1. Phân tích các kỹ thuật câu cá phổ biến

1. Cho phép lừa đảo chữ ký ngoại chuỗi

Permit là một chức năng mở rộng để ủy quyền theo tiêu chuẩn ERC-20. Đơn giản, bạn có thể ký để phê duyệt các địa chỉ khác để di chuyển Token của bạn. Nguyên tắc là bạn sử dụng chữ ký để cho biết rằng địa chỉ được ủy quyền có thể sử dụng token của bạn thông qua chữ ký này, sau đó địa chỉ được ủy quyền mang chữ ký của bạn để thực hiện tương tác permit trên chuỗi và có thể chuyển tài sản của bạn. Permit off-chain signature phishing thường được chia thành ba bước:

(1) Kẻ tấn công làm giả các liên kết lừa đảo hoặc trang web lừa đảo để thuyết phục người dùng đăng nhập thông qua ví (không tương tác hợp đồng, không trên chuỗi).

Đối tượng chữ ký: DAI/USDC/WETH và các token ERC20 khác (đây là DAI)

holder:// địa chỉ chữ ký

spender:// phisher address

nonce:0

expiry:1988064000 // Thời gian hết hạn

cho phép:đúng

Nếu được ký, kẻ lừa đảo sẽ thu được chữ ký (một khoảng thời gian của các giá trị r, s, v) được sử dụng để đánh cắp DAI/USDC/WETH và các token ERC20 khác (ở đây là DAI) từ nạn nhân. Khi kẻ lừa đảo tương tác với chức năng cho phép cần phải được sử dụng).

(2) Kẻ tấn công gọi chức năng cấp phép để hoàn thành việc xác thực.

https://etherscan.io/tx/0x1fe75ad73f19cc4c3b658889dae552bb90cf5cef402789d256ff7c3e091bb662

(3) Kẻ tấn công gọi hàm transferFrom để chuyển tài sản của nạn nhân và hoàn tất cuộc tấn công.

Để tôi trước tiên giải thích sự khác biệt giữa việc chuyển và chuyển từ. Khi chúng ta chuyển trực tiếp ERC20, thường chúng ta gọi hàm chuyển trong hợp đồng ERC20, và transferFrom thường được sử dụng khi ủy quyền một bên thứ ba để chuyển ERC20 trong ví của chúng ta đến địa chỉ khác.

https://etherscan.io/tx/0x9c02340896e238fc667c1d84fec78af99b1642c986fe3a81602903af498eb938

Giải thích bổ sung: Chữ ký này là chữ ký ngoại chuỗi không sử dụng Gas. Sau khi kẻ tấn công có được nó, anh ta sẽ thực hiện các tương tác permit và transferFrom trên chuỗi, vì vậy bản ghi ủy quyền không thể được nhìn thấy trong bản ghi trên chuỗi của địa chỉ của nạn nhân. Có thể nhìn thấy ở địa chỉ của kẻ tấn công. Nói chung, chữ ký này chỉ được sử dụng một lần và không tạo ra các rủi ro lừa đảo lặp lại hoặc liên tục.

2. Cho phép lừa đảo chữ ký off-chain

Permit2 là một hợp đồng thông minh được Uniswap ra mắt vào cuối năm 2022 để tiện lợi cho người dùng. Đó là một hợp đồng ủy quyền token cho phép việc ủy quyền token được chia sẻ và quản lý trong các Ứng dụng phiên bản khác nhau. Trong tương lai, khi càng có nhiều dự án được tích hợp với Permit2, hợp đồng Permit2 có thể đạt được trải nghiệm quản lý ủy quyền thống nhất hơn trong hệ sinh thái Ứng dụng phiên bản và tiết kiệm chi phí giao dịch của người dùng.

Trước khi xuất hiện Permit2, việc trao đổi token trên Uniswap yêu cầu phải xác thực (Approve) sau đó mới trao đổi (Swap), điều này yêu cầu hai thao tác và phí gas của hai giao dịch. Sau khi ra mắt Permit2, người dùng có thể ủy quyền tất cả các định mức của mình cho hợp đồng Permit2 của Uniswap cùng một lúc, và mỗi lần rút tiền sau này chỉ cần một chữ ký ngoại tuyến.

