Lừa đảo chữ ký trong Web3: Phân tích nguyên lý và biện pháp phòng ngừa
Gần đây, "lừa đảo chữ ký" đã trở thành một trong những phương thức lừa đảo được các hacker Web3 ưa chuộng nhất. Mặc dù các chuyên gia an ninh và các công ty ví liên tục tuyên truyền thông tin, nhưng hàng ngày vẫn có nhiều người dùng trở thành nạn nhân. Một trong những lý do chính cho hiện tượng này là hầu hết mọi người thiếu hiểu biết về logic cơ bản của việc tương tác với ví, và đối với những người không có kỹ thuật, việc học hỏi có thể khá khó khăn.
Để giúp nhiều người hiểu vấn đề này hơn, bài viết này sẽ giải thích logic cơ bản của phishing chữ ký theo cách dễ hiểu.
Hai cách để thao tác ví
Khi sử dụng ví Web3, chúng ta chủ yếu có hai thao tác: "ký tên" và "tương tác".
Chữ ký: Xảy ra bên ngoài chuỗi khối (ngoài chuỗi), không cần phải trả phí Gas.
Tương tác: diễn ra trên blockchain (trên chuỗi), cần phải trả phí Gas.
Chữ ký thường được sử dụng để xác thực danh tính, chẳng hạn như đăng nhập vào ví hoặc kết nối với DApp. Quá trình này sẽ không ảnh hưởng đến dữ liệu blockchain, vì vậy không cần phải trả phí.
Tương tác liên quan đến các thao tác blockchain thực tế. Ví dụ, khi thực hiện trao đổi token trên một DEX, bạn cần cấp quyền (approve) cho hợp đồng thông minh sử dụng token của bạn, sau đó mới thực hiện thao tác trao đổi thực tế. Cả hai bước này đều cần phải trả phí Gas.
Các phương thức lừa đảo phổ biến
1. Ủy quyền lừa đảo
Đây là một phương pháp lừa đảo Web3 truyền thống. Tin tặc sẽ tạo ra một trang web có vẻ hợp pháp, dụ dỗ người dùng thực hiện các thao tác ủy quyền. Khi người dùng nhấp vào các nút như "Nhận airdrop", thực tế là đang ủy quyền cho địa chỉ của tin tặc sử dụng token của mình.
2. Chữ ký cho phép lừa đảo
Permit là một chức năng mở rộng của tiêu chuẩn ERC-20, cho phép người dùng thông qua chữ ký để phê duyệt người khác sử dụng token của mình. Hacker có thể dụ dỗ người dùng ký một giấy phép như vậy, sau đó tận dụng chữ ký này để chuyển nhượng tài sản của người dùng.
3. Lừa đảo chữ ký Permit2
Permit2 là một tính năng được một số DEX phát triển để đơn giản hóa thao tác của người dùng. Nó cho phép người dùng ủy quyền một số lượng lớn một lần, sau đó chỉ cần ký để thực hiện giao dịch. Tuy nhiên, nếu người dùng đã từng sử dụng DEX đó và đã cấp quyền không giới hạn, hacker có thể lợi dụng cơ chế này để chuyển nhượng tài sản của người dùng.
Biện pháp phòng ngừa
Nuôi dưỡng ý thức an toàn: Mỗi lần thực hiện thao tác với ví, hãy kiểm tra kỹ lưỡng thao tác mà bạn đang thực hiện.
Tách biệt tài sản: Tách biệt số tiền lớn với ví sử dụng hàng ngày để giảm thiểu tổn thất tiềm ẩn.
Học cách nhận diện định dạng chữ ký của Permit và Permit2: Cảnh giác với các yêu cầu chữ ký chứa các trường sau:
Tương tác(交互网址)
Chủ sở hữu(地址授权方)
Spender (địa chỉ bên được ủy quyền)
Giá trị(số lượng ủy quyền)
Nonce (số ngẫu nhiên)
Thời hạn (过期时间)
Bằng cách hiểu các phương thức lừa đảo và thực hiện các biện pháp phòng ngừa phù hợp, người dùng có thể bảo vệ tốt hơn an toàn tài sản số của mình. Trong thế giới Web3, việc giữ cảnh giác và liên tục học hỏi là điều cực kỳ quan trọng.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
11 thích
Phần thưởng
11
6
Đăng lại
Chia sẻ
Bình luận
0/400
GasOptimizer
· 08-09 19:28
gas phí không còn thì cũng dễ giải quyết, bị lừa thì coi như xong.
