Phân tích logic cơ bản của lừa đảo chữ ký Web3

Gần đây, "lừa đảo chữ ký" đã trở thành một trong những thủ đoạn lừa đảo được các hacker Web3 ưa chuộng nhất. Mặc dù các chuyên gia trong ngành và các công ty an ninh không ngừng tuyên truyền kiến thức liên quan, hàng ngày vẫn có một số lượng lớn người dùng rơi vào bẫy. Một trong những nguyên nhân chính gây ra hiện tượng này là hầu hết mọi người thiếu hiểu biết về cơ chế nền tảng của việc tương tác với ví, và đối với những người không có kỹ thuật, mức độ khó khăn trong việc học khá cao.

Để giúp nhiều người hiểu vấn đề này hơn, chúng tôi sẽ giải thích logic cơ bản của lừa đảo chữ ký thông qua các hình minh họa và ngôn ngữ dễ hiểu.

Đầu tiên, chúng ta cần hiểu rằng khi sử dụng ví, có hai thao tác chính: "ký" và "tương tác". Nói đơn giản, ký xảy ra bên ngoài chuỗi (off-chain), không cần phải trả phí Gas; trong khi tương tác xảy ra trên chuỗi (on-chain), cần phải trả phí Gas.

Chữ ký thường được sử dụng để xác thực danh tính, chẳng hạn như đăng nhập vào ví. Khi bạn kết nối với một DEX nào đó, cần chữ ký để chứng minh bạn là chủ sở hữu của ví đó. Quá trình này sẽ không thay đổi bất kỳ dữ liệu hoặc trạng thái nào trên blockchain, vì vậy không cần phải trả phí.

So với trước, tương tác liên quan đến các hoạt động trên chuỗi thực tế. Ví dụ, khi thực hiện trao đổi Token trên một DEX nhất định, bạn cần cấp quyền cho hợp đồng thông minh của DEX để có thể di chuyển Token của bạn (được gọi là "cấp phép" hoặc "approve"), sau đó mới thực hiện thao tác trao đổi thực tế. Cả hai bước này đều cần phải trả phí Gas.

Sau khi hiểu sự khác biệt giữa chữ ký và tương tác, chúng ta hãy xem ba hình thức lừa đảo phổ biến: lừa đảo ủy quyền, lừa đảo chữ ký Permit và lừa đảo chữ ký Permit2.

Lừa đảo ủy quyền đã lợi dụng cơ chế ủy quyền (approve). Tin tặc có thể tạo ra một trang web lừa đảo giả mạo dự án NFT, dụ dỗ người dùng nhấp vào nút "Nhận airdrop". Thực tế, thao tác này sẽ yêu cầu người dùng ủy quyền cho địa chỉ của tin tặc để thao tác Token của mình. Do cần phải trả phí Gas, nhiều người dùng sẽ cảnh giác hơn khi gặp phải tình huống như vậy, vì vậy tương đối dễ phòng ngừa.

Việc lừa đảo chữ ký Permit và Permit2 thì khó phòng ngừa hơn, vì người dùng đã quen với việc ký vào ví trước khi sử dụng DApp, dễ hình thành tư duy "hành động này là an toàn".

Cơ chế Permit là tính năng mở rộng được cấp phép theo tiêu chuẩn ERC-20. Người dùng thông qua chữ ký để phê duyệt người khác di chuyển Token của mình, thay vì thực hiện thao tác cấp phép trực tiếp trên chuỗi. Hacker có thể lợi dụng cơ chế này, dụ dỗ người dùng ký vào thông điệp cho phép chuyển nhượng tài sản, sau đó sử dụng chữ ký này để chuyển Token của người dùng đi.

Permit2 là một tính năng được một số DEX triển khai nhằm nâng cao trải nghiệm người dùng. Nó cho phép người dùng cấp quyền một lần cho một số tiền lớn cho hợp đồng thông minh Permit2, sau đó mỗi giao dịch chỉ cần ký xác nhận mà không cần phải trả phí Gas nữa. Tuy nhiên, nếu người dùng đã từng sử dụng DEX đó và cấp quyền không giới hạn, họ có thể trở thành mục tiêu cho các cuộc tấn công giả mạo Permit2.

Nói chung, lừa đảo ủy quyền là cho phép người dùng trực tiếp ủy quyền cho hacker thao tác Token của mình, trong khi lừa đảo chữ ký là dụ dỗ người dùng ký một "giấy phép" cho phép hacker di chuyển tài sản.

Để ngăn chặn các cuộc tấn công lừa đảo này, chúng ta có thể thực hiện các biện pháp sau:

1. Nuôi dưỡng ý thức an toàn, mỗi lần thực hiện thao tác ví, cần kiểm tra kỹ nội dung thao tác cụ thể.

2. Tách biệt số tiền lớn với ví sử dụng hàng ngày để giảm thiểu những tổn thất tiềm ẩn.

3. Học cách nhận diện định dạng chữ ký của Permit và Permit2. Khi thấy yêu cầu chữ ký có chứa nội dung sau đây, cần đặc biệt cảnh giác:

   • Interactive：địa chỉ tương tác
   • Chủ sở hữu：Địa chỉ bên ủy quyền
   • Spender：địa chỉ bên được ủy quyền
   • Giá trị：Số lượng được cấp phép
   • Nonce：số ngẫu nhiên
   • Deadline：thời gian hết hạn

Bằng cách hiểu các cơ chế nền tảng này và thực hiện các biện pháp phòng ngừa phù hợp, chúng ta có thể bảo vệ tài sản kỹ thuật số của mình tốt hơn và tránh trở thành nạn nhân của lừa đảo chữ ký.