Mặc dù Permit2 cải thiện trải nghiệm người dùng, nhưng nó cũng bị tấn công lừa đảo nhắm vào chữ ký Permit2. Tương tự như lừa đảo chữ ký Permit ngoại tuyến, Permit2 cũng là lừa đảo chữ ký ngoại tuyến. Cuộc tấn công này chủ yếu được chia thành bốn bước:

(1) Điều kiện tiên quyết là ví của người dùng đã sử dụng Uniswap trước khi bị lừa đảo và ủy quyền giới hạn token cho hợp đồng Permit2 của Uniswap (Permit2 sẽ cho phép người dùng ủy quyền toàn bộ số dư token mặc định).

https://etherscan.io/tx/0xd8f0333b9e0db7175c38c37e490379bde5c83a916bdaa2b9d46ee6bff4412e8f

(2) Kẻ tấn công làm giả các liên kết lừa đảo hoặc các trang lừa đảo để thuyết phục người dùng ký. Kẻ tấn công lừa đảo thu thập thông tin chữ ký cần thiết, tương tự như lừa đảo chữ ký ngoại chuỗi.

(3) Kẻ tấn công gọi hàm cho phép của hợp đồng Permit2 để hoàn tất việc ủy quyền.

https://etherscan.io/tx/0xd8c3f55dfbc8b368134e6236b296563f506827bd5dc4d6c0df39851fd219d658

(4) Kẻ tấn công gọi hàm transferFrom của hợp đồng Permit2 để chuyển tài sản của nạn nhân ra ngoài và hoàn tất cuộc tấn công.

https://etherscan.io/tx/0xf6461e003a55f8ecbe919a47b3c0dc6d0f068e48a941658329e35dc703138486

Ghi chú bổ sung: Thông thường có nhiều địa chỉ nơi kẻ tấn công nhận tài sản. Thông thường một trong số các người nhận có số lượng lớn nhất là kẻ tấn công thực hiện lừa đảo, và các địa chỉ khác là địa chỉ đen cung cấp dịch vụ lừa đảo (như PinkDrainer, InfernoDrainer, AngelDrainer, v.v.).

3. eth_sign trên chuỗi dấu câu mù [钓鱼]

eth_sign là một phương pháp chữ ký mở có thể ký bất kỳ hash nào. Kẻ tấn công chỉ cần xây dựng bất kỳ dữ liệu độc hại nào cần được ký (như chuyển token, gọi hợp đồng, thu thập quyền, v.v.) và thuyết phục người dùng ký thông qua eth_sign. Cuộc tấn công có thể hoàn thành.

MetaMask sẽ cảnh báo rủi ro khi ký eth_sign. Ví Web3 như imToken và OneKey đã tắt chức năng này hoặc cung cấp cảnh báo rủi ro. Đề xuất tất cả các nhà sản xuất ví tắt phương pháp này để ngăn ngừa người dùng bị tấn công do thiếu nhận thức về bảo mật hoặc sự tích luỹ kỹ thuật cần thiết.

4. personal_sign/signTypedData on-chain signature phishing

personal_sign và signTypedData là các phương pháp chữ ký phổ biến. Thông thường người dùng cần kiểm tra kỹ xem người khởi xướng, tên miền, nội dung chữ ký, v.v. có an toàn hay không. Nếu có rủi ro, họ nên cực kỳ đề phòng.

Ngoài ra, nếu personal_sign và signTypedData được sử dụng như “chữ ký mù” như trên, người dùng sẽ không thể thấy được văn bản rõ ràng, điều này khiến việc sử dụng bởi các băng đảng lừa đảo trở nên dễ dàng, điều này cũng sẽ tăng nguy cơ lừa đảo.

5. Ủy quyền lừa đảo

Bằng cách tạo ra một trang web độc hại hoặc treo một con ngựa trên trang web chính thức của dự án, kẻ tấn công xúi dục người dùng xác nhận các hoạt động như setApprovalForAll, Approve, Tăng Phê Duyệt, và Tăng Phép, thu được quyền vận hành tài sản của người dùng, và thực hiện việc đánh cắp.

