựa trên mục đích của chúng để tăng cường an toàn. Dưới đây là cách tôi cá nhân tổ chức các ví của mình thành các mức độ:
Cấp độ 1: Một ví lạnh được thiết lập trên điện thoại Apple, nghiêm ngặt dành cho việc lưu trữ dài hạn. Nó được giữ ngoại tuyến và không bao giờ được sử dụng cho bất kỳ giao dịch hoặc chuyển khoản nào. Tôi dự định giữ những tài sản này ít nhất 10 năm mà không chạm vào chúng. Nếu bạn muốn sử dụng ví lạnh cho giao dịch, bạn có thể xem xét mua các ví phần cứng nổi tiếng thông qua các kênh uy tín (như Trezor, Ledger, v.v.).
Hạng mục 2: Ví nóng dành cho số tiền lớn. Tôi sử dụng Trust Wallet và không cấp quyền cho bất kỳ ứng dụng phi tập trung nào. Ví này chỉ được sử dụng để chuyển tiền giữa các ví của tôi và rút hoặc chuyển tiền đến Binance.
Tier 3: Chục ví nhỏ, một số dùng cho mục đích kiểm tra (như tương tác với dự án mới để thử các tính năng của chúng hoặc đôi khi nhặt được airdrop), trong khi những ví khác được sử dụng để mua altcoin hoặc meme token (mặc dù trong những năm gần đây tôi không làm nhiều điều này). Mỗi ví chỉ chứa số tiền nhỏ, dao động từ vài trăm đến vài nghìn đô la. Tôi thoải mái hơn với việc cấp phép và chữ ký cho những ví này, và ngay cả khi một ví bị hack, cũng không quan trọng lắm. Quản lý tất cả những ví này có thể có vẻ phiền toái, nhưng đáng để làm vì sự an toàn được tăng thêm.
Tóm lại, mỗi người có sở thích riêng về cách quản lý ví của mình, tuỳ thuộc vào tình hình của họ. Người dùng tiền điện tử có kinh nghiệm thường thích giữ tài sản của mình trên chuỗi khối, nhưng đối với hầu hết những người mới tham gia, việc lưu trữ tài sản (dưới 100.000 đô la) trên các nền tảng lớn như Binance hoặc OKX thực sự an toàn hơn.
Bây giờ, hãy đi qua một số chiêu trò lừa đảo phổ biến:
Để bắt đầu, hãy giải thích một số khái niệm cơ bản: Khi bạn chuyển tiền mã thông báo trên Ethereum, thông thường bạn tương tác với hợp đồng thông minh của mã thông báo bằng cách sử dụng chức năng Chuyển hoặc chức năng Chuyển Từ. Chức năng Chuyển được sử dụng khi chủ sở hữu trực tiếp ủy quyền chuyển mã thông báo đến địa chỉ khác, trong khi Chuyển Từ cho phép một bên thứ ba chuyển mã thông báo từ một địa chỉ sang một địa chỉ khác.
Đây là cách mà một cuộc tấn công lừa đảo Giấy phép hoạt động:
Đầu tiên, kẻ tấn công lừa nạn nhân nhấp vào liên kết lừa đảo hoặc truy cập trang web giả mạo, khiến họ ký giao dịch ví (ngoài chuỗi).
Sau đó, kẻ tấn công sử dụng chức năng Permit để được ủy quyền.
Cuối cùng, kẻ tấn công gọi chức năng Transfer From để di chuyển tài sản của nạn nhân, hoàn thành cuộc tấn công lừa đảo.
Phương pháp lừa đảo này có một đặc điểm quan trọng: sau khi kẻ tấn công có quyền truy cập vào chữ ký ủy quyền của bạn, họ có thể thực hiện các hoạt động Cho phép và Chuyển từ. Điều quan trọng cần lưu ý là ủy quyền sẽ không xuất hiện trong lịch sử giao dịch trên chuỗi của nạn nhân, nhưng nó sẽ được hiển thị trong hoạt động địa chỉ của kẻ tấn công.
Thường thì, các loại tấn công lừa đảo chữ ký này chỉ xảy ra một lần, có nghĩa là chúng không tạo ra mối đe dọa lừa đảo tiếp theo. Nói một cách đơn giản: một cuộc tấn công lừa đảo chữ ký không thể đánh cắp cụm từ ghi nhớ của ví của bạn (hoặc khóa riêng tư). Mỗi lần cố gắng lừa đảo chỉ cho phép kẻ tấn công sử dụng quyền ủy quyền một lần, và chỉ ảnh hưởng đến mã thông báo và blockchain mà bạn đã ủy quyền (ví dụ, nếu bạn đã ủy quyền USDT, kẻ tấn công chỉ có thể lấy USDT của bạn). Nói cách khác, một chữ ký lừa đảo duy nhất chỉ cung cấp cho kẻ tấn công một cơ hội một lần, trừ khi bạn mắc sai lầm ký lại trong tương lai, tạo cơ hội cho họ để khai thác ví của bạn lần nữa.
