Hacker là một thực thể đáng sợ trong hệ sinh thái Web3. Đối với các dự án, mã nguồn mở có nghĩa là các hacker trên toàn cầu có thể nhắm vào bạn, chỉ cần viết sai một dòng mã có thể để lại lỗ hổng, hậu quả của sự cố an ninh rất nghiêm trọng. Đối với người dùng cá nhân, nếu không hiểu rõ ý nghĩa của các thao tác của mình, mỗi lần tương tác hoặc ký trên chuỗi đều có thể dẫn đến việc tài sản bị đánh cắp. Do đó, vấn đề an ninh luôn là một trong những vấn đề khó khăn nhất trong thế giới tiền mã hóa. Do đặc điểm của blockchain, một khi tài sản bị đánh cắp gần như không thể thu hồi, vì vậy việc có kiến thức về an ninh trong thế giới tiền mã hóa là vô cùng quan trọng.
Gần đây đã phát hiện ra một phương pháp lừa đảo mới hoạt động trong hai tháng qua, chỉ cần ký tên là sẽ bị đánh cắp, phương pháp này cực kỳ tinh vi và khó phòng tránh, và bất kỳ địa chỉ nào đã tương tác với Uniswap đều có thể đối mặt với rủi ro. Bài viết này sẽ cung cấp kiến thức về phương pháp lừa đảo ký tên này, nhằm tránh thiệt hại tài sản nhiều hơn.
Diễn biến sự kiện
Gần đây, một người bạn ( nhỏ A ) đã bị đánh cắp tài sản trong ví của mình. Khác với các phương thức đánh cắp thông thường, nhỏ A không tiết lộ khóa riêng và cũng không tương tác với hợp đồng của trang web lừa đảo. Cuộc điều tra phát hiện rằng USDT trong ví của nhỏ A bị đánh cắp thông qua hàm Transfer From, điều này có nghĩa là một địa chỉ khác đã thực hiện thao tác chuyển Token đi, chứ không phải do khóa riêng của ví bị lộ.
Thông qua việc tra cứu chi tiết giao dịch, phát hiện manh mối quan trọng:
Một địa chỉ chuyển tài sản của A nhỏ đến địa chỉ khác
Hành động này tương tác với hợp đồng Permit2 của Uniswap.
Vấn đề là, địa chỉ này đã có quyền truy cập tài sản như thế nào? Tại sao lại liên quan đến Uniswap?
Điều kiện để gọi hàm Transfer From là bên gọi phải có quyền hạn mức Token (approve). Câu trả lời nằm ở việc trước khi thực hiện Transfer From, địa chỉ đó đã thực hiện một thao tác Permit, cả hai thao tác đều tương tác với hợp đồng Permit2 của Uniswap.
Hợp đồng Uniswap Permit2 là hợp đồng mới mà Uniswap ra mắt vào cuối năm 2022, cho phép ủy quyền token để chia sẻ và quản lý trong các ứng dụng khác nhau, nhằm tạo ra trải nghiệm người dùng đồng nhất, tiết kiệm chi phí và an toàn hơn. Khi ngày càng nhiều dự án tích hợp Permit2, nó có thể tiêu chuẩn hóa việc phê duyệt Token trong tất cả các ứng dụng, cải thiện trải nghiệm người dùng bằng cách giảm chi phí giao dịch, đồng thời nâng cao tính an toàn của hợp đồng thông minh.
Việc ra mắt Permit2 có thể thay đổi quy tắc của toàn bộ hệ sinh thái Dapp. Trong phương pháp truyền thống, mỗi lần tương tác chuyển nhượng tài sản với Dapp đều cần phải có sự ủy quyền riêng biệt. Trong khi đó, Permit2 có thể loại bỏ bước này, giảm hiệu quả chi phí tương tác của người dùng, mang lại trải nghiệm người dùng tốt hơn.
Permit2 như một trung gian giữa người dùng và Dapp, người dùng chỉ cần cấp quyền Token cho hợp đồng Permit2, tất cả các Dapp tích hợp Permit2 đều có thể chia sẻ hạn mức ủy quyền này. Điều này vốn là tình huống đôi bên cùng có lợi, nhưng cũng có thể là con dao hai lưỡi, vấn đề nằm ở cách thức tương tác với Permit2.
