Lừa đảo chữ ký Web3: Phân tích logic cơ bản và hướng dẫn phòng ngừa
Gần đây, "lừa đảo bằng chữ ký" đã trở thành phương thức tấn công ưa thích của hacker trong Web3. Mặc dù các chuyên gia an ninh và công ty ví không ngừng giáo dục người dùng, nhưng hàng ngày vẫn có nhiều người rơi vào bẫy. Điều này chủ yếu là do hầu hết mọi người thiếu hiểu biết về cơ chế hoạt động của ví và ngưỡng học tập đối với những người không có kỹ thuật thì khá cao.
Để giúp nhiều người hiểu vấn đề này, bài viết sẽ phân tích logic cơ bản của lừa đảo chữ ký theo cách dễ hiểu.
Đầu tiên, chúng ta cần hiểu rằng khi sử dụng ví có hai thao tác cơ bản: "ký" và "tương tác". Nói đơn giản, ký xảy ra ngoài chuỗi và không cần phải trả phí Gas; trong khi tương tác xảy ra trên chuỗi và cần phải trả phí Gas.
Chữ ký thường được sử dụng để xác thực danh tính, chẳng hạn như đăng nhập ví hoặc kết nối với một DApp nào đó. Quá trình này sẽ không tạo ra bất kỳ thay đổi nào đối với dữ liệu blockchain, vì vậy không cần phải trả phí.
Tương tác liên quan đến các thao tác trên chuỗi thực tế. Lấy ví dụ về việc đổi token trên một DEX, bạn cần phải ủy quyền cho hợp đồng thông minh sử dụng token của bạn trước, sau đó mới thực hiện thao tác đổi. Cả hai bước này đều cần phải trả phí Gas.
Sau khi hiểu rõ sự khác biệt giữa chữ ký và tương tác, chúng ta hãy xem ba cách lừa đảo phổ biến: lừa đảo ủy quyền, lừa đảo chữ ký Permit và lừa đảo chữ ký Permit2.
Phishing ủy quyền đã lợi dụng cơ chế ủy quyền của hợp đồng thông minh. Kẻ tấn công thông qua việc giả mạo một trang web đẹp mắt, dụ dỗ người dùng nhấp vào các nút như "nhận airdrop", thực chất là để người dùng ủy quyền cho địa chỉ của kẻ tấn công thao tác các token của họ. Cách này cần phải trả phí Gas, vì vậy người dùng có thể sẽ cảnh giác hơn.
Việc lừa đảo bằng chữ ký Permit và Permit2 thì khó phòng ngừa hơn. Permit là một tính năng mở rộng của tiêu chuẩn ERC-20, cho phép người dùng ủy quyền cho người khác thao tác đồng token của mình thông qua chữ ký. Permit2 là một tính năng được triển khai bởi một DEX, nhằm đơn giản hóa quy trình thao tác cho người dùng. Cả hai hình thức lừa đảo này đều không yêu cầu người dùng phải trả phí Gas, vì vậy dễ khiến người ta mất cảnh giác hơn.
Tin tặc có thể giả mạo trang web, thay thế nút đăng nhập bằng yêu cầu chữ ký Permit hoặc Permit2. Khi người dùng ký, tin tặc có thể có quyền truy cập vào tài sản của người dùng.
Làm thế nào để phòng ngừa các cuộc tấn công lừa đảo này?
Nuôi dưỡng ý thức an toàn, mỗi khi sử dụng ví đều phải kiểm tra cẩn thận.
Tách biệt số tiền lớn với ví sử dụng hàng ngày để giảm thiểu tổn thất tiềm ẩn.
Học cách nhận diện định dạng chữ ký của Permit và Permit2, khi thấy nội dung sau đây cần đặc biệt cảnh giác:
Interactive:trang web tương tác
Chủ sở hữu:Địa chỉ của bên ủy quyền
Spender:Địa chỉ của bên được ủy quyền
Giá trị:số lượng ủy quyền
Nonce:số ngẫu nhiên
Hạn chót:thời gian hết hạn
Bằng cách hiểu các cơ chế và biện pháp phòng ngừa này, chúng ta có thể bảo vệ an toàn tài sản Web3 của mình tốt hơn.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
13 thích
Phần thưởng
13
3
Đăng lại
Chia sẻ
Bình luận
0/400
TopBuyerBottomSeller
· 08-13 04:01
Lại bị dính bẫy rồi, thua lỗ đến mức không còn gì cả.
