Hackers là một tồn tại đáng sợ trong hệ sinh thái Web3. Đối với các dự án, mã nguồn mở khiến họ lo lắng rằng mỗi dòng mã có thể có lỗ hổng. Đối với người dùng cá nhân, nếu không hiểu rõ ý nghĩa của các thao tác, mỗi lần tương tác hoặc ký trên chuỗi đều có thể dẫn đến việc tài sản bị đánh cắp. Do đó, vấn đề an ninh luôn là một trong những điểm đau của thế giới tiền điện tử. Do đặc điểm của blockchain, tài sản một khi bị đánh cắp gần như không thể thu hồi, vì vậy việc nắm vững kiến thức về an ninh là vô cùng quan trọng.
Gần đây phát hiện ra một phương pháp lừa đảo mới, chỉ cần ký tên là sẽ bị đánh cắp, thủ đoạn ẩn nấp và khó phòng ngừa. Những địa chỉ đã từng tương tác với một DEX nào đó đều có thể đối mặt với rủi ro. Bài viết này sẽ phổ cập về phương pháp lừa đảo ký tên này, nhằm tránh thiệt hại tài sản nhiều hơn.
Diễn biến sự kiện
Gần đây, một người bạn ( nhỏ A ) đã bị đánh cắp tài sản ví. Khác với những cách bị đánh cắp phổ biến, nhỏ A không tiết lộ khóa riêng, cũng không tương tác với hợp đồng của trang web lừa đảo.
Trình duyệt blockchain cho thấy, USDT của A nhỏ bị đánh cắp đã được chuyển qua hàm Transfer From. Điều này có nghĩa là một địa chỉ khác đã thực hiện việc chuyển Token, chứ không phải do rò rỉ khóa riêng của ví.
Chi tiết giao dịch hiển thị:
Địa chỉ có đuôi fd51 đã chuyển tài sản của nhỏ A đến địa chỉ có đuôi a0c8
Hành động này tương tác với hợp đồng Permit2 của một DEX nào đó.
Vấn đề chính là: Làm thế nào để địa chỉ kết thúc bằng fd51 có được quyền sở hữu tài sản? Tại sao lại liên quan đến một DEX nào đó?
Xem thêm lịch sử giao dịch của địa chỉ kết thúc bằng fd51, trước khi chuyển nhượng tài sản của A, địa chỉ này đã thực hiện thao tác Permit, và cả hai thao tác đều tương tác với hợp đồng Permit2 của một DEX.
Hợp đồng Permit2 là hợp đồng mới được một DEX ra mắt vào cuối năm 2022. Nó cho phép ủy quyền token chia sẻ và quản lý giữa các ứng dụng khác nhau, nhằm tạo ra trải nghiệm người dùng đồng nhất hơn, chi phí thấp hơn và an toàn hơn. Trong tương lai, với nhiều dự án tích hợp hơn, Permit2 có thể đạt được sự chuẩn hóa phê duyệt Token giữa các ứng dụng.
Trong các phương thức tương tác truyền thống, mỗi khi người dùng tương tác với một Dapp, họ cần phải cấp phép riêng biệt. Permit2 hoạt động như một bên trung gian, người dùng chỉ cần cấp phép cho hợp đồng Permit2, tất cả các Dapp tích hợp Permit2 đều có thể chia sẻ hạn mức cấp phép. Điều này giảm chi phí tương tác của người dùng và nâng cao trải nghiệm.
Nhưng Permit2 cũng là một con dao hai lưỡi. Nó biến việc thao tác của người dùng thành chữ ký ngoài chuỗi, và thao tác trên chuỗi được thực hiện bởi các vai trò trung gian. Điều này khiến cho ngay cả khi ví của người dùng không có ETH, họ vẫn có thể sử dụng các Token khác để thanh toán Gas hoặc được các vai trò trung gian hoàn lại. Tuy nhiên, chữ ký ngoài chuỗi là khâu mà người dùng dễ dàng bỏ qua nhất.
Để kích hoạt thủ thuật lừa đảo này, điều kiện tiên quyết là ví cần được cấp phép cho hợp đồng Permit2. Hiện tại, chỉ cần thực hiện Swap trên Dapp tích hợp Permit2, tất cả đều cần cấp phép cho hợp đồng Permit2. Điều đáng sợ hơn là, bất kể số tiền Swap là bao nhiêu, hợp đồng Permit2 sẽ mặc định yêu cầu người dùng cấp phép toàn bộ số dư của Token đó.