Trong phương thức tương tác truyền thống, việc ủy quyền và chuyển tiền đều là tương tác trên chuỗi đối với người dùng. Permit2 biến các thao tác của người dùng thành chữ ký ngoài chuỗi, tất cả các thao tác trên chuỗi được thực hiện bởi các vai trò trung gian ( như hợp đồng Permit2 và các dự án tích hợp Permit2 ). Lợi ích mang lại là, ngay cả khi ví của người dùng không có ETH, họ vẫn có thể sử dụng Token khác để thanh toán phí Gas hoặc được hoàn trả bởi các vai trò trung gian.
Tuy nhiên, chữ ký ngoại tuyến là giai đoạn mà người dùng dễ dàng lơ là nhất. Nhiều người khi đăng nhập Dapp bằng ví sẽ không kiểm tra kỹ nội dung ký tên và cũng không hiểu ý nghĩa của nó, đây là chỗ nguy hiểm nhất.
Để sử dụng thủ thuật lừa đảo bằng chữ ký Permit2 này, điều kiện quan trọng là ví bị lừa phải có Token được ủy quyền cho hợp đồng Permit2 của Uniswap. Hiện tại, chỉ cần thực hiện Swap trên Dapp tích hợp với Permit2 hoặc Uniswap, đều cần được ủy quyền cho hợp đồng Permit2.
Điều đáng sợ hơn là, bất kể số lượng Swap là bao nhiêu, hợp đồng Permit2 của Uniswap sẽ mặc định cho phép người dùng ủy quyền toàn bộ số dư của Token đó. Mặc dù MetaMask cho phép nhập số tiền tùy chỉnh, nhưng hầu hết mọi người có thể chọn giá trị tối đa hoặc giá trị mặc định, và giá trị mặc định của Permit2 là hạn mức vô hạn.
Điều này có nghĩa là, chỉ cần bạn đã tương tác với Uniswap và ủy quyền hạn mức cho hợp đồng Permit2 sau năm 2023, bạn có thể bị lộ ra rủi ro của trò lừa bịp này.
Điểm chính là hàm Permit, nó có thể sử dụng ví của bạn để chuyển quyền hạn Token được cấp cho hợp đồng Permit2 đến địa chỉ khác. Chỉ cần có được chữ ký của bạn, hacker có thể lấy quyền truy cập Token trong ví của bạn và chuyển tài sản của bạn.
Làm thế nào để phòng ngừa?
Xem xét rằng hợp đồng Uniswap Permit2 có thể trở nên phổ biến hơn trong tương lai, nhiều dự án có thể tích hợp hợp đồng Permit2 để chia sẻ quyền hạn, các biện pháp phòng ngừa hiệu quả bao gồm:
Hiểu và nhận diện nội dung chữ ký:
Định dạng chữ ký của Permit thường bao gồm các trường quan trọng như Owner, Spender, value, nonce và deadline. Nếu muốn tận hưởng sự tiện lợi và chi phí thấp mà Permit2 mang lại, bạn phải học cách nhận diện định dạng chữ ký này. Sử dụng plugin bảo mật là một lựa chọn tốt.
Tách biệt lưu trữ tài sản và ví tương tác:
Nên lưu trữ một lượng lớn tài sản trong ví lạnh, ví tương tác trên chuỗi chỉ nên chứa một lượng nhỏ tiền, điều này có thể giảm thiểu đáng kể tổn thất khi gặp phải trò lừa bịp.
Giới hạn hạn mức ủy quyền hoặc hủy bỏ ủy quyền:
Khi thực hiện Swap trên Uniswap, chỉ nên ủy quyền số tiền cần thiết cho các tương tác. Mặc dù việc ủy quyền lại mỗi lần tương tác sẽ tăng một số chi phí, nhưng có thể tránh được việc bị lừa đảo chữ ký Permit2. Nếu đã ủy quyền số tiền, có thể sử dụng plugin an toàn để hủy ủy quyền.