(Image credit: bocaibocai@wzxznl)
Phương pháp lừa đảo này tương tự như cuộc tấn công Permit đã được đề cập trước đó, cả hai đều liên quan đến lừa đảo chữ ký ngoại chuỗi. Uniswap Permit2 là một hợp đồng thông minh được giới thiệu bởi Uniswap vào năm 2022. Theo Uniswap, đó là một hợp đồng cho phép token được thiết kế để cho phép quyền token được chia sẻ và quản lý trên các ứng dụng khác nhau, tạo ra trải nghiệm người dùng mượt mà, tiết kiệm chi phí và an toàn hơn. Nhiều dự án hiện đã tích hợp Permit2.
Gần đây, tôi đã đọc một số bài viết của bocaibocai (X@wzxznl) để khám phá sâu hơn về cơ chế tấn công lừa đảo Permit2. Đây là một tóm tắt nhanh:
Khi bạn muốn thực hiện một giao dịch hoán đổi trên một sàn giao dịch phi tập trung (DEX), quy trình truyền thống yêu cầu bạn phải ủy quyền cho DEX truy cập vào token của bạn và sau đó thực hiện giao dịch hoán đổi. Điều này thường đồng nghĩa với việc phải trả phí gas hai lần, điều này có thể gây bất tiện cho người dùng. Permit2 đơn giản hóa quy trình này bằng cách bỏ qua bước ủy quyền bổ sung, hiệu quả giảm thiểu chi phí tương tác và cải thiện trải nghiệm người dùng tổng thể.
Về cơ bản, Permit2 hoạt động như một trung gian giữa người dùng và dApps. Khi người dùng ủy quyền Permit2, bất kỳ dApp nào tích hợp với Permit2 đều có thể chia sẻ giới hạn ủy quyền đó. Điều này không chỉ giảm chi phí và tối ưu quy trình cho người dùng mà còn giúp dApps thu hút nhiều người dùng và thanh khoản hơn nhờ trải nghiệm tốt hơn.
Những gì ban đầu có vẻ như một tình huống đôi bên cùng có lợi cũng có thể trở thành một con dao hai lưỡi. Thông thường, cả quá trình ủy quyền và chuyển khoản quỹ đều liên quan đến các hoạt động trên chuỗi bởi người dùng. Nhưng với Permit2, tương tác của người dùng được giảm xuống chỉ là một chữ ký ngoài chuỗi, trong khi các trung gian như hợp đồng Permit2 hoặc các dự án được tích hợp với nó xử lý các hoạt động trên chuỗi. Thay đổi này mang lại lợi ích bằng cách giảm ma sát trên chuỗi cho người dùng, nhưng nó cũng mang lại những rủi ro. Chữ ký ngoài chuỗi là nơi mà người dùng thường giảm bớt sự cảnh giác của họ. Ví dụ, khi kết nối ví với một số dApp, người dùng sẽ được yêu cầu ký vào một cái gì đó, nhưng hầu hết không kiểm tra hoặc hiểu nội dung chữ ký một cách cẩn thận (mà thường trông giống như một đống mã). Sự thiếu cẩn trọng này có thể gây nguy hiểm.
Một vấn đề lớn khác là rằng Permit2 mặc định cho phép truy cập vào toàn bộ số dư token của bạn, bất kể bạn đổi lấy bao nhiêu. Trong khi các ví như MetaMask cho phép bạn thiết lập một giới hạn tùy chỉnh, hầu hết người dùng có lẽ chỉ cần nhấp vào “tối đa” hoặc sử dụng cài đặt mặc định. Mặc định cho Permit2 là sự ủy quyền không giới hạn, điều này đặc biệt nguy hiểm. Xem hình ảnh dưới đây để tham khảo.
Điều này có nghĩa là nếu bạn đã tương tác với Uniswap và cấp quyền cho hợp đồng Permit2, bạn sẽ dễ bị lừa đảo này.
Ví dụ, hãy xem Xiao Li đã sử dụng Uniswap và ủy quyền một số lượng không giới hạn USDT cho hợp đồng Permit2. Sau đó, trong quá trình giao dịch ví thông thường, Xiao Li vô tình rơi vào một chiếc bẫy lừa đảo liên quan đến Permit2. Một khi kẻ tấn công có chữ ký của Xiao Li, họ có thể sử dụng nó để thực hiện hai hoạt động quan trọng trên hợp đồng Permit2 - Permit và Transfer From - để đánh cắp tài sản của Xiao Li.
