Phân tích logic cơ bản của lừa đảo ký tên Web3

Gần đây, "lừa đảo chữ ký" đã trở thành một trong những phương thức lừa đảo phổ biến nhất của hackers trong Web3. Mặc dù các chuyên gia trong ngành không ngừng tuyên truyền kiến thức phòng ngừa, nhiều người dùng vẫn rơi vào bẫy. Điều này chủ yếu là do phần lớn mọi người thiếu hiểu biết về cơ chế tương tác ví và ngưỡng học tập cao đối với những người không có kỹ thuật.

Để giúp nhiều người hiểu vấn đề này hơn, chúng tôi sẽ giải thích chi tiết nguyên lý của lừa đảo chữ ký thông qua hình ảnh và cố gắng sử dụng ngôn ngữ đơn giản, dễ hiểu.

Đầu tiên, chúng ta cần hiểu rằng thao tác ví chủ yếu được chia thành hai loại: "ký" và "tương tác". Nói một cách đơn giản, ký xảy ra ngoài chuỗi (ngoài chuỗi), không cần phải trả phí Gas; trong khi tương tác xảy ra trên chuỗi (trên chuỗi), cần phải trả phí Gas.

Chữ ký thường được sử dụng để xác thực danh tính, chẳng hạn như đăng nhập vào ví hoặc kết nối với một ứng dụng phi tập trung (DApp). Quá trình này sẽ không thay đổi bất kỳ dữ liệu hoặc trạng thái nào trên blockchain, vì vậy không cần phải trả phí.

Tương tác liên quan đến các hoạt động trên blockchain thực tế. Chẳng hạn, khi bạn muốn thực hiện trao đổi token trên một DEX nào đó, bạn cần phải cấp quyền cho hợp đồng thông minh của DEX sử dụng token của bạn (được gọi là thao tác "approve"), sau đó mới thực hiện thao tác trao đổi thực tế. Cả hai bước này đều cần phải trả phí Gas.

Sau khi hiểu những khái niệm cơ bản này, hãy cùng xem xét ba phương pháp lừa đảo phổ biến: lừa đảo ủy quyền, lừa đảo chữ ký Permit và lừa đảo chữ ký Permit2.

1. Lừa đảo ủy quyền: Đây là một phương pháp câu cá cổ điển. Hacker sẽ tạo ra một trang web giả mạo như một dự án hợp pháp, dụ dỗ người dùng nhấp vào các nút như "nhận airdrop". Trên thực tế, sau khi người dùng nhấp vào, họ sẽ được yêu cầu ủy quyền token của mình cho địa chỉ của hacker. Vì thao tác này cần phải trả phí Gas, hiện tại nhiều người dùng khi gặp phải các thao tác cần phải chi tiền sẽ cẩn thận hơn, vì vậy phương pháp này tương đối dễ phòng ngừa.

2. Lừa đảo chữ ký Permit: Permit là một tính năng mở rộng của tiêu chuẩn ERC-20, cho phép người dùng phê duyệt người khác di chuyển token của mình thông qua chữ ký. Cách này không cần phải trả phí Gas trực tiếp, do đó dễ dàng khiến người dùng lơ là. Hacker có thể tạo ra các trang web lừa đảo, thay thế thao tác đăng nhập bình thường bằng yêu cầu chữ ký Permit, từ đó có quyền chuyển nhượng tài sản của người dùng.

3. Lừa đảo chữ ký Permit2: Permit2 là một tính năng được một số DEX giới thiệu nhằm nâng cao trải nghiệm người dùng. Nó cho phép người dùng ủy quyền một số tiền lớn một lần, sau đó chỉ cần ký tên là có thể thực hiện giao dịch, giúp tiết kiệm thời gian so với việc phải ủy quyền trước mỗi giao dịch. Tuy nhiên, điều này cũng tạo ra một con đường tấn công mới cho hacker. Nếu người dùng đã từng sử dụng DEX này và ủy quyền một số tiền không giới hạn, thì hacker chỉ cần lừa đảo một chữ ký để có thể chuyển nhượng tài sản của người dùng.

Để phòng ngừa các cuộc tấn công lừa đảo này, chúng tôi khuyên bạn:

1. Nâng cao nhận thức về an toàn, mỗi lần thực hiện thao tác ví đều phải kiểm tra kỹ lưỡng thao tác thực hiện.

2. Tách biệt quỹ lớn và ví sử dụng hàng ngày để giảm thiểu tổn thất tiềm ẩn.

3. Học cách nhận diện định dạng chữ ký của Permit và Permit2. Nếu thấy yêu cầu chữ ký chứa thông tin sau đây, hãy đặc biệt cảnh giác:

   • Interactive（交互网址）
   • Chủ sở hữu（Địa chỉ bên ủy quyền）
   • Spender (địa chỉ được ủy quyền)
   • Giá trị（số lượng ủy quyền）
   • Nonce (số ngẫu nhiên)
   • Thời hạn (过期时间)

Bằng cách hiểu nguyên lý và phương pháp phòng ngừa của những kỹ thuật lừa đảo này, chúng ta có thể bảo vệ an toàn tài sản kỹ thuật số của mình tốt hơn. Trong thế giới Web3, việc giữ cảnh giác và học hỏi liên tục là vô cùng quan trọng.