Chữ ký bị đánh cắp? Khám phá trò lừa bịp chữ ký Uniswap Permit2
Tin tặc là một sự hiện diện đáng sợ trong hệ sinh thái Web3. Đối với các dự án, tính chất mã nguồn mở khiến họ phải cẩn trọng như đi trên băng, luôn lo sợ viết sai một dòng mã sẽ để lại lỗ hổng. Một khi xảy ra sự cố an ninh, hậu quả thật khó mà gánh vác.
Đối với người dùng cá nhân, nếu không hiểu rõ ý nghĩa của các thao tác mình đang thực hiện, mỗi lần tương tác trên chuỗi hoặc ký tên có thể dẫn đến việc tài sản bị đánh cắp. Do đó, vấn đề an toàn luôn là một trong những vấn đề khó khăn nhất trong thế giới tiền điện tử. Vì đặc điểm của blockchain, một khi tài sản bị đánh cắp gần như không thể lấy lại, vì vậy việc có kiến thức an toàn trong thế giới tiền điện tử là vô cùng quan trọng.
Gần đây, một nhà nghiên cứu đã phát hiện ra một phương pháp lừa đảo mới hoạt động trong gần hai tháng qua. Phương pháp này chỉ cần một chữ ký là có thể dẫn đến việc tài sản bị đánh cắp, vô cùng tinh vi và khó phòng ngừa. Thậm chí tồi tệ hơn, các địa chỉ từng tương tác với một DEX đều có thể phải đối mặt với rủi ro. Bài viết này sẽ giải thích về phương pháp lừa đảo chữ ký này để tránh cho nhiều người dùng bị thiệt hại tài sản.
Câu chuyện bắt đầu từ một sự kiện tài sản bị đánh cắp của một người bạn ( nhỏ A ). Khác với những trường hợp bị đánh cắp thường thấy, nhỏ A không tiết lộ khóa riêng, cũng không tương tác với hợp đồng nghi ngờ. Qua trình duyệt blockchain có thể thấy, USDT trong ví nhỏ A đã được chuyển đi thông qua hàm Transfer From. Điều này có nghĩa là một địa chỉ khác đã thao tác để chuyển Token đi, chứ không phải do rò rỉ khóa riêng của ví.
Chi tiết giao dịch hiển thị:
Một địa chỉ đã chuyển tài sản của A nhỏ đến một địa chỉ khác
Hành động này tương tác với hợp đồng Permit2 của một DEX nào đó.
Vấn đề quan trọng là, địa chỉ này đã nhận được quyền truy cập vào tài sản nhỏ A như thế nào? Tại sao lại liên quan đến một DEX nào đó?
Để gọi hàm Transfer From, điều kiện tiên quyết là bên gọi cần có quyền hạn mức của Token đó (approve). Trước khi chuyển đi tài sản của A nhỏ tại địa chỉ đó, cũng đã thực hiện một thao tác Permit, đối tượng tương tác của hai thao tác này đều là hợp đồng Permit2 của một DEX nào đó.
Hợp đồng Permit2 của một DEX là hợp đồng thông minh mới được sàn giao dịch này ra mắt vào cuối năm 2022. Nó cho phép ủy quyền token để chia sẻ và quản lý trong các ứng dụng khác nhau, nhằm tạo ra trải nghiệm người dùng đồng nhất hơn, tiết kiệm chi phí hơn và an toàn hơn. Trong tương lai, khi nhiều dự án tích hợp Permit2 hơn, nó hy vọng sẽ đạt được tiêu chuẩn hóa việc phê duyệt Token trong tất cả các ứng dụng, từ đó giảm chi phí giao dịch và cải thiện trải nghiệm người dùng.
Trong phương thức tương tác truyền thống, người dùng mỗi lần tương tác với DApp đều cần phải cấp phép riêng. Trong khi đó, Permit2 đóng vai trò là trung gian giữa người dùng và DApp, người dùng chỉ cần cấp phép Token cho hợp đồng Permit2, tất cả các DApp tích hợp hợp đồng này có thể chia sẻ hạn mức cấp phép này. Điều này đã giảm đáng kể chi phí tương tác của người dùng và nâng cao trải nghiệm.
Tuy nhiên, Permit2 cũng là một con dao hai lưỡi. Nó biến các thao tác của người dùng thành chữ ký ngoại tuyến, tất cả các thao tác trên chuỗi được thực hiện bởi một vai trò trung gian. Lợi ích mang lại là, ngay cả khi ví của người dùng không có ETH, họ vẫn có thể sử dụng các Token khác để thanh toán phí Gas hoặc được vai trò trung gian hoàn trả. Nhưng chữ ký ngoại tuyến chính là khâu mà người dùng dễ dàng bỏ qua nhất.