（1）setApprovalForAll

Ví dụ về sự cố lừa đảo PREMINT với một tệp js (https://s3-redwood-labs.premint.xyz/theme/js/boomerang.min.jstrên trang web dự án đã bị tiêm mã độc hại. Một tập tin js độc hạihttps://s3-redwood-labs-premint-xyz.com/cdn.min.js?v=1658050292559) sẽ được tạo ra một cách linh hoạt. Cuộc tấn công được khởi xướng bởi đoạn mã độc hại này.

Vì người dùng không phát hiện được rủi ro kịp thời, anh ấy đã xác nhận hoạt động setApprovalForAll và vô ý rò rỉ quyền ủy quyền cho tài sản, dẫn đến việc tài sản bị đánh cắp.

（2）Phê duyệt

Tương tự như setApprovalForAll, người dùng đã xác nhận hoạt động Approve, rò rỉ quyền ủy quyền cho tài sản, dẫn đến việc tài sản bị đánh cắp.

Phê duyệt sai ủy quyền:

https://etherscan.io/tx/0x4b0655a5b75a9c078653939101fffc1d08ff7e5c89b0695ca6db5998214353fa

Kẻ tấn công chuyển tài sản qua transferFrom:

https://etherscan.io/tx/0x0dedf25777ff5483bf71e70e031aacbaf50124f7ebb6804beb17aee2c15c33e8

Nguyên tắc tấn công của các chức năng Tăng Phê Duyệt và Tăng Phân Quyền tương tự như vậy. Theo mặc định, giới hạn trên của kẻ tấn công để vận hành các token địa chỉ của nạn nhân là 0. Tuy nhiên, sau khi được ủy quyền bởi hai chức năng này, kẻ tấn công tăng giới hạn cho các token địa chỉ của nạn nhân. giới hạn vận hành, và sau đó số lượng token có thể được chuyển giao.

(3) Tăng cường Phê duyệt

Tăng Cường Phê Duyệt Sai Ủy Quyền:

https://etherscan.io/tx/0x7ae694080e2ad007fd6fa25f9a22ca0bbbff4358b9bc84cc0a5ba7872118a223

Kẻ tấn công chuyển tài sản thông qua transferFrom:

https://etherscan.io/tx/0x15bc5516ed7490041904f1a4c594c33740060e0f0271cb89fe9ed43c974a7a69

（4）Tăng Phụ Cấp

Tăng phần quyền cho phép không hợp lệ:

https://etherscan.io/tx/0xbb4fe89c03d8321c5bfed612fb76f0756ac7e99c1efaf7c4d99d99f850d4de53

Kẻ tấn công chuyển tài sản qua transferFrom:

https://etherscan.io/tx/0xb91d7b1440745aa07409be36666bc291ecc661e424b21b855698d488949b920f

6. Địa chỉ lừa đảo ô nhiễm

Làm giả địa chỉ lừa đảo cũng là một trong những phương pháp lừa đảo phổ biến gần đây. Kẻ tấn công giám sát các giao dịch trên chuỗi và sau đó tạo ra các địa chỉ độc hại dựa trên địa chỉ của đối thủ trong các giao dịch lịch sử của người dùng mục tiêu. Thường thì 4 đến 6 chữ số đầu tiên và 4 đến 6 chữ số cuối cùng liên quan đến đối thủ chính xác. Cả hai địa chỉ đều giống nhau, và sau đó những địa chỉ giả mạo độc hại này được sử dụng để chuyển giao số tiền nhỏ hoặc token không đáng giá tới địa chỉ người dùng mục tiêu.

Nếu người dùng mục tiêu sao chép địa chỉ đối thủ từ lịch sử giao dịch để chuyển tiếp trong các giao dịch sau do vì thói quen cá nhân, rất có thể tài sản sẽ được chuyển nhầm vào địa chỉ độc hại do sơ suất.

Vào ngày 3 tháng 5 năm 2024, 1155WBTC, trị giá hơn 70 triệu đô la Mỹ, đã bị lừa đảo do phương pháp lừa đảo ô nhiễm của địa chỉ này.