Điều này có nghĩa là, chỉ cần tương tác với một DEX nào đó sau năm 2023 và cấp quyền cho hợp đồng Permit2, có thể sẽ bị lộ ra rủi ro lừa đảo này. Tin tặc lợi dụng hàm Permit, thông qua chữ ký của người dùng, chuyển đổi hạn mức Token được cấp quyền cho Permit2 sang địa chỉ khác.
Phân tích chi tiết sự kiện
Hàm Permit cho phép ký trước "hợp đồng", ủy quyền cho người khác sử dụng một số lượng token nhất định trong tương lai. Nó yêu cầu cung cấp chữ ký để xác minh tính xác thực của quyền ủy quyền.
Quy trình làm việc của hàm:
Kiểm tra xem thời gian hiện tại có vượt quá thời gian hiệu lực của chữ ký hay không
Xác thực tính chân thực của chữ ký
Cập nhật hồ sơ ủy quyền sau khi thông qua
Điểm quan trọng nằm ở hàm verify và hàm _updateApproval.
Hàm verify lấy dữ liệu v, r, s từ thông tin chữ ký, khôi phục địa chỉ chữ ký và so sánh với địa chỉ được truyền vào. Hàm _updateApproval cập nhật giá trị ủy quyền sau khi xác minh thành công.
Chi tiết giao dịch thực tế cho thấy:
owner là địa chỉ ví nhỏ A
Token ủy quyền là USDT
Spender là địa chỉ hacker có đuôi số fd51
sigDeadline là thời gian hiệu lực của chữ ký
signature là thông tin chữ ký của A nhỏ
Nhỏ A trước đây đã nhấp vào hạn mức ủy quyền vô hạn mặc định khi sử dụng một DEX nào đó.
Tóm tắt quá trình sự kiện: A trước đó đã ủy quyền cho Permit2 hạn mức USDT không giới hạn, sau đó vô tình rơi vào bẫy chữ ký do hacker thiết kế. Hacker đã lợi dụng chữ ký để thực hiện các thao tác Permit và Transfer From trong hợp đồng Permit2 để chuyển tài sản. Hiện tại, hợp đồng Permit2 của DEX này đã trở thành vùng thiên tai lừa đảo.
Làm thế nào để phòng ngừa?
Hiểu và nhận diện nội dung chữ ký: Học cách nhận diện định dạng chữ ký Permit, bao gồm thông tin quan trọng như Owner, Spender, value, nonce và deadline.
Tách biệt tài sản và ví tương tác: Lưu trữ tài sản lớn trong ví lạnh, ví tương tác chỉ giữ một lượng tiền nhỏ.
Hạn chế hạn mức ủy quyền Permit2 hoặc hủy ủy quyền: chỉ ủy quyền số tiền giao dịch cần thiết, hoặc sử dụng plugin an toàn để hủy ủy quyền.
Tìm hiểu xem mã thông báo có hỗ trợ chức năng permit hay không: Chú ý đến việc liệu mã thông báo bạn nắm giữ có hỗ trợ chức năng này hay không, hãy đặc biệt thận trọng với các giao dịch liên quan.
Xây dựng kế hoạch cứu trợ tài sản hoàn chỉnh: Nếu sau khi bị đánh cắp vẫn còn tài sản trên các nền tảng khác, cần rút và chuyển nhượng cẩn thận, có thể xem xét sử dụng MEV để chuyển nhượng hoặc tìm kiếm sự hỗ trợ từ đội ngũ an ninh chuyên nghiệp.
Trong tương lai, có thể sẽ có nhiều vụ lừa đảo dựa trên Permit2 hơn. Cách lừa đảo bằng chữ ký này rất kín đáo và khó phòng ngừa, khi phạm vi ứng dụng của Permit2 mở rộng, số địa chỉ gặp rủi ro cũng sẽ tăng lên. Hy vọng độc giả sẽ truyền bá bài viết này, để tránh nhiều người bị thiệt hại hơn.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
14 thích
Phần thưởng
14
9
Đăng lại
Chia sẻ
Bình luận
0/400
TestnetNomad
· 14giờ trước
Chơi DEX mà không chú ý, đã mất vài trăm đô thật là oan.
Xem bản gốcTrả lời0
NullWhisperer
· 08-15 00:09
nói một cách kỹ thuật, permit2 chỉ là một vector tấn công khác đang chờ xảy ra...
Xem bản gốcTrả lời0
ShibaMillionairen't
· 08-14 15:17
Chữ ký bị đánh cắp đúng không? Hãy luyện tập nhiều hơn.