Nhận diện tính chất của token, hiểu liệu có hỗ trợ chức năng permit hay không:
Với ngày càng nhiều mã thông báo ERC20 có thể sử dụng giao thức mở rộng này để thực hiện chức năng permit, cần chú ý xem mã thông báo mình nắm giữ có hỗ trợ chức năng này hay không. Nếu có hỗ trợ, cần đặc biệt cẩn thận với các giao dịch hoặc thao tác liên quan đến mã thông báo đó, kiểm tra kỹ từng chữ ký không xác định có liên quan đến hàm permit.
Xây dựng kế hoạch cứu trợ tài sản hoàn thiện:
Nếu phát hiện bị lừa đảo, nhưng vẫn còn token thông qua việc stake hoặc các phương thức khác trên nền tảng khác, cần phải rút và chuyển đến địa chỉ an toàn, cần lưu ý rằng hacker có thể theo dõi số dư địa chỉ của bạn bất cứ lúc nào. Vì hacker có chữ ký của bạn, chỉ cần token xuất hiện trên địa chỉ bị đánh cắp, nó có thể bị chuyển đi ngay lập tức. Cần lập kế hoạch cứu token một cách cẩn thận, đảm bảo quá trình rút và chuyển được thực hiện đồng bộ, không cho hacker cơ hội chèn giao dịch. Có thể xem xét việc sử dụng chuyển MEV hoặc tìm kiếm sự giúp đỡ từ các công ty an ninh chuyên nghiệp.
Trong tương lai, việc lừa đảo dựa trên Permit2 có thể ngày càng gia tăng, phương thức lừa đảo bằng chữ ký này cực kỳ kín đáo và khó phòng ngừa. Khi phạm vi ứng dụng của Permit2 mở rộng, số lượng địa chỉ bị lộ ra rủi ro cũng sẽ tăng lên. Hy vọng độc giả có thể truyền bá những thông tin này đến nhiều người hơn, tránh cho nhiều người phải chịu tổn thất.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
10 thích
Phần thưởng
10
5
Đăng lại
Chia sẻ
Bình luận
0/400
WalletDoomsDay
· 08-04 15:25
Ngày nào cũng chơi chữ ký, sáng tối chơi không có coin.
Xem bản gốcTrả lời0
LiquidationAlert
· 08-02 23:37
Hacker có thể theo dõi tôi không? Hoảng sợ muốn chết.
Xem bản gốcTrả lời0
DataBartender
· 08-02 16:28
Ký tên bị đánh cắp thật là vô lý! Gửi đi!
Xem bản gốcTrả lời0
CryingOldWallet
· 08-02 16:01
Ai còn dám sử dụng uni nữa chứ
Xem bản gốcTrả lời0
AirdropBlackHole
· 08-02 16:00
Lại phải nói về an toàn ví tiền rồi, có phiền không?
Phương pháp lừa đảo ký hiệu mới của Uniswap Permit2: Cơ chế, rủi ro và biện pháp phòng ngừa
Khám Phá Trò Lừa Bịp Ký Tên Permit2 Của Uniswap
Hacker là một thực thể đáng sợ trong hệ sinh thái Web3. Đối với các dự án, mã nguồn mở có nghĩa là các hacker trên toàn cầu có thể nhắm vào bạn, chỉ cần viết sai một dòng mã có thể để lại lỗ hổng, hậu quả của sự cố an ninh rất nghiêm trọng. Đối với người dùng cá nhân, nếu không hiểu rõ ý nghĩa của các thao tác của mình, mỗi lần tương tác hoặc ký trên chuỗi đều có thể dẫn đến việc tài sản bị đánh cắp. Do đó, vấn đề an ninh luôn là một trong những vấn đề khó khăn nhất trong thế giới tiền mã hóa. Do đặc điểm của blockchain, một khi tài sản bị đánh cắp gần như không thể thu hồi, vì vậy việc có kiến thức về an ninh trong thế giới tiền mã hóa là vô cùng quan trọng.
