Trong thế giới Web3, "lừa đảo bằng chữ ký" đang trở thành một phương thức lừa đảo mới được các Hacker ưa chuộng. Mặc dù các chuyên gia an ninh và các công ty ví đang không ngừng phổ biến kiến thức liên quan, nhưng hàng ngày vẫn có một lượng lớn người dùng rơi vào bẫy. Một trong những nguyên nhân chính gây ra tình trạng này là hầu hết người dùng thiếu hiểu biết về cơ chế nền tảng của việc tương tác với ví, và đối với những người không chuyên, mức độ học hỏi trong lĩnh vực này khá cao.
Để giúp nhiều người hiểu vấn đề này hơn, chúng tôi sẽ phân tích nguyên lý của lừa đảo chữ ký theo cách dễ hiểu.
Đầu tiên, chúng ta cần hiểu rằng việc sử dụng ví chủ yếu được chia thành hai loại: "Ký" và "Tương tác". Nói một cách đơn giản, ký là hoạt động xảy ra ngoài chuỗi blockchain, không cần phải trả phí Gas; trong khi tương tác là hoạt động diễn ra trên chuỗi blockchain, cần phải trả phí Gas.
Chữ ký thường được sử dụng để xác thực danh tính, chẳng hạn như đăng nhập vào ví. Khi bạn muốn sử dụng một ứng dụng phi tập trung (DApp), bạn cần ký trước để chứng minh rằng bạn là chủ sở hữu của ví. Quá trình này sẽ không thay đổi bất kỳ dữ liệu hoặc trạng thái nào trên chuỗi khối, vì vậy không cần phải trả phí.
Tương tác liên quan đến các thao tác thực tế trên chuỗi. Ví dụ, khi bạn muốn hoán đổi token trên một sàn giao dịch phi tập trung (DEX), trước tiên bạn cần ủy quyền cho hợp đồng thông minh của DEX sử dụng token của bạn, đây được gọi là thao tác "ủy quyền" (approve). Sau đó, bạn cũng cần tương tác với hợp đồng một lần nữa để xác nhận thực hiện thao tác hoán đổi. Cả hai bước này đều cần phải trả phí Gas.
Sau khi hiểu sự khác biệt giữa chữ ký và tương tác, hãy cùng xem xét một số phương thức lừa đảo phổ biến: lừa đảo ủy quyền, lừa đảo chữ ký Permit và lừa đảo chữ ký Permit2.
Lừa đảo ủy quyền là một phương pháp lừa đảo cổ điển. Hacker sẽ tạo ra một trang web giả mạo, thường ngụy trang thành một dự án NFT hoặc hoạt động airdrop. Khi người dùng nhấp vào các nút như "Nhận airdrop", thực tế họ đang ủy quyền cho địa chỉ hacker sử dụng token của mình. Do thao tác này cần phải trả phí Gas, nhiều người dùng khi thấy ví bật lên yêu cầu thanh toán sẽ trở nên cảnh giác, từ đó có cơ hội tránh bị lừa.
Ký tên Permit và Permit2 lừa đảo thì kín đáo hơn và khó phòng ngừa hơn. Điều này là do người dùng đã quen với việc thực hiện thao tác ký tên trước khi sử dụng DApp, rất dễ bỏ qua những rủi ro trong đó.
Permit là một chức năng mở rộng của tiêu chuẩn ERC-20, cho phép người dùng phê duyệt người khác sử dụng token của mình thông qua chữ ký. Khác với quyền hạn truyền thống, Permit không yêu cầu người dùng trả phí Gas. Hacker có thể lợi dụng điều này để dụ dỗ người dùng ký những thông điệp có vẻ vô hại, nhưng thực chất lại là cấp phép cho hacker chuyển giao tài sản của người dùng.
Permit2 là một tính năng được một số DEX phát triển nhằm tối ưu hóa trải nghiệm người dùng. Nó cho phép người dùng cấp quyền một lần cho hợp đồng Permit2 với số lượng lớn, sau đó mỗi giao dịch chỉ cần ký xác nhận mà không cần cấp quyền lại. Cơ chế này tuy tiện lợi nhưng cũng làm tăng nguy cơ bị lừa đảo, đặc biệt là đối với những người dùng từng sử dụng DEX đó và đã cấp quyền không giới hạn.
Để phòng ngừa lừa đảo chữ ký, người dùng nên:
Nuôi dưỡng ý thức an toàn, mỗi lần thao tác đều phải kiểm tra kỹ lưỡng những gì mình đang làm.
Tách biệt vốn chính với ví sử dụng hàng ngày để giảm thiểu tổn thất tiềm ẩn.
Học cách nhận diện định dạng chữ ký của Permit và Permit2, khi gặp yêu cầu chữ ký liên quan cần phải cảnh giác hơn.
Định dạng chữ ký thường bao gồm các thông tin sau:
Trang web tương tác
Địa chỉ bên cấp quyền
Địa chỉ bên được ủy quyền
Số lượng ủy quyền
Số ngẫu nhiên
Thời gian hết hạn
Bằng cách hiểu những nguyên lý này và áp dụng các biện pháp phòng ngừa thích hợp, người dùng có thể bảo vệ tài sản kỹ thuật số của mình tốt hơn, tránh trở thành nạn nhân của lừa đảo chữ ký.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
13 thích
Phần thưởng
13
4
Đăng lại
Chia sẻ
Bình luận
0/400
GateUser-74b10196
· 17giờ trước
Bao giờ thì cho đồ ngốc bảo hiểm vậy?
