Chữ ký bị đánh cắp? Khám phá trò lừa bịp chữ ký Uniswap Permit2
Tin tặc là một sự hiện diện đáng sợ trong hệ sinh thái Web3. Đối với các dự án, việc mã nguồn mở có nghĩa là bất kỳ lỗi nào cũng có thể bị lợi dụng, và hậu quả của các sự cố bảo mật là rất nghiêm trọng. Đối với người dùng cá nhân, việc không hiểu ý nghĩa của các thao tác có thể dẫn đến việc tài sản bị đánh cắp. Tính không thể đảo ngược của blockchain khiến cho tài sản bị đánh cắp rất khó để thu hồi, vì vậy kiến thức về an toàn đặc biệt quan trọng.
Gần đây, một phương pháp lừa đảo mới đang trở nên phổ biến, chỉ cần ký tên là có thể bị đánh cắp, phương pháp này rất kín đáo và khó phòng ngừa. Những địa chỉ đã từng tương tác với một DEX nào đó đều có thể đối mặt với rủi ro. Bài viết này sẽ phổ cập về phương pháp lừa đảo ký tên này, nhằm tránh tổn thất tài sản nhiều hơn.
Sự việc bắt nguồn từ việc tài sản của một người bạn ( nhỏ A ) bị đánh cắp. Khác với những cách bị đánh cắp phổ biến, nhỏ A không tiết lộ khóa riêng và cũng không tương tác với hợp đồng lừa đảo. Cuộc điều tra phát hiện rằng USDT của nhỏ A đã được chuyển qua hàm Transfer From, có nghĩa là một địa chỉ khác đã thực hiện việc chuyển Token.
Chìa khóa quan trọng là:
Một địa chỉ chuyển tài sản của A nhỏ đến địa chỉ khác
Tương tác với hợp đồng Permit2 của một DEX nào đó
Nghi vấn là địa chỉ này đã có được quyền tài sản như thế nào, và tại sao lại liên quan đến một DEX nào đó.
Cuộc điều tra sâu hơn cho thấy, trước khi chuyển nhượng tài sản, địa chỉ này đã thực hiện thao tác Permit, và đối tượng tương tác đều là hợp đồng Permit2 của một DEX nào đó. Permit2 là hợp đồng mới mà DEX này ra mắt vào cuối năm 2022, nhằm mục đích thực hiện việc quản lý chia sẻ ủy quyền Token giữa các ứng dụng.
Mục tiêu của Permit2 là đơn giản hóa quy trình tương tác của người dùng, giảm chi phí Gas. Trong cách truyền thống, người dùng phải cấp phép riêng cho từng Dapp, trong khi Permit2 có thể bỏ qua bước này. Nó đóng vai trò là trung gian giữa người dùng và Dapp, người dùng chỉ cần cấp phép cho Permit2, tất cả các Dapp đã được tích hợp có thể chia sẻ quyền truy cập.
Cách này mặc dù nâng cao trải nghiệm người dùng, nhưng cũng mang lại rủi ro. Permit2 biến các thao tác của người dùng thành chữ ký ngoại tuyến, tất cả các thao tác trên chuỗi được thực hiện bởi các nhân vật trung gian. Điều này cho phép người dùng ngay cả khi không có ETH cũng có thể sử dụng các Token khác để thanh toán Gas hoặc do các nhân vật trung gian đảm nhận.
Tuy nhiên, ký tên ngoài chuỗi là một khâu dễ bị bỏ qua nhất. Nhiều người dùng khi kết nối với Dapp không kiểm tra kỹ nội dung ký tên, đây chính là chỗ nguy hiểm nhất.
Chìa khóa của sự kiện nhỏ A nằm ở hàm Permit. Hàm này cho phép người dùng ký trước "hợp đồng", ủy quyền cho người khác sử dụng Token của mình trong tương lai. Chỉ cần nhận được chữ ký của người dùng, kẻ tấn công có thể chuyển nhượng hạn mức Token mà người dùng đã ủy quyền cho Permit2.
Cần lưu ý rằng một số DEX yêu cầu cấp phép không giới hạn theo mặc định trong Permit2. Điều này có nghĩa là người dùng tương tác với DEX này và cấp phép Permit2 sau năm 2023 có thể đối mặt với rủi ro.