Xem bản gốcTrả lời0
ImpermanentPhilosopher
· 08-14 04:10
Giây signing của đồ ngốc cũng xứng đáng nghiên cứu câu cá sao?
Xem bản gốcTrả lời0
DataOnlooker
· 08-14 04:08
Ký tên đã bị đánh cắp rồi sao? Thật nguy hiểm!
Xem bản gốcTrả lời0
LiquidationSurvivor
· 08-14 04:06
Lại thêm một trò lừa bịp mới... Có vẻ như cần phải chú ý nhiều hơn đến địa chỉ.
Xem bản gốcTrả lời0
TokenStorm
· 08-14 04:04
Còn đang ngốc nghếch ký tên? Từ dữ liệu trên chuỗi, bộ chiêu thức permit2 này có thể cắt giảm 80% đồ ngốc.
Xem bản gốcTrả lời0
GameFiCritic
· 08-14 03:55
Tất cả các yếu tố chữ ký đều đã bị lừa đảo, còn nói mình hiểu cách thao tác, thật buồn cười.
Xem bản gốcTrả lời0
UnluckyValidator
· 08-14 03:48
Có vẻ như lại phải cẩn thận với DEX rồi, trước khi tương tác hãy suy nghĩ nhiều hơn.
Cảnh báo lừa đảo chữ ký hợp đồng Uniswap Permit2, cần biết để phòng ngừa tổn thất tài sản
Tiết lộ trò lừa bịp ký tên Permit2 của Uniswap
Hackers là một tồn tại đáng sợ trong hệ sinh thái Web3. Đối với các dự án, mã nguồn mở khiến họ lo lắng rằng mỗi dòng mã có thể có lỗ hổng. Đối với người dùng cá nhân, nếu không hiểu rõ ý nghĩa của các thao tác, mỗi lần tương tác hoặc ký trên chuỗi đều có thể dẫn đến việc tài sản bị đánh cắp. Do đó, vấn đề an ninh luôn là một trong những điểm đau của thế giới tiền điện tử. Do đặc điểm của blockchain, tài sản một khi bị đánh cắp gần như không thể thu hồi, vì vậy việc nắm vững kiến thức về an ninh là vô cùng quan trọng.
Gần đây phát hiện ra một phương pháp lừa đảo mới, chỉ cần ký tên là sẽ bị đánh cắp, thủ đoạn ẩn nấp và khó phòng ngừa. Những địa chỉ đã từng tương tác với một DEX nào đó đều có thể đối mặt với rủi ro. Bài viết này sẽ phổ cập về phương pháp lừa đảo ký tên này, nhằm tránh thiệt hại tài sản nhiều hơn.
Diễn biến sự kiện
Gần đây, một người bạn ( nhỏ A ) đã bị đánh cắp tài sản ví. Khác với những cách bị đánh cắp phổ biến, nhỏ A không tiết lộ khóa riêng, cũng không tương tác với hợp đồng của trang web lừa đảo.
Trình duyệt blockchain cho thấy, USDT của A nhỏ bị đánh cắp đã được chuyển qua hàm Transfer From. Điều này có nghĩa là một địa chỉ khác đã thực hiện việc chuyển Token, chứ không phải do rò rỉ khóa riêng của ví.
Chi tiết giao dịch hiển thị:
Vấn đề chính là: Làm thế nào để địa chỉ kết thúc bằng fd51 có được quyền sở hữu tài sản? Tại sao lại liên quan đến một DEX nào đó?
Xem thêm lịch sử giao dịch của địa chỉ kết thúc bằng fd51, trước khi chuyển nhượng tài sản của A, địa chỉ này đã thực hiện thao tác Permit, và cả hai thao tác đều tương tác với hợp đồng Permit2 của một DEX.
Hợp đồng Permit2 là hợp đồng mới được một DEX ra mắt vào cuối năm 2022. Nó cho phép ủy quyền token chia sẻ và quản lý giữa các ứng dụng khác nhau, nhằm tạo ra trải nghiệm người dùng đồng nhất hơn, chi phí thấp hơn và an toàn hơn. Trong tương lai, với nhiều dự án tích hợp hơn, Permit2 có thể đạt được sự chuẩn hóa phê duyệt Token giữa các ứng dụng.
Trong các phương thức tương tác truyền thống, mỗi khi người dùng tương tác với một Dapp, họ cần phải cấp phép riêng biệt. Permit2 hoạt động như một bên trung gian, người dùng chỉ cần cấp phép cho hợp đồng Permit2, tất cả các Dapp tích hợp Permit2 đều có thể chia sẻ hạn mức cấp phép. Điều này giảm chi phí tương tác của người dùng và nâng cao trải nghiệm.