Gần đây đã phát hiện ra một phương pháp lừa đảo mới hoạt động trong hai tháng qua, chỉ cần ký tên là sẽ bị đánh cắp, phương pháp này cực kỳ tinh vi và khó phòng tránh, và bất kỳ địa chỉ nào đã tương tác với Uniswap đều có thể đối mặt với rủi ro. Bài viết này sẽ cung cấp kiến thức về phương pháp lừa đảo ký tên này, nhằm tránh thiệt hại tài sản nhiều hơn.
Diễn biến sự kiện
Gần đây, một người bạn ( nhỏ A ) đã bị đánh cắp tài sản trong ví của mình. Khác với các phương thức đánh cắp thông thường, nhỏ A không tiết lộ khóa riêng và cũng không tương tác với hợp đồng của trang web lừa đảo. Cuộc điều tra phát hiện rằng USDT trong ví của nhỏ A bị đánh cắp thông qua hàm Transfer From, điều này có nghĩa là một địa chỉ khác đã thực hiện thao tác chuyển Token đi, chứ không phải do khóa riêng của ví bị lộ.
Thông qua việc tra cứu chi tiết giao dịch, phát hiện manh mối quan trọng:
Vấn đề là, địa chỉ này đã có quyền truy cập tài sản như thế nào? Tại sao lại liên quan đến Uniswap?
Điều kiện để gọi hàm Transfer From là bên gọi phải có quyền hạn mức Token (approve). Câu trả lời nằm ở việc trước khi thực hiện Transfer From, địa chỉ đó đã thực hiện một thao tác Permit, cả hai thao tác đều tương tác với hợp đồng Permit2 của Uniswap.
Hợp đồng Uniswap Permit2 là hợp đồng mới mà Uniswap ra mắt vào cuối năm 2022, cho phép ủy quyền token để chia sẻ và quản lý trong các ứng dụng khác nhau, nhằm tạo ra trải nghiệm người dùng đồng nhất, tiết kiệm chi phí và an toàn hơn. Khi ngày càng nhiều dự án tích hợp Permit2, nó có thể tiêu chuẩn hóa việc phê duyệt Token trong tất cả các ứng dụng, cải thiện trải nghiệm người dùng bằng cách giảm chi phí giao dịch, đồng thời nâng cao tính an toàn của hợp đồng thông minh.
Việc ra mắt Permit2 có thể thay đổi quy tắc của toàn bộ hệ sinh thái Dapp. Trong phương pháp truyền thống, mỗi lần tương tác chuyển nhượng tài sản với Dapp đều cần phải có sự ủy quyền riêng biệt. Trong khi đó, Permit2 có thể loại bỏ bước này, giảm hiệu quả chi phí tương tác của người dùng, mang lại trải nghiệm người dùng tốt hơn.
Permit2 như một trung gian giữa người dùng và Dapp, người dùng chỉ cần cấp quyền Token cho hợp đồng Permit2, tất cả các Dapp tích hợp Permit2 đều có thể chia sẻ hạn mức ủy quyền này. Điều này vốn là tình huống đôi bên cùng có lợi, nhưng cũng có thể là con dao hai lưỡi, vấn đề nằm ở cách thức tương tác với Permit2.
Trong phương thức tương tác truyền thống, việc ủy quyền và chuyển tiền đều là tương tác trên chuỗi đối với người dùng. Permit2 biến các thao tác của người dùng thành chữ ký ngoài chuỗi, tất cả các thao tác trên chuỗi được thực hiện bởi các vai trò trung gian ( như hợp đồng Permit2 và các dự án tích hợp Permit2 ). Lợi ích mang lại là, ngay cả khi ví của người dùng không có ETH, họ vẫn có thể sử dụng Token khác để thanh toán phí Gas hoặc được hoàn trả bởi các vai trò trung gian.
Tuy nhiên, chữ ký ngoại tuyến là giai đoạn mà người dùng dễ dàng lơ là nhất. Nhiều người khi đăng nhập Dapp bằng ví sẽ không kiểm tra kỹ nội dung ký tên và cũng không hiểu ý nghĩa của nó, đây là chỗ nguy hiểm nhất.