Xem bản gốcTrả lời0
LeverageAddict
· 08-09 18:30
Người nghiện vay mượn đến rồi~ lại lỗ nặng ôi ôi
Xem bản gốcTrả lời0
rugpull_survivor
· 08-09 18:28
Còn có thể hỏi không? Đã bị lừa thảm rồi.
Xem bản gốcTrả lời0
Token_Sherpa
· 08-09 18:28
ugh... lại một tuần nữa, lại một cái bẫy cho người mới. khi nào mọi người mới học cách rtfm smh
Phân tích toàn diện về lừa đảo chữ ký Web3: Phân tích nguyên lý và chiến lược phòng ngừa
Lừa đảo chữ ký trong Web3: Phân tích nguyên lý và biện pháp phòng ngừa
Gần đây, "lừa đảo chữ ký" đã trở thành một trong những phương thức lừa đảo được các hacker Web3 ưa chuộng nhất. Mặc dù các chuyên gia an ninh và các công ty ví liên tục tuyên truyền thông tin, nhưng hàng ngày vẫn có nhiều người dùng trở thành nạn nhân. Một trong những lý do chính cho hiện tượng này là hầu hết mọi người thiếu hiểu biết về logic cơ bản của việc tương tác với ví, và đối với những người không có kỹ thuật, việc học hỏi có thể khá khó khăn.
Để giúp nhiều người hiểu vấn đề này hơn, bài viết này sẽ giải thích logic cơ bản của phishing chữ ký theo cách dễ hiểu.
Hai cách để thao tác ví
Khi sử dụng ví Web3, chúng ta chủ yếu có hai thao tác: "ký tên" và "tương tác".
Chữ ký thường được sử dụng để xác thực danh tính, chẳng hạn như đăng nhập vào ví hoặc kết nối với DApp. Quá trình này sẽ không ảnh hưởng đến dữ liệu blockchain, vì vậy không cần phải trả phí.
Tương tác liên quan đến các thao tác blockchain thực tế. Ví dụ, khi thực hiện trao đổi token trên một DEX, bạn cần cấp quyền (approve) cho hợp đồng thông minh sử dụng token của bạn, sau đó mới thực hiện thao tác trao đổi thực tế. Cả hai bước này đều cần phải trả phí Gas.
Các phương thức lừa đảo phổ biến
1. Ủy quyền lừa đảo
Đây là một phương pháp lừa đảo Web3 truyền thống. Tin tặc sẽ tạo ra một trang web có vẻ hợp pháp, dụ dỗ người dùng thực hiện các thao tác ủy quyền. Khi người dùng nhấp vào các nút như "Nhận airdrop", thực tế là đang ủy quyền cho địa chỉ của tin tặc sử dụng token của mình.
2. Chữ ký cho phép lừa đảo
Permit là một chức năng mở rộng của tiêu chuẩn ERC-20, cho phép người dùng thông qua chữ ký để phê duyệt người khác sử dụng token của mình. Hacker có thể dụ dỗ người dùng ký một giấy phép như vậy, sau đó tận dụng chữ ký này để chuyển nhượng tài sản của người dùng.
3. Lừa đảo chữ ký Permit2
Permit2 là một tính năng được một số DEX phát triển để đơn giản hóa thao tác của người dùng. Nó cho phép người dùng ủy quyền một số lượng lớn một lần, sau đó chỉ cần ký để thực hiện giao dịch. Tuy nhiên, nếu người dùng đã từng sử dụng DEX đó và đã cấp quyền không giới hạn, hacker có thể lợi dụng cơ chế này để chuyển nhượng tài sản của người dùng.
Biện pháp phòng ngừa
Nuôi dưỡng ý thức an toàn: Mỗi lần thực hiện thao tác với ví, hãy kiểm tra kỹ lưỡng thao tác mà bạn đang thực hiện.
Tách biệt tài sản: Tách biệt số tiền lớn với ví sử dụng hàng ngày để giảm thiểu tổn thất tiềm ẩn.
Học cách nhận diện định dạng chữ ký của Permit và Permit2: Cảnh giác với các yêu cầu chữ ký chứa các trường sau:
Bằng cách hiểu các phương thức lừa đảo và thực hiện các biện pháp phòng ngừa phù hợp, người dùng có thể bảo vệ tốt hơn an toàn tài sản số của mình. Trong thế giới Web3, việc giữ cảnh giác và liên tục học hỏi là điều cực kỳ quan trọng.