Gần đây, "lừa đảo bằng chữ ký" đã trở thành một trong những phương thức lừa đảo được các hacker Web3 ưa chuộng nhất. Mặc dù các chuyên gia trong ngành và nhiều công ty ví điện tử, an toàn liên tục tiến hành tuyên truyền kiến thức, vẫn có rất nhiều người dùng rơi vào bẫy. Một trong những lý do chính gây ra tình trạng này là hầu hết mọi người thiếu hiểu biết về cơ chế tương tác của ví, và đối với những người không phải là kỹ thuật viên, ngưỡng học tập khá cao.
Để giúp nhiều người hiểu vấn đề này hơn, chúng tôi sẽ cố gắng giải thích logic cơ bản của lừa đảo chữ ký theo cách dễ hiểu.
Đầu tiên, chúng ta cần hiểu rằng khi sử dụng ví có hai thao tác chính: "ký" và "tương tác". Nói một cách đơn giản, ký xảy ra bên ngoài blockchain (ngoài chuỗi), không cần phải trả phí Gas; trong khi tương tác xảy ra trên blockchain (trong chuỗi), cần phải trả phí Gas.
Chữ ký thường được sử dụng để xác thực danh tính, chẳng hạn như đăng nhập vào ví. Khi bạn muốn thực hiện hoán đổi token trên một DEX, bạn cần kết nối ví trước, và lúc này bạn cần chữ ký để chứng minh bạn là chủ sở hữu của ví đó. Quá trình này sẽ không tạo ra bất kỳ dữ liệu hoặc trạng thái thay đổi nào trên blockchain, vì vậy không cần phải trả phí.
Giao dịch xảy ra khi thực hiện việc trao đổi token. Bạn cần phải trả một khoản phí trước, thông báo cho hợp đồng thông minh: "Tôi cho phép bạn sử dụng 100 USDT của tôi", bước này được gọi là ủy quyền (approve). Sau đó, bạn cũng cần phải trả một khoản phí nữa, thông báo cho hợp đồng thông minh: "Bây giờ hãy thực hiện thao tác trao đổi", để hoàn tất giao dịch.
Sau khi hiểu sự khác biệt giữa chữ ký và tương tác, chúng ta sẽ giới thiệu ba phương thức lừa đảo phổ biến: lừa đảo ủy quyền, lừa đảo chữ ký Permit và lừa đảo chữ ký Permit2.
Phishing ủy quyền là một trong những hình thức lừa đảo kinh điển nhất trong Web3. Tin tặc sẽ tạo ra một trang web lừa đảo giả mạo dự án NFT, dụ dỗ người dùng nhấp vào nút "Nhận airdrop". Trên thực tế, giao diện ví bật lên sau khi người dùng nhấp vào đang ủy quyền cho địa chỉ của tin tặc sử dụng token của người dùng. Một khi người dùng xác nhận, tin tặc sẽ thành công trong việc đánh cắp tài sản.
Tuy nhiên, lừa đảo ủy quyền có một điểm yếu: do cần phải trả phí Gas, nhiều người dùng sẽ cẩn thận hơn khi thực hiện các giao dịch liên quan đến tiền, vì vậy tương đối dễ để phòng ngừa.
Việc ký xác nhận Permit và Permit2 là một điểm nóng về an toàn tài sản Web3 hiện nay. Hai phương thức này khó phòng ngừa vì người dùng phải ký để đăng nhập vào ví khi sử dụng DApp. Nhiều người đã hình thành tư duy "hành động này là an toàn", cộng thêm việc không cần phải trả phí, và hầu hết mọi người không hiểu ý nghĩa của từng chữ ký.
Cơ chế Permit là một chức năng mở rộng của quyền được cấp dưới tiêu chuẩn ERC-20. Nói một cách đơn giản, bạn có thể ký tên để cho người khác sử dụng token của bạn. Khác với quyền được cấp (Approve), Permit là bạn ký trên một "tờ giấy", cho phép ai đó sử dụng token của bạn. Người nắm giữ "tờ giấy" này có thể thanh toán phí Gas cho hợp đồng thông minh, thông báo cho hợp đồng: "Anh ấy cho phép tôi sử dụng token của anh ấy", từ đó chuyển nhượng tài sản của bạn. Trong quá trình này, bạn chỉ ký tên, nhưng thực ra đã cho phép người khác gọi quyền được cấp (Approve) và chuyển token của bạn.