Đây là cách mà cuộc tấn công lừa đảo này hoạt động:
Trước khi bị tấn công lừa đảo, người dùng đã sử dụng Uniswap và cấp quyền cho hợp đồng Uniswap Permit2 (với sự cho phép không giới hạn theo mặc định).
Kẻ tấn công sau đó tạo một liên kết hoặc trang web lừa đảo giả mạo, lừa người dùng ký giao dịch. Khi chữ ký được bắt, hacker sẽ thu được tất cả thông tin họ cần (bước này tương tự như Permit phishing).
Sử dụng điều này, kẻ tấn công gọi hàm Permit trong hợp đồng Permit2, hoàn tất việc cấp quyền.
Cuối cùng, kẻ tấn công gọi hàm Transfer From trong hợp đồng Permit2 để chuyển tài sản của nạn nhân, hoàn thành cuộc tấn công lừa đảo.
Thường thì, các cuộc tấn công này liên quan đến nhiều địa chỉ nhận. Một số chỉ được sử dụng cho hoạt động lừa đảo (và có thể còn được tạo ra để trông giống địa chỉ của nạn nhân với các ký tự tương tự ở đầu và cuối), trong khi các địa chỉ khác thuộc về các nhóm lừa đảo tổ chức (ví dụ, các nhà cung cấp DaaS). Ngành công nghiệp lừa đảo mục tiêu các ví tiền điện tử dường như đã phát triển thành một thị trường ngầm đầy đủ. Xem hình ảnh dưới đây.
Bạn có thể bảo vệ bản thân khỏi các cuộc tấn công lừa đảo Permit và Permit2 như thế nào?
Một phương án là sử dụng các plugin bảo mật trình duyệt như Scamsniffer (Tôi đã sử dụng nó trên Google Chrome của tôi) để chặn các liên kết lừa đảo. Ngoài ra, bạn có thể kiểm tra định kỳ và thu hồi bất kỳ sự ủy quyền hoặc chữ ký nào không cần thiết hoặc đáng ngờ với các công cụ như Revoke Cash. Xem hình ảnh dưới đây để xem một ví dụ.
Bạn cũng có thể sử dụng một công cụ quản lý ủy quyền chuyên dụng từ Scamsniffer, được thiết kế đặc biệt cho Uniswap Permit2, để định kỳ xem xét lại các ủy quyền của bạn. Nếu có bất kỳ điều gì bất thường, việc thu hồi quyền truy cập ngay lập tức là rất quan trọng. Xem hình ảnh dưới đây.
Nói vậy, yếu tố quan trọng nhất là duy trì ý thức bảo mật mạnh mẽ. Tránh truy cập vào các trang web hoặc liên kết không rõ nguồn gốc và khi tương tác với dApps, luôn kiểm tra hai lần những gì bạn đang ủy quyền.
(Ảnh: bocaibocai@wzxznl)
Mẹo Nhanh: Làm thế nào để bạn biết được chữ ký ví là cho Permit hay Permit2?
Khi ký, bạn sẽ thấy một số chi tiết trong cửa sổ xác nhận ủy quyền. Bạn có thể nhận ra loại chữ ký bằng cách nhìn vào các trường chính như những gì được hiển thị trong hình ảnh dưới đây:
Chủ sở hữu (địa chỉ cấp phép); Người tiêu dùng (địa chỉ nhận phép); Giá trị (số tiền được phép); Số thứ tự (một số ngẫu nhiên duy nhất); Hạn chót (ngày hết hạn).
Loại lừa đảo này rất phổ biến. Ví dụ, nếu bạn thường xuyên duyệt trang X (trước đây là Twitter), bạn có thể gặp các tin nhắn cung cấp “free airdrops”. Đôi khi, bạn thậm chí có thể tìm thấy các NFT ngẫu nhiên rơi vào ví của bạn (có thể bao gồm liên kết trang web).
Nếu bạn nhấp vào một trang web lừa đảo và tiếp tục với một Claimhành động, tài sản trong ví của bạn có thể bị hacker đánh cắp ngay lập tức.
Làm thế nào để bảo vệ bản thân?
Đầu tiên, đừng tin vào những ưu đãi 'quá tốt để tin' (tránh nhấp vào các liên kết đáng ngờ hoặc chấp nhận NFT và airdrop miễn phí không rõ nguồn gốc). Thứ hai, luôn kiểm tra kỹ trang web bạn đang sử dụng để đảm bảo rằng đó là trang web chính thức và hợp lệ trước khi thực hiện bất kỳ hoạt động nào.
