Phân tích lừa đảo chữ ký Web3: Nắm vững nguyên lý nâng cao nhận thức về bảo mật tài sản

Lừa đảo bằng chữ ký đang trở thành phương thức lừa đảo được các hacker Web3 ưa chuộng nhất. Mặc dù các chuyên gia trong ngành liên tục tuyên truyền kiến thức liên quan, nhưng mỗi ngày vẫn có một lượng lớn người dùng bị lừa đảo. Một trong những nguyên nhân quan trọng gây ra tình trạng này là hầu hết mọi người không hiểu rõ logic cơ bản của việc tương tác với Ví tiền, và đối với những người không có kỹ thuật, ngưỡng học tập khá cao.

Để giúp nhiều người hiểu nguyên lý của lừa đảo bằng chữ ký, chúng tôi sẽ cố gắng giải thích logic cơ bản của nó theo cách đơn giản và dễ hiểu.

Trước tiên, chúng ta cần hiểu rằng khi sử dụng Ví tiền, chủ yếu có hai loại thao tác: "ký" và "tương tác". Nói một cách đơn giản, ký xảy ra bên ngoài chuỗi khối (, không cần phải trả phí Gas; trong khi tương tác xảy ra trên chuỗi khối ), cần phải trả phí Gas.

Chữ ký thường được sử dụng để xác thực danh tính, chẳng hạn như đăng nhập vào Ví tiền. Ví dụ, khi bạn muốn hoán đổi token trên một DEX nào đó, trước tiên bạn cần kết nối Ví tiền. Lúc này bạn cần chữ ký để chứng minh rằng bạn là chủ sở hữu của Ví tiền đó. Bước này sẽ không ảnh hưởng đến blockchain, vì vậy không cần phải trả phí.

Và tương tác xảy ra khi thực hiện việc trao đổi token. Bạn cần phải trả một khoản phí trước, thông báo cho hợp đồng thông minh của DEX: "Tôi muốn đổi 100USDT lấy một token, tôi ủy quyền cho bạn sử dụng 100USDT của tôi". Bước này được gọi là ủy quyền (approve). Sau đó, bạn cũng cần phải trả thêm một khoản phí, thông báo cho hợp đồng thông minh: "Bây giờ tôi muốn đổi 100USDT lấy một token, bạn có thể thực hiện thao tác rồi". Như vậy là hoàn thành việc trao đổi token.

Sau khi hiểu sự khác biệt giữa chữ ký và tương tác, chúng ta sẽ giới thiệu ba phương thức lừa đảo phổ biến: Lừa đảo ủy quyền, Lừa đảo chữ ký Permit và Lừa đảo chữ ký Permit2.

Lừa đảo ủy quyền là một trong những phương thức lừa đảo cổ điển nhất trong Web3. Hacker sẽ tạo ra một trang web lừa đảo giả mạo dự án NFT, dụ dỗ người dùng nhấp vào nút "Nhận airdrop". Thực tế, giao diện ví xuất hiện sau khi người dùng nhấp vào đang yêu cầu ủy quyền để chuyển token cho địa chỉ của hacker. Một khi người dùng xác nhận, hacker có thể thành công đánh cắp tài sản.

Tuy nhiên, có một vấn đề với việc ủy quyền lừa đảo: Do cần phải trả phí Gas, nhiều người dùng sẽ cẩn trọng hơn khi thực hiện các giao dịch liên quan đến tiền, vì vậy tương đối dễ phòng ngừa.

Phishing chữ ký Permit và Permit2 hiện đang là điểm nóng trong lĩnh vực an toàn tài sản Web3. Nguyên nhân khó phòng ngừa là vì người dùng mỗi lần sử dụng DApp đều cần phải ký để đăng nhập ví tiền. Nhiều người đã hình thành một thói quen tư duy cho rằng thao tác này là an toàn. Cộng với việc không cần phải trả phí, và hầu hết mọi người không hiểu ý nghĩa đằng sau mỗi chữ ký, khiến cho phương thức phishing này trở nên lừa đảo hơn.

Cơ chế Permit là một chức năng mở rộng của quyền hạn theo tiêu chuẩn ERC-20. Nói một cách đơn giản, bạn có thể thông qua chữ ký để ủy quyền cho người khác di chuyển token của bạn. Khác với ủy quyền thông thường, Permit cho phép bạn ký trên một "giấy" để biểu thị "Tôi cho phép ai đó di chuyển xxx số lượng token của tôi". Người sở hữu "giấy" này có thể trả phí Gas cho hợp đồng thông minh, thông báo cho hợp đồng: "Anh ấy cho phép tôi di chuyển xxx số lượng token của anh ấy". Trong quá trình này, bạn chỉ ký tên, nhưng thực tế đã ủy quyền cho người khác gọi hàm approve và chuyển token của bạn. Hacker có thể tạo ra các trang web lừa đảo, thay thế nút đăng nhập ví bằng Permit lừa đảo, từ đó dễ dàng đánh cắp tài sản của người dùng.

Permit2 không phải là chức năng của ERC-20, mà là chức năng mà một số DEX phát hành để thuận tiện cho người dùng. Nó cho phép người dùng ủy quyền một số tiền lớn một lần, sau đó mỗi lần hoán đổi chỉ cần ký tên, phí Gas sẽ được trả bởi hợp đồng Permit2 (trừ từ token đổi cuối cùng). Tuy nhiên, để dính phải lừa đảo Permit2, điều kiện tiên quyết là người dùng đã từng sử dụng DEX đó và đã ủy quyền một số tiền không giới hạn cho hợp đồng thông minh Permit2. Do hiện tại DEX đó mặc định hoạt động là ủy quyền không giới hạn, số lượng người dùng thỏa mãn điều kiện này là khá nhiều.

Tóm tắt lại, lừa đảo ủy quyền về bản chất là người dùng bỏ tiền ra để thông báo cho hợp đồng thông minh: "Tôi chấp thuận bạn chuyển token của tôi cho hacker". Lừa đảo ký tên thì người dùng đã ký một "giấy phép" cho phép người khác di chuyển tài sản cho hacker, hacker sau đó bỏ tiền ra để thông báo cho hợp đồng thông minh: "Tôi muốn chuyển token của anh ta cho tôi".

Để phòng ngừa các cuộc tấn công lừa đảo này, chúng ta có thể thực hiện các biện pháp sau:

1. Nuôi dưỡng ý thức an toàn, mỗi lần thực hiện các thao tác ví tiền đều phải kiểm tra kỹ nội dung cụ thể.

2. Tách biệt số tiền lớn với Ví tiền sử dụng hàng ngày để giảm thiểu tổn thất tiềm ẩn.

3. Học cách nhận diện định dạng chữ ký của Permit và Permit2. Khi thấy định dạng chữ ký sau đây, hãy đặc biệt cảnh giác:

• Interactive：Trang web tương tác
• Chủ sở hữu：Địa chỉ bên ủy quyền
• Spender：Địa chỉ bên được ủy quyền
• Giá trị：Số lượng ủy quyền
• Nonce：số ngẫu nhiên
• Deadline：Thời gian hết hạn

Bằng cách hiểu nguyên lý và biện pháp phòng ngừa của những phương thức lừa đảo này, chúng ta có thể bảo vệ an toàn tài sản kỹ thuật số của mình tốt hơn.