Nhưng Permit2 cũng là một con dao hai lưỡi. Nó biến việc thao tác của người dùng thành chữ ký ngoài chuỗi, và thao tác trên chuỗi được thực hiện bởi các vai trò trung gian. Điều này khiến cho ngay cả khi ví của người dùng không có ETH, họ vẫn có thể sử dụng các Token khác để thanh toán Gas hoặc được các vai trò trung gian hoàn lại. Tuy nhiên, chữ ký ngoài chuỗi là khâu mà người dùng dễ dàng bỏ qua nhất.
Để kích hoạt thủ thuật lừa đảo này, điều kiện tiên quyết là ví cần được cấp phép cho hợp đồng Permit2. Hiện tại, chỉ cần thực hiện Swap trên Dapp tích hợp Permit2, tất cả đều cần cấp phép cho hợp đồng Permit2. Điều đáng sợ hơn là, bất kể số tiền Swap là bao nhiêu, hợp đồng Permit2 sẽ mặc định yêu cầu người dùng cấp phép toàn bộ số dư của Token đó.
Điều này có nghĩa là, chỉ cần tương tác với một DEX nào đó sau năm 2023 và cấp quyền cho hợp đồng Permit2, có thể sẽ bị lộ ra rủi ro lừa đảo này. Tin tặc lợi dụng hàm Permit, thông qua chữ ký của người dùng, chuyển đổi hạn mức Token được cấp quyền cho Permit2 sang địa chỉ khác.
Phân tích chi tiết sự kiện
Hàm Permit cho phép ký trước "hợp đồng", ủy quyền cho người khác sử dụng một số lượng token nhất định trong tương lai. Nó yêu cầu cung cấp chữ ký để xác minh tính xác thực của quyền ủy quyền.
Quy trình làm việc của hàm:
Điểm quan trọng nằm ở hàm verify và hàm _updateApproval.
Hàm verify lấy dữ liệu v, r, s từ thông tin chữ ký, khôi phục địa chỉ chữ ký và so sánh với địa chỉ được truyền vào. Hàm _updateApproval cập nhật giá trị ủy quyền sau khi xác minh thành công.
Chi tiết giao dịch thực tế cho thấy:
Nhỏ A trước đây đã nhấp vào hạn mức ủy quyền vô hạn mặc định khi sử dụng một DEX nào đó.
Tóm tắt quá trình sự kiện: A trước đó đã ủy quyền cho Permit2 hạn mức USDT không giới hạn, sau đó vô tình rơi vào bẫy chữ ký do hacker thiết kế. Hacker đã lợi dụng chữ ký để thực hiện các thao tác Permit và Transfer From trong hợp đồng Permit2 để chuyển tài sản. Hiện tại, hợp đồng Permit2 của DEX này đã trở thành vùng thiên tai lừa đảo.
Làm thế nào để phòng ngừa?
Tách biệt tài sản và ví tương tác: Lưu trữ tài sản lớn trong ví lạnh, ví tương tác chỉ giữ một lượng tiền nhỏ.
Hạn chế hạn mức ủy quyền Permit2 hoặc hủy ủy quyền: chỉ ủy quyền số tiền giao dịch cần thiết, hoặc sử dụng plugin an toàn để hủy ủy quyền.
Tìm hiểu xem mã thông báo có hỗ trợ chức năng permit hay không: Chú ý đến việc liệu mã thông báo bạn nắm giữ có hỗ trợ chức năng này hay không, hãy đặc biệt thận trọng với các giao dịch liên quan.
Xây dựng kế hoạch cứu trợ tài sản hoàn chỉnh: Nếu sau khi bị đánh cắp vẫn còn tài sản trên các nền tảng khác, cần rút và chuyển nhượng cẩn thận, có thể xem xét sử dụng MEV để chuyển nhượng hoặc tìm kiếm sự hỗ trợ từ đội ngũ an ninh chuyên nghiệp.
Trong tương lai, có thể sẽ có nhiều vụ lừa đảo dựa trên Permit2 hơn. Cách lừa đảo bằng chữ ký này rất kín đáo và khó phòng ngừa, khi phạm vi ứng dụng của Permit2 mở rộng, số địa chỉ gặp rủi ro cũng sẽ tăng lên. Hy vọng độc giả sẽ truyền bá bài viết này, để tránh nhiều người bị thiệt hại hơn.