Tác giả: Biteye, Nguồn: Tác giả Twitter @BiteyeCN
Vào ngày 28 tháng 9, một địa chỉ bị mất khoảng 32,33 triệu USD do một cuộc tấn công lừa đảo. Địa chỉ này được đồn đại là có liên quan đến ông trùm tiền điện tử Shenyu. Thật trùng hợp, vào ngày 11 tháng 10, tài sản fwDETH trị giá 35 triệu USD lại bị một nhóm lừa đảo đánh cắp. Chỉ trong nửa tháng, tài sản ảo với tổng giá trị hơn 470 triệu nhân dân tệ đã khó phục hồi do cho phép các cuộc tấn công lừa đảo chữ ký.
Tại sao chữ ký giấy phép câu cá lại mạnh mẽ như vậy? Ngay cả các ông lớn trong giới tiền tệ cũng lần lượt bị lừa?
Chữ ký cấp phép là gì?
Để hiểu phần giới thiệu về Chữ ký giấy phép, trước tiên bạn cần nắm vững quy tắc giao dịch của các loại tiền tệ ERC20: Tài khoản A có thể gọi chức năng phê duyệt để ủy quyền cho Tài khoản B vận hành mã thông báo được chỉ định và chỉ chủ sở hữu mã thông báo mới có thể gọi chức năng này .
Giấy phép là cơ chế sử dụng chữ ký ngoại tuyến để thực hiện ủy quyền, cho phép bạn bỏ qua bước phê duyệt mà không phải trả phí gas. Trong quá trình này, A ký trước B ngoài chuỗi và cung cấp chữ ký này cho B; sau đó B có thể sử dụng chữ ký này để thực hiện thao tác ủy quyền của A bằng cách gọi hàm cấp phép, cho phép B sử dụng transferFrom để chuyển mã thông báo.
Thông qua Giấy phép, A có thể chuyển mã thông báo mà không cần thực hiện bất kỳ giao dịch trực tuyến nào và hoạt động của giấy phép không giới hạn ở chủ sở hữu tài khoản. Giấy phép được chính thức giới thiệu trong đề xuất EIP-2612 của giao thức ERC20, cung cấp cho người dùng cách tương tác thuận tiện và tiết kiệm chi phí.
Chữ ký Permit được sử dụng như thế nào để thực hiện các cuộc tấn công lừa đảo?
Theo giới thiệu ở trên, khi người dùng nhầm lẫn vào một trang web lừa đảo và nhấp vào liên kết, hacker sẽ lấy được chữ ký sau đó sử dụng thông tin chữ ký để tải giấy phép lên chuỗi để kiểm soát và chuyển giao tài sản của người dùng.
Các bước tấn công: Vào website lừa đảo - Link ví trên website lừa đảo để ký - Hacker lấy được chữ ký và đánh cắp tài sản thông qua giấy phép
Ví dụ: sau đây là chữ ký độc hại của trang web lừa đảo: phần trên cùng của hình ảnh cho thấy đây là trang web lừa đảo zksync, chữ ký cấp phép bên dưới cho thấy ví (chủ sở hữu) đang ủy quyền cho một địa chỉ (người chi tiêu) và giá trị bên dưới là mã ủy quyền, số lượng xu, thời hạn là dấu thời gian, có giá trị cho đến thời điểm nhất định.
Cách tránh các cuộc tấn công lừa đảo chữ ký Permit
Cho phép các cuộc tấn công lừa đảo chữ ký không phải là hoàn toàn không thể ngăn chặn được và hầu hết người dùng bị tổn thất đã nhanh chóng mắc nhiều lỗi bảo mật.
Trước hết, người dùng nên phân biệt ví lưu trữ coin với ví tương tác với DeFi và kiểm tra cẩn thận URL trước khi liên kết ví, ký hoặc ủy quyền để đảm bảo rằng họ đã vào đúng trang web;
Một số trang web cũng có thể bị tin tặc thay thế hợp đồng một cách ác ý. Trước khi nhấp để ký hoặc ủy quyền, chúng ta nên đọc kỹ thông tin yêu cầu Chữ ký bật lên từ ví để đảm bảo rằng địa chỉ được ủy quyền hiện tại là chính xác và tài sản cũng như số tiền nằm trong tầm kiểm soát. ;
Cuối cùng, chúng tôi có thể sử dụng các plug-in bảo mật như @wallet_guard @realScamSniffer để giúp xác định các rủi ro bất thường và đôi khi sử dụng các công cụ ủy quyền như RevokeCash (https://revoke.cash) để kiểm tra xem có ủy quyền bất thường hay không. Đồng thời, bạn cũng có thể nhận được thông tin chữ ký dễ đọc hơn bằng cách chọn sử dụng các ví plug-in như @Rabby_io.