Permit2 không phải là chức năng của ERC-20, mà là tính năng do một số DEX đưa ra để thuận tiện cho người dùng. Nó cho phép người dùng cấp quyền một lần cho hợp đồng thông minh Permit2 với số tiền lớn, sau đó mỗi lần giao dịch chỉ cần ký tên, không cần cấp quyền lại. Điều này có thể tiết kiệm phí Gas cho người dùng, nhưng cũng làm tăng rủi ro an ninh.
Để phòng ngừa lừa đảo qua chữ ký, chúng ta có thể thực hiện các biện pháp sau:
Nuôi dưỡng ý thức an toàn, mỗi lần thực hiện thao tác ví đều phải kiểm tra kỹ nội dung thao tác.
Tách biệt quỹ lớn và ví sử dụng hàng ngày để giảm thiểu tổn thất tiềm ẩn.
Học cách nhận diện định dạng chữ ký của Permit và Permit2. Khi bạn thấy chữ ký chứa thông tin sau, hãy cẩn thận:
Tương tác:Trang web tương tác
Owner:Địa chỉ người ủy quyền
Spender:Địa chỉ bên được ủy quyền
Giá trị:Số lượng được ủy quyền
Nonce:số ngẫu nhiên
Deadline:Thời hạn
Bằng cách hiểu những logic cơ bản này và thực hiện các biện pháp phòng ngừa tương ứng, chúng ta có thể bảo vệ an toàn tài sản Web3 của mình tốt hơn.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
7 thích
Phần thưởng
7
4
Chia sẻ
Bình luận
0/400
MetaverseLandlord
· 07-19 17:06
Ngồi trong tù không bằng bò đầy trên chuỗi
Xem bản gốcTrả lời0
pumpamentalist
· 07-19 16:56
Cuốn đi đồng coin của bạn chỉ cần một chữ ký
Xem bản gốcTrả lời0
MonkeySeeMonkeyDo
· 07-19 16:50
người mới vẫn không nên chơi với chữ ký nữa..
Xem bản gốcTrả lời0
faded_wojak.eth
· 07-19 16:47
Người mới chơi, ngày nào cũng bị lừa, mọi người nhanh chóng chia sẻ một số mẹo nhỏ.
Giải thích về lừa đảo ký Web3: Cạm bẫy và chiến lược phòng ngừa cho ủy quyền, Permit và Permit2
Phân tích logic cơ bản của lừa đảo ký Web3
Gần đây, "lừa đảo bằng chữ ký" đã trở thành một trong những phương thức lừa đảo được các hacker Web3 ưa chuộng nhất. Mặc dù các chuyên gia trong ngành và nhiều công ty ví điện tử, an toàn liên tục tiến hành tuyên truyền kiến thức, vẫn có rất nhiều người dùng rơi vào bẫy. Một trong những lý do chính gây ra tình trạng này là hầu hết mọi người thiếu hiểu biết về cơ chế tương tác của ví, và đối với những người không phải là kỹ thuật viên, ngưỡng học tập khá cao.
Để giúp nhiều người hiểu vấn đề này hơn, chúng tôi sẽ cố gắng giải thích logic cơ bản của lừa đảo chữ ký theo cách dễ hiểu.
Đầu tiên, chúng ta cần hiểu rằng khi sử dụng ví có hai thao tác chính: "ký" và "tương tác". Nói một cách đơn giản, ký xảy ra bên ngoài blockchain (ngoài chuỗi), không cần phải trả phí Gas; trong khi tương tác xảy ra trên blockchain (trong chuỗi), cần phải trả phí Gas.
Chữ ký thường được sử dụng để xác thực danh tính, chẳng hạn như đăng nhập vào ví. Khi bạn muốn thực hiện hoán đổi token trên một DEX, bạn cần kết nối ví trước, và lúc này bạn cần chữ ký để chứng minh bạn là chủ sở hữu của ví đó. Quá trình này sẽ không tạo ra bất kỳ dữ liệu hoặc trạng thái thay đổi nào trên blockchain, vì vậy không cần phải trả phí.
