Logic cơ bản và biện pháp phòng ngừa đối với lừa đảo ký tên Web3

Gần đây, "lừa đảo bằng chữ ký" đã trở thành phương thức tấn công được các hacker Web3 ưa chuộng nhất. Mặc dù các chuyên gia trong ngành và các công ty an ninh không ngừng nâng cao nhận thức, mỗi ngày vẫn có không ít người dùng gặp phải thiệt hại. Một trong những nguyên nhân chính gây ra tình trạng này là hầu hết người dùng thiếu hiểu biết về cơ chế tương tác ví, và đối với những người không chuyên về công nghệ, việc học các kiến thức liên quan có mức độ khó khăn cao.

Để giúp nhiều người hiểu vấn đề này hơn, chúng tôi sẽ phân tích logic cơ bản của ký tên lừa đảo bằng cách sử dụng hình ảnh và ngôn ngữ đơn giản dễ hiểu nhất.

Trước hết, chúng ta cần hiểu rằng khi sử dụng ví, có hai thao tác chính: "ký" và "tương tác". Nói một cách đơn giản, ký xảy ra bên ngoài chuỗi (không trên chuỗi), không cần phải trả phí Gas; trong khi tương tác xảy ra trên chuỗi, cần phải trả phí Gas.

Chữ ký thường được sử dụng để xác thực danh tính, chẳng hạn như đăng nhập vào ví hoặc kết nối với một DApp nào đó. Quá trình này sẽ không thay đổi bất kỳ dữ liệu hay trạng thái nào trên blockchain, do đó không cần phải trả phí.

Tương tác liên quan đến các thao tác thực tế trên chuỗi. Chẳng hạn, khi thực hiện hoán đổi token trên một DEX nào đó, trước tiên bạn cần cấp quyền cho hợp đồng thông minh của DEX sử dụng token của bạn (bước này được gọi là "cấp quyền" hoặc "approve"), sau đó mới thực hiện thao tác hoán đổi thực tế. Cả hai bước này đều cần phải trả phí Gas.

Sau khi hiểu sự khác biệt giữa chữ ký và tương tác, chúng ta hãy xem xét một số phương thức lừa đảo phổ biến: lừa đảo ủy quyền, lừa đảo chữ ký Permit và lừa đảo chữ ký Permit2.

Lừa đảo ủy quyền là một phương pháp lừa đảo Web3 cổ điển. Tin tặc thường giả mạo một trang web có vẻ hợp pháp, dụ dỗ người dùng nhấp vào các nút "nhận airdrop". Thực tế, khi người dùng nhấp vào, sẽ kích hoạt một thao tác ủy quyền, cho phép tin tặc truy cập vào token của người dùng. Nhược điểm của phương pháp này là cần phải trả phí Gas, dễ làm người dùng cảnh giác.

Chữ ký Permit và Permit2 lừa đảo thì càng tinh vi hơn. Permit là một chức năng mở rộng của tiêu chuẩn ERC-20, cho phép người dùng phê duyệt người khác chuyển token của mình thông qua chữ ký. Điều này giống như việc ký tên trên một "tờ giấy" để ủy quyền cho ai đó có thể sử dụng tài sản của bạn. Tin tặc có thể lợi dụng cơ chế này, dụ dỗ người dùng ký vào những thông điệp có vẻ vô hại, nhưng thực tế lại là ủy quyền cho tin tặc chuyển tài sản của người dùng.

Permit2 là một tính năng được triển khai bởi một số DEX, nhằm đơn giản hóa quy trình thao tác của người dùng. Nó cho phép người dùng ủy quyền một số tiền lớn cho hợp đồng thông minh Permit2 chỉ một lần, sau đó mỗi giao dịch chỉ cần ký tên mà không cần ủy quyền lại. Tuy nhiên, điều này cũng tạo cơ hội cho hacker. Nếu người dùng đã từng sử dụng DEX này và cấp quyền ủy quyền không giới hạn, thì một khi bị lừa ký vào tin nhắn Permit2, hacker có thể dễ dàng chuyển tài sản của người dùng.

Để phòng ngừa những cuộc tấn công lừa đảo này, chúng tôi khuyên bạn:

1. Nuôi dưỡng ý thức an toàn, mỗi lần thao tác ví đều phải kiểm tra kỹ nội dung thao tác cụ thể.

2. Tách biệt số tiền lớn với ví sử dụng hàng ngày để giảm thiểu tổn thất tiềm ẩn.

3. Học cách nhận diện định dạng chữ ký của Permit và Permit2. Nếu thấy yêu cầu chữ ký chứa các trường sau, hãy nâng cao cảnh giác:

   • Interactive（交互网址）
   • Chủ sở hữu（địa chỉ bên ủy quyền）
   • Spender (địa chỉ bên được ủy quyền)
   • Giá trị（số lượng ủy quyền）
   • Nonce (số ngẫu nhiên)
   • Hạn chót（过期时间）

Bằng cách hiểu những logic cơ bản này và thực hiện các biện pháp phòng ngừa tương ứng, chúng ta có thể bảo vệ tốt hơn an toàn tài sản Web3 của mình.