Để kích hoạt trò lừa bịp chữ ký Permit2 này, điều kiện tiên quyết là ví cần có Token được ủy quyền cho hợp đồng Permit2 của một DEX nào đó. Hiện tại, chỉ cần thực hiện Swap trên DApp tích hợp với Permit2 hoặc trên DEX đó, đều cần phải thực hiện việc ủy quyền này. Điều đáng lo ngại hơn là, bất kể số tiền Swap là bao nhiêu, hợp đồng Permit2 sẽ mặc định cho phép người dùng ủy quyền toàn bộ số dư của Token đó.
Điều này có nghĩa là, chỉ cần bạn đã tương tác với DEX này sau năm 2023 và ủy quyền cho hợp đồng Permit2, bạn có thể phải đối mặt với rủi ro từ trò lừa bịp này. Tin tặc lợi dụng hàm Permit, thông qua chữ ký của bạn, chuyển đổi hạn mức Token mà bạn đã ủy quyền cho hợp đồng Permit2 sang địa chỉ khác. Một khi có được chữ ký của bạn, họ có thể chuyển đổi tài sản trong ví của bạn.
Hiện tại quan sát thấy, một hợp đồng Permit2 của某DEX đã trở thành "thiên đường" của những kẻ lừa đảo, việc lừa đảo bằng chữ ký Permit2 dường như chỉ mới bắt đầu hoạt động cách đây hai tháng. Trong các bản ghi tương tác hợp đồng, phần lớn đều là các địa chỉ lừa đảo đã được đánh dấu, liên tục có người bị mắc lừa.
Xem xét rằng hợp đồng Permit2 có thể trở nên phổ biến hơn trong tương lai, nhiều dự án có thể tích hợp nó để chia sẻ quyền hạn, dưới đây là một số gợi ý phòng ngừa hiệu quả:
Học cách nhận biết định dạng chữ ký Permit. Thông thường bao gồm các thông tin quan trọng như Owner, Spender, value, nonce và deadline. Sử dụng plugin bảo mật có thể giúp nhận diện.
Tách biệt sử dụng ví tài sản và ví giao dịch. Lưu trữ tài sản lớn trong ví lạnh, ví giao dịch hàng ngày chỉ lưu giữ một lượng nhỏ tiền, có thể giảm thiểu đáng kể thiệt hại do lừa đảo.
Cẩn thận ủy quyền hạn mức hợp đồng Permit2. Khi thực hiện Swap, chỉ ủy quyền số tiền cần thiết. Mặc dù việc cần phải ủy quyền lại mỗi lần tương tác sẽ làm tăng chi phí, nhưng có thể tránh được việc bị lừa đảo chữ ký Permit2. Đã ủy quyền có thể được hủy bỏ thông qua plugin an toàn.
Tìm hiểu xem token có hỗ trợ chức năng permit hay không. Chú ý đến những token bạn đang nắm giữ có hỗ trợ chức năng này không, nếu có thì cần phải cẩn thận hơn, kiểm tra kỹ từng chữ ký không rõ.
Xây dựng kế hoạch cứu trợ tài sản hoàn chỉnh. Nếu gặp phải trò lừa bịp nhưng vẫn còn token trên các nền tảng khác, cần cẩn thận rút và chuyển khoản. Có thể xem xét việc sử dụng chuyển MEV hoặc tìm kiếm sự trợ giúp của đội ngũ an ninh chuyên nghiệp, để tránh bị hacker lần nữa chặn lại.
Trong tương lai, việc lừa đảo dựa trên Permit2 có thể ngày càng gia tăng. Phương thức lừa đảo bằng chữ ký kiểu này cực kỳ tinh vi và khó phòng ngừa. Khi phạm vi ứng dụng của Permit2 mở rộng, số địa chỉ bị rủi ro cũng sẽ tăng lên. Hy vọng độc giả có thể lan truyền những thông tin này, giúp nhiều người hơn tránh khỏi tổn thất.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
10 thích
Phần thưởng
10
5
Đăng lại
Chia sẻ
Bình luận
0/400
LeverageAddict
· 08-08 15:56
Lại một lần nữa chữ ký bị đánh cắp rồi, thật là tức tối.