Lời khuyên phòng ngừa:
Học cách nhận diện định dạng chữ ký Permit
Tách biệt lưu trữ tài sản và ví tương tác
Giới hạn số tiền cấp quyền cho Permit2 hoặc hủy quyền kịp thời
Tìm hiểu xem Token mà bạn sở hữu có hỗ trợ chức năng permit hay không
Xây dựng kế hoạch cứu trợ tài sản hoàn thiện
Khi phạm vi ứng dụng Permit2 mở rộng, các phương pháp lừa đảo liên quan có thể gia tăng. Cách lừa đảo ký tên này cực kỳ kín đáo và khó phòng ngừa, số địa chỉ bị phơi bày trước rủi ro sẽ ngày càng nhiều. Hy vọng độc giả có thể truyền bá thông tin này đến nhiều người hơn, tránh tổn thất tài sản nhiều hơn.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Mối đe dọa lừa đảo ký tên mới: Rủi ro ủy quyền Permit2 và hướng dẫn phòng ngừa
Chữ ký bị đánh cắp? Khám phá trò lừa bịp chữ ký Uniswap Permit2
Tin tặc là một sự hiện diện đáng sợ trong hệ sinh thái Web3. Đối với các dự án, việc mã nguồn mở có nghĩa là bất kỳ lỗi nào cũng có thể bị lợi dụng, và hậu quả của các sự cố bảo mật là rất nghiêm trọng. Đối với người dùng cá nhân, việc không hiểu ý nghĩa của các thao tác có thể dẫn đến việc tài sản bị đánh cắp. Tính không thể đảo ngược của blockchain khiến cho tài sản bị đánh cắp rất khó để thu hồi, vì vậy kiến thức về an toàn đặc biệt quan trọng.
Gần đây, một phương pháp lừa đảo mới đang trở nên phổ biến, chỉ cần ký tên là có thể bị đánh cắp, phương pháp này rất kín đáo và khó phòng ngừa. Những địa chỉ đã từng tương tác với một DEX nào đó đều có thể đối mặt với rủi ro. Bài viết này sẽ phổ cập về phương pháp lừa đảo ký tên này, nhằm tránh tổn thất tài sản nhiều hơn.
Sự việc bắt nguồn từ việc tài sản của một người bạn ( nhỏ A ) bị đánh cắp. Khác với những cách bị đánh cắp phổ biến, nhỏ A không tiết lộ khóa riêng và cũng không tương tác với hợp đồng lừa đảo. Cuộc điều tra phát hiện rằng USDT của nhỏ A đã được chuyển qua hàm Transfer From, có nghĩa là một địa chỉ khác đã thực hiện việc chuyển Token.
Chìa khóa quan trọng là:
Nghi vấn là địa chỉ này đã có được quyền tài sản như thế nào, và tại sao lại liên quan đến một DEX nào đó.
Cuộc điều tra sâu hơn cho thấy, trước khi chuyển nhượng tài sản, địa chỉ này đã thực hiện thao tác Permit, và đối tượng tương tác đều là hợp đồng Permit2 của một DEX nào đó. Permit2 là hợp đồng mới mà DEX này ra mắt vào cuối năm 2022, nhằm mục đích thực hiện việc quản lý chia sẻ ủy quyền Token giữa các ứng dụng.
Mục tiêu của Permit2 là đơn giản hóa quy trình tương tác của người dùng, giảm chi phí Gas. Trong cách truyền thống, người dùng phải cấp phép riêng cho từng Dapp, trong khi Permit2 có thể bỏ qua bước này. Nó đóng vai trò là trung gian giữa người dùng và Dapp, người dùng chỉ cần cấp phép cho Permit2, tất cả các Dapp đã được tích hợp có thể chia sẻ quyền truy cập.
Cách này mặc dù nâng cao trải nghiệm người dùng, nhưng cũng mang lại rủi ro. Permit2 biến các thao tác của người dùng thành chữ ký ngoại tuyến, tất cả các thao tác trên chuỗi được thực hiện bởi các nhân vật trung gian. Điều này cho phép người dùng ngay cả khi không có ETH cũng có thể sử dụng các Token khác để thanh toán Gas hoặc do các nhân vật trung gian đảm nhận.
Tuy nhiên, ký tên ngoài chuỗi là một khâu dễ bị bỏ qua nhất. Nhiều người dùng khi kết nối với Dapp không kiểm tra kỹ nội dung ký tên, đây chính là chỗ nguy hiểm nhất.
Chìa khóa của sự kiện nhỏ A nằm ở hàm Permit. Hàm này cho phép người dùng ký trước "hợp đồng", ủy quyền cho người khác sử dụng Token của mình trong tương lai. Chỉ cần nhận được chữ ký của người dùng, kẻ tấn công có thể chuyển nhượng hạn mức Token mà người dùng đã ủy quyền cho Permit2.
Cần lưu ý rằng một số DEX yêu cầu cấp phép không giới hạn theo mặc định trong Permit2. Điều này có nghĩa là người dùng tương tác với DEX này và cấp phép Permit2 sau năm 2023 có thể đối mặt với rủi ro.
Lời khuyên phòng ngừa:
Khi phạm vi ứng dụng Permit2 mở rộng, các phương pháp lừa đảo liên quan có thể gia tăng. Cách lừa đảo ký tên này cực kỳ kín đáo và khó phòng ngừa, số địa chỉ bị phơi bày trước rủi ro sẽ ngày càng nhiều. Hy vọng độc giả có thể truyền bá thông tin này đến nhiều người hơn, tránh tổn thất tài sản nhiều hơn.