Nguyên lý cơ bản và biện pháp phòng ngừa lừa đảo chữ ký Web3

Gần đây, "lừa đảo chữ ký" đã trở thành một trong những phương pháp lừa đảo phổ biến nhất của các hacker Web3. Mặc dù các chuyên gia an ninh và các công ty ví liên tục tuyên truyền kiến thức liên quan, nhưng mỗi ngày vẫn có nhiều người dùng rơi vào bẫy. Một trong những lý do quan trọng gây ra tình trạng này là hầu hết mọi người thiếu hiểu biết về logic cơ bản của việc tương tác với ví, và đối với những người không có kỹ thuật, ngưỡng học hỏi khá cao.

Để giúp nhiều người hiểu vấn đề này hơn, bài viết sẽ phân tích logic cơ bản của phishing chữ ký theo cách dễ hiểu.

Hai loại thao tác cơ bản của ví

Khi sử dụng ví tiền điện tử, chúng ta chủ yếu có hai loại thao tác: "ký" và "tương tác".

• Chữ ký: Xảy ra bên ngoài chuỗi khối (ngoài chuỗi), không cần phải trả phí Gas.
• Tương tác: diễn ra trên blockchain (trên chuỗi), cần phải trả phí Gas.

Chữ ký thường được sử dụng cho xác thực danh tính, chẳng hạn như đăng nhập vào ví hoặc kết nối DApp. Quá trình này sẽ không thay đổi bất kỳ dữ liệu hoặc trạng thái nào trên blockchain, vì vậy không cần phải chi phí.

Tương tác liên quan đến các thao tác blockchain thực tế. Ví dụ, khi trao đổi token trên một DEX nào đó, bạn cần phải cấp quyền cho hợp đồng thông minh sử dụng token của bạn (approve), sau đó thực hiện thao tác trao đổi thực tế. Cả hai bước này đều cần phải trả phí Gas.

Các phương pháp lừa đảo phổ biến

1. Ủy quyền lừa đảo

Đây là một phương pháp lừa đảo Web3 truyền thống. Tin tặc thường tạo ra một trang web giả mạo một dự án hợp pháp, dụ dỗ người dùng nhấp vào các nút như "nhận airdrop". Trên thực tế, sau khi người dùng nhấp vào, họ sẽ được yêu cầu cấp quyền (approve) cho địa chỉ của tin tặc sử dụng token của mình.

Mặc dù phương pháp này cần phải trả phí Gas, nhưng vẫn có người dùng vô tình bị lừa.

2. Permit chữ ký lừa đảo

Permit là một chức năng mở rộng của tiêu chuẩn ERC-20, cho phép người dùng phê duyệt người khác sử dụng token của mình thông qua chữ ký. Khác với ủy quyền truyền thống, Permit không yêu cầu người dùng phải trả phí Gas.

Tin tặc có thể lợi dụng cơ chế này để dụ người dùng ký một thông điệp có vẻ vô hại, nhưng thực chất lại là ủy quyền cho tin tặc sử dụng token của người dùng.

3. Lừa đảo chữ ký Permit2

Permit2 là một chức năng do một DEX phát hành, nhằm đơn giản hóa thao tác của người dùng và tiết kiệm phí Gas. Người dùng có thể cấp quyền cho hợp đồng thông minh Permit2 một lần với số tiền lớn, sau đó mỗi lần giao dịch chỉ cần ký tên, phí Gas sẽ được hợp đồng chi trả (trừ từ token cuối cùng được trao đổi).

Tuy nhiên, điều này cũng cung cấp cho hacker một con đường tấn công mới. Nếu người dùng đã từng sử dụng DEX này và đã ủy quyền hạn mức không giới hạn cho hợp đồng Permit2, hacker có thể dụ dỗ người dùng ký để chuyển token của người dùng.

Biện pháp phòng ngừa

1. Tăng cường nhận thức về an ninh: Mỗi lần thực hiện các thao tác với ví, bạn phải kiểm tra kỹ lưỡng các thao tác cụ thể mà bạn đang thực hiện.

2. Phân tách vốn: Tách biệt số vốn lớn và ví sử dụng hàng ngày để giảm thiểu tổn thất tiềm ẩn.

3. Học cách nhận biết định dạng chữ ký của Permit và Permit2: Khi bạn thấy yêu cầu chữ ký chứa thông tin sau đây, hãy đặc biệt cẩn thận:

   • Interactive：địa chỉ tương tác
   • Chủ sở hữu：Địa chỉ bên ủy quyền
   • Spender：địa chỉ bên được ủy quyền
   • Giá trị：số lượng được cấp phép
   • Nonce：số ngẫu nhiên
   • Deadline：Thời gian hết hạn

Bằng cách hiểu các cơ chế cơ bản này và thực hiện các biện pháp phòng ngừa thích hợp, người dùng có thể giảm đáng kể nguy cơ trở thành nạn nhân của lừa đảo chữ ký. Trong thế giới Web3, việc giữ cảnh giác và liên tục học hỏi là chìa khóa để bảo vệ tài sản của mình.