Xem bản gốcTrả lời0
Ser_Liquidated
· 17giờ trước
Lại bị Được chơi cho Suckers rồi phải không? Đã tận mắt thấy.
Xem bản gốcTrả lời0
ForkThisDAO
· 17giờ trước
Ký xong bị Phiếu giảm giá rồi.
Xem bản gốcTrả lời0
0xTherapist
· 18giờ trước
Tsk tsk, chỉ trong chưa đầy một phút, tôi đã mất hơn nửa tài sản.
Web3 cảnh giác: Lừa đảo chữ ký trở thành sở thích của Hacker Làm thế nào để tự bảo vệ
Lừa đảo chữ ký: Cạm bẫy yêu thích của Hacker Web3
Trong thế giới Web3, "lừa đảo bằng chữ ký" đang trở thành một phương thức lừa đảo mới được các Hacker ưa chuộng. Mặc dù các chuyên gia an ninh và các công ty ví đang không ngừng phổ biến kiến thức liên quan, nhưng hàng ngày vẫn có một lượng lớn người dùng rơi vào bẫy. Một trong những nguyên nhân chính gây ra tình trạng này là hầu hết người dùng thiếu hiểu biết về cơ chế nền tảng của việc tương tác với ví, và đối với những người không chuyên, mức độ học hỏi trong lĩnh vực này khá cao.
Để giúp nhiều người hiểu vấn đề này hơn, chúng tôi sẽ phân tích nguyên lý của lừa đảo chữ ký theo cách dễ hiểu.
Đầu tiên, chúng ta cần hiểu rằng việc sử dụng ví chủ yếu được chia thành hai loại: "Ký" và "Tương tác". Nói một cách đơn giản, ký là hoạt động xảy ra ngoài chuỗi blockchain, không cần phải trả phí Gas; trong khi tương tác là hoạt động diễn ra trên chuỗi blockchain, cần phải trả phí Gas.
Chữ ký thường được sử dụng để xác thực danh tính, chẳng hạn như đăng nhập vào ví. Khi bạn muốn sử dụng một ứng dụng phi tập trung (DApp), bạn cần ký trước để chứng minh rằng bạn là chủ sở hữu của ví. Quá trình này sẽ không thay đổi bất kỳ dữ liệu hoặc trạng thái nào trên chuỗi khối, vì vậy không cần phải trả phí.
Tương tác liên quan đến các thao tác thực tế trên chuỗi. Ví dụ, khi bạn muốn hoán đổi token trên một sàn giao dịch phi tập trung (DEX), trước tiên bạn cần ủy quyền cho hợp đồng thông minh của DEX sử dụng token của bạn, đây được gọi là thao tác "ủy quyền" (approve). Sau đó, bạn cũng cần tương tác với hợp đồng một lần nữa để xác nhận thực hiện thao tác hoán đổi. Cả hai bước này đều cần phải trả phí Gas.
Sau khi hiểu sự khác biệt giữa chữ ký và tương tác, hãy cùng xem xét một số phương thức lừa đảo phổ biến: lừa đảo ủy quyền, lừa đảo chữ ký Permit và lừa đảo chữ ký Permit2.
Lừa đảo ủy quyền là một phương pháp lừa đảo cổ điển. Hacker sẽ tạo ra một trang web giả mạo, thường ngụy trang thành một dự án NFT hoặc hoạt động airdrop. Khi người dùng nhấp vào các nút như "Nhận airdrop", thực tế họ đang ủy quyền cho địa chỉ hacker sử dụng token của mình. Do thao tác này cần phải trả phí Gas, nhiều người dùng khi thấy ví bật lên yêu cầu thanh toán sẽ trở nên cảnh giác, từ đó có cơ hội tránh bị lừa.
Ký tên Permit và Permit2 lừa đảo thì kín đáo hơn và khó phòng ngừa hơn. Điều này là do người dùng đã quen với việc thực hiện thao tác ký tên trước khi sử dụng DApp, rất dễ bỏ qua những rủi ro trong đó.
Permit là một chức năng mở rộng của tiêu chuẩn ERC-20, cho phép người dùng phê duyệt người khác sử dụng token của mình thông qua chữ ký. Khác với quyền hạn truyền thống, Permit không yêu cầu người dùng trả phí Gas. Hacker có thể lợi dụng điều này để dụ dỗ người dùng ký những thông điệp có vẻ vô hại, nhưng thực chất lại là cấp phép cho hacker chuyển giao tài sản của người dùng.
Permit2 là một tính năng được một số DEX phát triển nhằm tối ưu hóa trải nghiệm người dùng. Nó cho phép người dùng cấp quyền một lần cho hợp đồng Permit2 với số lượng lớn, sau đó mỗi giao dịch chỉ cần ký xác nhận mà không cần cấp quyền lại. Cơ chế này tuy tiện lợi nhưng cũng làm tăng nguy cơ bị lừa đảo, đặc biệt là đối với những người dùng từng sử dụng DEX đó và đã cấp quyền không giới hạn.
Để phòng ngừa lừa đảo chữ ký, người dùng nên:
Định dạng chữ ký thường bao gồm các thông tin sau:
Bằng cách hiểu những nguyên lý này và áp dụng các biện pháp phòng ngừa thích hợp, người dùng có thể bảo vệ tài sản kỹ thuật số của mình tốt hơn, tránh trở thành nạn nhân của lừa đảo chữ ký.