Địa chỉ chính xác: 0xd9A1b0B1e1aE382DbDc898Ea68012FfcB2853a91

Địa chỉ độc hại: 0xd9A1C3788D81257612E2581A6ea0aDa244853a91

Giao dịch bình thường:

https://etherscan.io/tx/0xb18ab131d251f7429c56a2ae2b1b75ce104fe9e83315a0c71ccf2b20267683ac

Ô nhiễm địa chỉ:

https://etherscan.io/tx/0x87c6e5d56fea35315ba283de8b6422ad390b6b9d8d399d9b93a9051a3e11bf73

Giao dịch bị chuyển hướng sai:

https://etherscan.io/tx/0x3374abc5a9c766ba709651399b6e6162de97ca986abc23f423a9d893c8f5f570

7. Các phương pháp lừa đảo tinh vi hơn, sử dụng CREATE2 để qua mặt phát hiện bảo mật

Hiện nay, các ví điện tử và các plug-in bảo mật đã dần dần triển khai các lời nhắc rủi ro hình ảnh cho các danh sách đen lừa đảo và các phương pháp lừa đảo phổ biến, và cũng hiển thị thông tin chữ ký ngày càng đầy đủ hơn, nâng cao khả năng nhận biết các cuộc tấn công lừa đảo của người dùng thông thường. Tuy nhiên, công nghệ tấn công và phòng thủ luôn cạnh tranh với nhau và liên tục phát triển. Các phương pháp lừa đảo tinh vi hơn cũng liên tục xuất hiện, vì vậy chúng ta cần phải cảnh giác hơn. Sử dụng CREATE2 để bypass việc phát hiện danh sách đen của các ví điện tử và các plug-in bảo mật là một phương pháp tương đối phổ biến gần đây.

Create2 là một opcode được giới thiệu trong quá trình nâng cấp Ethereum 'Constantinople' cho phép người dùng tạo hợp đồng thông minh trên Ethereum. Opcode Create ban đầu tạo ra một địa chỉ mới dựa trên địa chỉ và nonce của người tạo. Create2 cho phép người dùng tính toán địa chỉ trước khi triển khai hợp đồng. Create2 là một công cụ rất mạnh mẽ cho các nhà phát triển Ethereum, cho phép tương tác hợp đồng tiên tiến và linh hoạt, tính toán trước địa chỉ hợp đồng dựa trên tham số, giao dịch ngoại chuỗi và triển khai linh hoạt và điều chỉnh các ứng dụng phân phối cụ thể.

Mặc dù Create2 mang lại lợi ích, nhưng cũng tạo ra các rủi ro bảo mật mới. Create2 có thể bị lạm dụng để tạo ra địa chỉ mới không có lịch sử giao dịch độc hại, vượt qua việc phát hiện danh sách đen ví và cảnh báo bảo mật. Khi một nạn nhân ký một giao dịch độc hại, kẻ tấn công có thể triển khai hợp đồng trên một địa chỉ đã được tính toán trước và chuyển tài sản của nạn nhân đến địa chỉ đó, và đây là một quá trình không thể đảo ngược.

Đặc điểm của cuộc tấn công này:

(1) Cho phép tạo địa chỉ hợp đồng dự đoán, khiến cho kẻ tấn công có thể lừa người dùng cho phép trước khi triển khai hợp đồng.

(2) Vì hợp đồng chưa được triển khai vào thời điểm cấp quyền, địa chỉ tấn công là một địa chỉ mới, và công cụ phát hiện không thể cung cấp cảnh báo sớm dựa trên danh sách đen lịch sử, điều này có mức độ che giấu cao hơn.

Đây là một ví dụ về lừa đảo sử dụng CREATE2:

https://etherscan.io/tx/0x83f6bfde97f2fe60d2a4a1f55f9c4ea476c9d87fa0fcd0c1c3592ad6a539ed14

Trong giao dịch này, nạn nhân đã chuyển sfrxETH trong địa chỉ đến địa chỉ độc hại (0x4D9f77), đó là một địa chỉ hợp đồng mới mà không có bản ghi giao dịch nào.