Vào ngày 3 tháng 5 năm nay, một cá voi crypto đã trở thành nạn nhân của một cuộc tấn công lừa đảo bằng cách sử dụng một địa chỉ tương tự, mất 1.155 WBTC (trị giá khoảng 70 triệu USD vào thời điểm đó).
SlowMist đã phân tích sự kiện này một cách chi tiết trước đây, vì vậy tôi sẽ không lặp lại chi tiết ở đây. Nếu bạn tò mò, bạn có thể xem lại vụ việc tại đây:
https://mp.weixin.qq.com/s/mQch5pEg1fmJsMbiOClwOg
Loại lừa đảo này khá đơn giản:
Đầu tiên, kẻ tấn công tạo ra một số lượng lớn địa chỉ lừa đảo gần giống với địa chỉ dự định của nạn nhân, thường khớp với 4 ký tự đầu và 6 ký tự cuối.
Tiếp theo, họ triển khai một chương trình theo lô để theo dõi hoạt động trên chuỗi của nạn nhân và sau đó tiến hành một cuộc tấn công lừa đảo bằng cách gửi một địa chỉ tương tự ngay trước giao dịch dự định.
Cuối cùng, khi nạn nhân thực hiện giao dịch, kẻ tấn công sử dụng địa chỉ có vẻ giống để gửi giao dịch ngay sau đó. Như vậy, địa chỉ lừa đảo xuất hiện trong lịch sử giao dịch của người dùng. Xem hình ảnh dưới đây.
Vì nhiều người dùng có thói quen sao chép chi tiết giao dịch từ lịch sử ví của họ, họ có thể nhìn thấy giao dịch lừa đảo gần như theo sau giao dịch của họ và không nhận ra họ đã sao chép sai địa chỉ. Mà không kiểm tra cẩn thận, họ có thể gửi nhầm 1.155 WBTC đến địa chỉ lừa đảo.
Làm thế nào để ngăn chặn điều này?
Đầu tiên, lưu các địa chỉ thường sử dụng trong sổ địa chỉ của ví của bạn (hoặc đưa chúng vào danh sách trắng), để lần sau, bạn có thể chọn đúng địa chỉ từ danh sách. Thứ hai, luôn kiểm tra lại địa chỉ đầy đủ trước khi chuyển tiền - đừng chỉ tin vào vài ký tự đầu hoặc cuối cùng. Khi thực hiện giao dịch lớn, nên gửi một giao dịch kiểm tra nhỏ trước để đảm bảo mọi thứ đều chính xác.
Các phương pháp Cho phép, Cho phép Uniswap2 và Yêu cầu được đề cập trước đó đều rơi vào lĩnh vực lừa đảo ủy quyền. Trên thực tế, có nhiều cách mà hacker có thể lợi dụng việc ủy quyền ví, chẳng hạn như với Phê duyệt (cấp quyền để một nền tảng như Uniswap sử dụng USDT của bạn) và Tăng Quyền Lực (nâng cao giới hạn về số tiền có thể chi tiêu).
Quá trình lừa đảo thường bao gồm kẻ tấn công thiết lập một liên kết hoặc trang web giả mạo hoặc thậm chí tấn công vào một trang web dự án chính thống và nhúng phần mềm độc hại, gây lừa đảo người dùng bằng cách nhấp chuột và cấp phép ví mà không biết.
Năm phương pháp lừa đảo được thảo luận chỉ là một số trong số những phương pháp phổ biến hơn. Hacker luôn tìm cách tạo ra những phương thức tấn công mới và sáng tạo. Như câu nói, "Hacker sẽ luôn đi trước một bước." Điều này có nghĩa là an ninh ví là một thách thức liên tục, và người dùng cần phải luôn cảnh giác.
Bài viết này được in lại từ [话李话外with title “你的钱包还安全吗?黑客是如何利用Permit、Uniswap Permit2、授权签名进行钓鱼的(Is your wallet safe? How hackers exploit Permit, Uniswap Permit2, and signatures for phishing.)”, All copyrights belong to the original author [话李话外]. If there are objections to this reprint, please contact the Gate Learn và họ sẽ xử lý kịp thời.
Liability Disclaimer: Quan điểm và ý kiến được thể hiện trong bài viết này chỉ thuộc về tác giả và không đại diện cho bất kỳ lời khuyên đầu tư nào.
Các bản dịch của bài viết sang các ngôn ngữ khác được thực hiện bởi nhóm Gate Learn. Trừ khi được đề cập Gate, việc sao chép, phân phối hoặc đạo văn các bài viết đã dịch là không được phép.