Xem bản gốcTrả lời0
wagmi_eventually
· 08-08 15:54
Đừng ký nữa, bẫy lại đến rồi...
Xem bản gốcTrả lời0
rug_connoisseur
· 08-08 15:51
Trước khi ký, hãy suy nghĩ kỹ, đừng tham lam những lợi ích nhỏ.
Xem bản gốcTrả lời0
DaoGovernanceOfficer
· 08-08 15:45
*thở dài* lại một lỗ hổng nữa mà các nguyên tắc thiết kế giao thức cơ bản có thể đã ngăn chặn...
Cảnh giác với việc lừa đảo chữ ký Permit2 mới, bảo vệ bảo mật tài sản của người dùng DEX
Chữ ký bị đánh cắp? Khám phá trò lừa bịp chữ ký Uniswap Permit2
Tin tặc là một sự hiện diện đáng sợ trong hệ sinh thái Web3. Đối với các dự án, tính chất mã nguồn mở khiến họ phải cẩn trọng như đi trên băng, luôn lo sợ viết sai một dòng mã sẽ để lại lỗ hổng. Một khi xảy ra sự cố an ninh, hậu quả thật khó mà gánh vác.
Đối với người dùng cá nhân, nếu không hiểu rõ ý nghĩa của các thao tác mình đang thực hiện, mỗi lần tương tác trên chuỗi hoặc ký tên có thể dẫn đến việc tài sản bị đánh cắp. Do đó, vấn đề an toàn luôn là một trong những vấn đề khó khăn nhất trong thế giới tiền điện tử. Vì đặc điểm của blockchain, một khi tài sản bị đánh cắp gần như không thể lấy lại, vì vậy việc có kiến thức an toàn trong thế giới tiền điện tử là vô cùng quan trọng.
Gần đây, một nhà nghiên cứu đã phát hiện ra một phương pháp lừa đảo mới hoạt động trong gần hai tháng qua. Phương pháp này chỉ cần một chữ ký là có thể dẫn đến việc tài sản bị đánh cắp, vô cùng tinh vi và khó phòng ngừa. Thậm chí tồi tệ hơn, các địa chỉ từng tương tác với một DEX đều có thể phải đối mặt với rủi ro. Bài viết này sẽ giải thích về phương pháp lừa đảo chữ ký này để tránh cho nhiều người dùng bị thiệt hại tài sản.
Câu chuyện bắt đầu từ một sự kiện tài sản bị đánh cắp của một người bạn ( nhỏ A ). Khác với những trường hợp bị đánh cắp thường thấy, nhỏ A không tiết lộ khóa riêng, cũng không tương tác với hợp đồng nghi ngờ. Qua trình duyệt blockchain có thể thấy, USDT trong ví nhỏ A đã được chuyển đi thông qua hàm Transfer From. Điều này có nghĩa là một địa chỉ khác đã thao tác để chuyển Token đi, chứ không phải do rò rỉ khóa riêng của ví.
Chi tiết giao dịch hiển thị:
Vấn đề quan trọng là, địa chỉ này đã nhận được quyền truy cập vào tài sản nhỏ A như thế nào? Tại sao lại liên quan đến một DEX nào đó?
Để gọi hàm Transfer From, điều kiện tiên quyết là bên gọi cần có quyền hạn mức của Token đó (approve). Trước khi chuyển đi tài sản của A nhỏ tại địa chỉ đó, cũng đã thực hiện một thao tác Permit, đối tượng tương tác của hai thao tác này đều là hợp đồng Permit2 của một DEX nào đó.
Hợp đồng Permit2 của một DEX là hợp đồng thông minh mới được sàn giao dịch này ra mắt vào cuối năm 2022. Nó cho phép ủy quyền token để chia sẻ và quản lý trong các ứng dụng khác nhau, nhằm tạo ra trải nghiệm người dùng đồng nhất hơn, tiết kiệm chi phí hơn và an toàn hơn. Trong tương lai, khi nhiều dự án tích hợp Permit2 hơn, nó hy vọng sẽ đạt được tiêu chuẩn hóa việc phê duyệt Token trong tất cả các ứng dụng, từ đó giảm chi phí giao dịch và cải thiện trải nghiệm người dùng.
Trong phương thức tương tác truyền thống, người dùng mỗi lần tương tác với DApp đều cần phải cấp phép riêng. Trong khi đó, Permit2 đóng vai trò là trung gian giữa người dùng và DApp, người dùng chỉ cần cấp phép Token cho hợp đồng Permit2, tất cả các DApp tích hợp hợp đồng này có thể chia sẻ hạn mức cấp phép này. Điều này đã giảm đáng kể chi phí tương tác của người dùng và nâng cao trải nghiệm.