Giao dịch xảy ra khi thực hiện việc trao đổi token. Bạn cần phải trả một khoản phí trước, thông báo cho hợp đồng thông minh: "Tôi cho phép bạn sử dụng 100 USDT của tôi", bước này được gọi là ủy quyền (approve). Sau đó, bạn cũng cần phải trả một khoản phí nữa, thông báo cho hợp đồng thông minh: "Bây giờ hãy thực hiện thao tác trao đổi", để hoàn tất giao dịch.
Sau khi hiểu sự khác biệt giữa chữ ký và tương tác, chúng ta sẽ giới thiệu ba phương thức lừa đảo phổ biến: lừa đảo ủy quyền, lừa đảo chữ ký Permit và lừa đảo chữ ký Permit2.
Phishing ủy quyền là một trong những hình thức lừa đảo kinh điển nhất trong Web3. Tin tặc sẽ tạo ra một trang web lừa đảo giả mạo dự án NFT, dụ dỗ người dùng nhấp vào nút "Nhận airdrop". Trên thực tế, giao diện ví bật lên sau khi người dùng nhấp vào đang ủy quyền cho địa chỉ của tin tặc sử dụng token của người dùng. Một khi người dùng xác nhận, tin tặc sẽ thành công trong việc đánh cắp tài sản.
Tuy nhiên, lừa đảo ủy quyền có một điểm yếu: do cần phải trả phí Gas, nhiều người dùng sẽ cẩn thận hơn khi thực hiện các giao dịch liên quan đến tiền, vì vậy tương đối dễ để phòng ngừa.
Việc ký xác nhận Permit và Permit2 là một điểm nóng về an toàn tài sản Web3 hiện nay. Hai phương thức này khó phòng ngừa vì người dùng phải ký để đăng nhập vào ví khi sử dụng DApp. Nhiều người đã hình thành tư duy "hành động này là an toàn", cộng thêm việc không cần phải trả phí, và hầu hết mọi người không hiểu ý nghĩa của từng chữ ký.
Cơ chế Permit là một chức năng mở rộng của quyền được cấp dưới tiêu chuẩn ERC-20. Nói một cách đơn giản, bạn có thể ký tên để cho người khác sử dụng token của bạn. Khác với quyền được cấp (Approve), Permit là bạn ký trên một "tờ giấy", cho phép ai đó sử dụng token của bạn. Người nắm giữ "tờ giấy" này có thể thanh toán phí Gas cho hợp đồng thông minh, thông báo cho hợp đồng: "Anh ấy cho phép tôi sử dụng token của anh ấy", từ đó chuyển nhượng tài sản của bạn. Trong quá trình này, bạn chỉ ký tên, nhưng thực ra đã cho phép người khác gọi quyền được cấp (Approve) và chuyển token của bạn.
Permit2 không phải là chức năng của ERC-20, mà là tính năng do một số DEX đưa ra để thuận tiện cho người dùng. Nó cho phép người dùng cấp quyền một lần cho hợp đồng thông minh Permit2 với số tiền lớn, sau đó mỗi lần giao dịch chỉ cần ký tên, không cần cấp quyền lại. Điều này có thể tiết kiệm phí Gas cho người dùng, nhưng cũng làm tăng rủi ro an ninh.
Để phòng ngừa lừa đảo qua chữ ký, chúng ta có thể thực hiện các biện pháp sau:
Nuôi dưỡng ý thức an toàn, mỗi lần thực hiện thao tác ví đều phải kiểm tra kỹ nội dung thao tác.
Tách biệt quỹ lớn và ví sử dụng hàng ngày để giảm thiểu tổn thất tiềm ẩn.
Học cách nhận diện định dạng chữ ký của Permit và Permit2. Khi bạn thấy chữ ký chứa thông tin sau, hãy cẩn thận:
Bằng cách hiểu những logic cơ bản này và thực hiện các biện pháp phòng ngừa tương ứng, chúng ta có thể bảo vệ an toàn tài sản Web3 của mình tốt hơn.