Nhưng khi bạn mở giao dịch tạo ra của hợp đồng này, bạn có thể thấy rằng hợp đồng đã hoàn thành một cuộc tấn công lừa đảo vào cùng một thời điểm khi nó được tạo ra, chuyển tài sản từ địa chỉ của nạn nhân.

https://etherscan.io/tx/0x77c79f9c865c64f76dc7f9dff978a0b8081dce72cab7c256ac52a764376f8e52

Nhìn vào việc thực hiện giao dịch này, bạn có thể thấy rằng 0x4d9f7773deb9cc44b34066f5e36a5ec98ac92d40 được tạo ra sau khi gọi CREATE2.

Ngoài ra, bằng cách phân tích các địa chỉ liên quan của PinkDrainer, có thể thấy rằng địa chỉ này đang tạo ra các địa chỉ hợp đồng mới để lừa đảo thông qua CREATE2 mỗi ngày.

https://etherscan.io/address/0x5d775caa7a0a56cd2d56a480b0f92e3900fe9722#internaltx

2. Dịch vụ câu cá

Các cuộc tấn công phishing đang trở nên ngày càng phổ biến, và do lợi nhuận bất hợp pháp khổng lồ, một chuỗi ngành công nghiệp đen dựa trên Drainer as a Service (DaaS) đã dần phát triển. Những cá nhân hoạt động nhiều nhất bao gồm Inferno/MS/Angel/Monkey/Venom/Pink/Pussy/Medusa, v.v., các tấn công phishing mua các dịch vụ DaaS này, nhanh chóng và với ngưỡng ngạch thấp, xây dựng hàng ngàn trang web lừa đảo, tài khoản giả mạo, v.v., như một tai họa lao vào ngành công nghiệp này, đe dọa đến an ninh của tài sản của người dùng.

Ví dụ, hãy xem Inferno Drainer, một băng nhóm lừa đảo nổi tiếng nhúng mã độc hại vào các trang web khác nhau. Ví dụ, họ phát tán seaport.js, coinbase.js và wallet-connect.js để ngụy trang thành các chức năng giao thức Web3 phổ biến (Seaport, WalletConnect và Coinbase) để thuyết phục người dùng tích hợp hoặc nhấp chuột. Sau khi nhận được xác nhận từ người dùng, họ sẽ tự động chuyển tài sản của người dùng tới địa chỉ của kẻ tấn công. Hơn 14.000 trang web chứa mã độc hại Seaport, hơn 5.500 trang web chứa mã độc hại WalletConnect, hơn 550 trang web chứa mã độc hại Coinbase, hơn 16.000 tên miền độc hại liên quan đến Inferno Drainer, và hơn 100 thương hiệu tiền điện tử đã bị ảnh hưởng. Dưới đây là một trang web lừa đảo liên quan đến Inferno Drainer.

Phần đầu trang của trang web chứa hai kịch bản độc hại, seaport.js và wallet-connect.js. Một đặc điểm điển hình khác của các trang web lừa đảo Inferno Drainer là người dùng không thể mở mã nguồn trang web bằng cách nhấp chuột phải, điều này làm cho những trang web lừa đảo này được che giấu hơn.

Dưới framework Phishing-as-a-Service, thường có 20% tài sản bị đánh cắp được chuyển tự động đến địa chỉ của tổ chức Inferno Drainer, với 80% còn lại được giữ bởi kẻ tấn công lừa đảo. Ngoài ra, Inferno Drainer thường xuyên cung cấp dịch vụ miễn phí để tạo và lưu trữ các trang web lừa đảo. Đôi khi các dịch vụ lừa đảo cũng yêu cầu một khoản phí là 30% số tiền bị lừa đảo. Những trang web lừa đảo này dành cho những người có thể thu hút nạn nhân đến thăm nhưng thiếu khả năng tạo ra và thiết kế bởi những kẻ tấn công lừa đảo có khả năng kỹ thuật để lưu trữ trang web hoặc đơn giản là không muốn thực hiện nhiệm vụ đó.