Tuy nhiên, Permit2 cũng là một con dao hai lưỡi. Nó biến các thao tác của người dùng thành chữ ký ngoại tuyến, tất cả các thao tác trên chuỗi được thực hiện bởi một vai trò trung gian. Lợi ích mang lại là, ngay cả khi ví của người dùng không có ETH, họ vẫn có thể sử dụng các Token khác để thanh toán phí Gas hoặc được vai trò trung gian hoàn trả. Nhưng chữ ký ngoại tuyến chính là khâu mà người dùng dễ dàng bỏ qua nhất.
Để kích hoạt trò lừa bịp chữ ký Permit2 này, điều kiện tiên quyết là ví cần có Token được ủy quyền cho hợp đồng Permit2 của một DEX nào đó. Hiện tại, chỉ cần thực hiện Swap trên DApp tích hợp với Permit2 hoặc trên DEX đó, đều cần phải thực hiện việc ủy quyền này. Điều đáng lo ngại hơn là, bất kể số tiền Swap là bao nhiêu, hợp đồng Permit2 sẽ mặc định cho phép người dùng ủy quyền toàn bộ số dư của Token đó.
Điều này có nghĩa là, chỉ cần bạn đã tương tác với DEX này sau năm 2023 và ủy quyền cho hợp đồng Permit2, bạn có thể phải đối mặt với rủi ro từ trò lừa bịp này. Tin tặc lợi dụng hàm Permit, thông qua chữ ký của bạn, chuyển đổi hạn mức Token mà bạn đã ủy quyền cho hợp đồng Permit2 sang địa chỉ khác. Một khi có được chữ ký của bạn, họ có thể chuyển đổi tài sản trong ví của bạn.
Hiện tại quan sát thấy, một hợp đồng Permit2 của某DEX đã trở thành "thiên đường" của những kẻ lừa đảo, việc lừa đảo bằng chữ ký Permit2 dường như chỉ mới bắt đầu hoạt động cách đây hai tháng. Trong các bản ghi tương tác hợp đồng, phần lớn đều là các địa chỉ lừa đảo đã được đánh dấu, liên tục có người bị mắc lừa.
Xem xét rằng hợp đồng Permit2 có thể trở nên phổ biến hơn trong tương lai, nhiều dự án có thể tích hợp nó để chia sẻ quyền hạn, dưới đây là một số gợi ý phòng ngừa hiệu quả:
Tách biệt sử dụng ví tài sản và ví giao dịch. Lưu trữ tài sản lớn trong ví lạnh, ví giao dịch hàng ngày chỉ lưu giữ một lượng nhỏ tiền, có thể giảm thiểu đáng kể thiệt hại do lừa đảo.
Cẩn thận ủy quyền hạn mức hợp đồng Permit2. Khi thực hiện Swap, chỉ ủy quyền số tiền cần thiết. Mặc dù việc cần phải ủy quyền lại mỗi lần tương tác sẽ làm tăng chi phí, nhưng có thể tránh được việc bị lừa đảo chữ ký Permit2. Đã ủy quyền có thể được hủy bỏ thông qua plugin an toàn.
Tìm hiểu xem token có hỗ trợ chức năng permit hay không. Chú ý đến những token bạn đang nắm giữ có hỗ trợ chức năng này không, nếu có thì cần phải cẩn thận hơn, kiểm tra kỹ từng chữ ký không rõ.
Xây dựng kế hoạch cứu trợ tài sản hoàn chỉnh. Nếu gặp phải trò lừa bịp nhưng vẫn còn token trên các nền tảng khác, cần cẩn thận rút và chuyển khoản. Có thể xem xét việc sử dụng chuyển MEV hoặc tìm kiếm sự trợ giúp của đội ngũ an ninh chuyên nghiệp, để tránh bị hacker lần nữa chặn lại.
Trong tương lai, việc lừa đảo dựa trên Permit2 có thể ngày càng gia tăng. Phương thức lừa đảo bằng chữ ký kiểu này cực kỳ tinh vi và khó phòng ngừa. Khi phạm vi ứng dụng của Permit2 mở rộng, số địa chỉ bị rủi ro cũng sẽ tăng lên. Hy vọng độc giả có thể lan truyền những thông tin này, giúp nhiều người hơn tránh khỏi tổn thất.