Xem bản gốcTrả lời0
CommunitySlacker
· 08-13 04:00
Bị lừa mới hiểu, sẹo là người thầy tốt nhất.
Xem bản gốcTrả lời0
NestedFox
· 08-13 03:59
Lại đi làm khoa học phổ biến rồi, thà trực tiếp trình diễn thì hơn.
Phân tích toàn diện về tấn công lừa đảo chữ ký Web3: Phân tích nguyên lý và chiến lược phòng ngừa
Lừa đảo chữ ký Web3: Phân tích logic cơ bản và hướng dẫn phòng ngừa
Gần đây, "lừa đảo bằng chữ ký" đã trở thành phương thức tấn công ưa thích của hacker trong Web3. Mặc dù các chuyên gia an ninh và công ty ví không ngừng giáo dục người dùng, nhưng hàng ngày vẫn có nhiều người rơi vào bẫy. Điều này chủ yếu là do hầu hết mọi người thiếu hiểu biết về cơ chế hoạt động của ví và ngưỡng học tập đối với những người không có kỹ thuật thì khá cao.
Để giúp nhiều người hiểu vấn đề này, bài viết sẽ phân tích logic cơ bản của lừa đảo chữ ký theo cách dễ hiểu.
Đầu tiên, chúng ta cần hiểu rằng khi sử dụng ví có hai thao tác cơ bản: "ký" và "tương tác". Nói đơn giản, ký xảy ra ngoài chuỗi và không cần phải trả phí Gas; trong khi tương tác xảy ra trên chuỗi và cần phải trả phí Gas.
Chữ ký thường được sử dụng để xác thực danh tính, chẳng hạn như đăng nhập ví hoặc kết nối với một DApp nào đó. Quá trình này sẽ không tạo ra bất kỳ thay đổi nào đối với dữ liệu blockchain, vì vậy không cần phải trả phí.
Tương tác liên quan đến các thao tác trên chuỗi thực tế. Lấy ví dụ về việc đổi token trên một DEX, bạn cần phải ủy quyền cho hợp đồng thông minh sử dụng token của bạn trước, sau đó mới thực hiện thao tác đổi. Cả hai bước này đều cần phải trả phí Gas.
Sau khi hiểu rõ sự khác biệt giữa chữ ký và tương tác, chúng ta hãy xem ba cách lừa đảo phổ biến: lừa đảo ủy quyền, lừa đảo chữ ký Permit và lừa đảo chữ ký Permit2.
Phishing ủy quyền đã lợi dụng cơ chế ủy quyền của hợp đồng thông minh. Kẻ tấn công thông qua việc giả mạo một trang web đẹp mắt, dụ dỗ người dùng nhấp vào các nút như "nhận airdrop", thực chất là để người dùng ủy quyền cho địa chỉ của kẻ tấn công thao tác các token của họ. Cách này cần phải trả phí Gas, vì vậy người dùng có thể sẽ cảnh giác hơn.
Việc lừa đảo bằng chữ ký Permit và Permit2 thì khó phòng ngừa hơn. Permit là một tính năng mở rộng của tiêu chuẩn ERC-20, cho phép người dùng ủy quyền cho người khác thao tác đồng token của mình thông qua chữ ký. Permit2 là một tính năng được triển khai bởi một DEX, nhằm đơn giản hóa quy trình thao tác cho người dùng. Cả hai hình thức lừa đảo này đều không yêu cầu người dùng phải trả phí Gas, vì vậy dễ khiến người ta mất cảnh giác hơn.
Tin tặc có thể giả mạo trang web, thay thế nút đăng nhập bằng yêu cầu chữ ký Permit hoặc Permit2. Khi người dùng ký, tin tặc có thể có quyền truy cập vào tài sản của người dùng.
Làm thế nào để phòng ngừa các cuộc tấn công lừa đảo này?
Bằng cách hiểu các cơ chế và biện pháp phòng ngừa này, chúng ta có thể bảo vệ an toàn tài sản Web3 của mình tốt hơn.