Vậy, làm sao mà kế hoạch lừa đảo DaaS này hoạt động? Dưới đây là mô tả từng bước của kế hoạch lừa đảo tiền điện tử của Inferno Drainer:

(1) Inferno Drainer quảng bá dịch vụ của họ thông qua một kênh Telegram có tên là Inferno Multichain Drainer, và đôi khi kẻ tấn công cũng truy cập vào dịch vụ thông qua trang web của Inferno Drainer.

(2) Kẻ tấn công thiết lập và tạo trang web lừa đảo của riêng mình thông qua chức năng dịch vụ DaaS, và lan truyền nó thông qua X (Twitter), Discord và các phương tiện truyền thông xã hội khác.

(3) Nạn nhân bị kích thích quét mã QR hoặc các phương pháp khác chứa trên các trang web lừa đảo này để kết nối ví của họ.

(4) Bộ lọc kiểm tra tài sản có giá trị nhất và dễ chuyển nhượng nhất của nạn nhân và khởi động giao dịch độc hại.

(5) Nạn nhân đã xác nhận giao dịch.

(6) Tài sản được chuyển cho tội phạm. Trong số tài sản bị đánh cắp, 20% đã được chuyển cho nhà phát triển Inferno Drainer và 80% cho những kẻ tấn công lừa đảo.

Dưới đây là trang dịch vụ DaaS nơi Inferno Drainer hiển thị cho khách hàng thống kê của họ: số kết nối (nếu nạn nhân đã kết nối ví với trang web lừa đảo), số lần nhấp chuột thành công (nếu nạn nhân đã xác nhận giao dịch), và giá trị của tài sản bị đánh cắp.

Mỗi khách hàng của dịch vụ DaaS có thể tùy chỉnh các chức năng Drainer của mình:

3. Đề Xuất Về An Toàn

(1) Trước hết, người dùng không nên nhấp vào các liên kết không rõ nguồn gốc đóng giả như tin tức tốt như phần thưởng, airdrops, v.v.;

(2) Số vụ tài khoản mạng xã hội chính thức bị đánh cắp đang tăng lên, và thông tin chính thức cũng có thể là thông tin lừa đảo, và thông tin chính thức không có nghĩa là hoàn toàn an toàn;

(3) Khi sử dụng ví tiền, DApps và các ứng dụng khác, bạn phải chú ý đến việc sàng lọc và cẩn trọng trước các trang web giả mạo và ứng dụng giả mạo;

(4) Bất kỳ giao dịch hoặc tin nhắn chữ ký nào cần xác nhận đều cần cẩn trọng, và cố gắng xác nhận lại mục tiêu, nội dung và thông tin khác. Từ chối ký mù quáng, luôn đề phòng, nghi ngờ mọi thứ, và đảm bảo mỗi bước thực hiện đều rõ ràng và an toàn.

(5) Ngoài ra, người dùng cần hiểu các phương pháp tấn công lừa đảo phổ biến được đề cập trong bài viết này và học cách xác định tính chất lừa đảo một cách chủ động. Thông thạo các chữ ký phổ biến, chức năng ủy quyền và các rủi ro của chúng, thông thạo Interactive (URL tương tác), Owner (địa chỉ tác giả), Spender (địa chỉ bên được ủy quyền), Value (số lượng được ủy quyền), Nonce (số ngẫu nhiên), Deadline (thời gian hết hạn), chuyển/chuyển từ (chuyển) và các nội dung trường khác.

Tuyên bố từ chối trách nhiệm：

1. Bài viết này được tái bản từ [GateForesightnews]. Tất cả bản quyền thuộc về tác giả gốc [SharkTeam]. Nếu có bất kỳ ý kiến phản đối nào về việc tái in này, vui lòng liên hệ với Gate Learnđội, và họ sẽ xử lý nhanh chóng.
2. Liability Disclaimer: Quan điểm và ý kiến được thể hiện trong bài viết này chỉ là của tác giả và không cấu thành bất kỳ lời khuyên đầu tư nào.
3. Bản dịch của bài viết ra các ngôn ngữ khác được thực hiện bởi nhóm Gate Learn. Trừ khi được nêu, việc sao chép, phân phối hoặc đạo văn bản dịch là không được phép.