Để sử dụng thủ thuật lừa đảo bằng chữ ký Permit2 này, điều kiện quan trọng là ví bị lừa phải có Token được ủy quyền cho hợp đồng Permit2 của Uniswap. Hiện tại, chỉ cần thực hiện Swap trên Dapp tích hợp với Permit2 hoặc Uniswap, đều cần được ủy quyền cho hợp đồng Permit2.
Điều đáng sợ hơn là, bất kể số lượng Swap là bao nhiêu, hợp đồng Permit2 của Uniswap sẽ mặc định cho phép người dùng ủy quyền toàn bộ số dư của Token đó. Mặc dù MetaMask cho phép nhập số tiền tùy chỉnh, nhưng hầu hết mọi người có thể chọn giá trị tối đa hoặc giá trị mặc định, và giá trị mặc định của Permit2 là hạn mức vô hạn.
Điều này có nghĩa là, chỉ cần bạn đã tương tác với Uniswap và ủy quyền hạn mức cho hợp đồng Permit2 sau năm 2023, bạn có thể bị lộ ra rủi ro của trò lừa bịp này.
Điểm chính là hàm Permit, nó có thể sử dụng ví của bạn để chuyển quyền hạn Token được cấp cho hợp đồng Permit2 đến địa chỉ khác. Chỉ cần có được chữ ký của bạn, hacker có thể lấy quyền truy cập Token trong ví của bạn và chuyển tài sản của bạn.
Làm thế nào để phòng ngừa?
Xem xét rằng hợp đồng Uniswap Permit2 có thể trở nên phổ biến hơn trong tương lai, nhiều dự án có thể tích hợp hợp đồng Permit2 để chia sẻ quyền hạn, các biện pháp phòng ngừa hiệu quả bao gồm:
Tách biệt lưu trữ tài sản và ví tương tác: Nên lưu trữ một lượng lớn tài sản trong ví lạnh, ví tương tác trên chuỗi chỉ nên chứa một lượng nhỏ tiền, điều này có thể giảm thiểu đáng kể tổn thất khi gặp phải trò lừa bịp.
Giới hạn hạn mức ủy quyền hoặc hủy bỏ ủy quyền: Khi thực hiện Swap trên Uniswap, chỉ nên ủy quyền số tiền cần thiết cho các tương tác. Mặc dù việc ủy quyền lại mỗi lần tương tác sẽ tăng một số chi phí, nhưng có thể tránh được việc bị lừa đảo chữ ký Permit2. Nếu đã ủy quyền số tiền, có thể sử dụng plugin an toàn để hủy ủy quyền.
Nhận diện tính chất của token, hiểu liệu có hỗ trợ chức năng permit hay không: Với ngày càng nhiều mã thông báo ERC20 có thể sử dụng giao thức mở rộng này để thực hiện chức năng permit, cần chú ý xem mã thông báo mình nắm giữ có hỗ trợ chức năng này hay không. Nếu có hỗ trợ, cần đặc biệt cẩn thận với các giao dịch hoặc thao tác liên quan đến mã thông báo đó, kiểm tra kỹ từng chữ ký không xác định có liên quan đến hàm permit.
Xây dựng kế hoạch cứu trợ tài sản hoàn thiện: Nếu phát hiện bị lừa đảo, nhưng vẫn còn token thông qua việc stake hoặc các phương thức khác trên nền tảng khác, cần phải rút và chuyển đến địa chỉ an toàn, cần lưu ý rằng hacker có thể theo dõi số dư địa chỉ của bạn bất cứ lúc nào. Vì hacker có chữ ký của bạn, chỉ cần token xuất hiện trên địa chỉ bị đánh cắp, nó có thể bị chuyển đi ngay lập tức. Cần lập kế hoạch cứu token một cách cẩn thận, đảm bảo quá trình rút và chuyển được thực hiện đồng bộ, không cho hacker cơ hội chèn giao dịch. Có thể xem xét việc sử dụng chuyển MEV hoặc tìm kiếm sự giúp đỡ từ các công ty an ninh chuyên nghiệp.
Trong tương lai, việc lừa đảo dựa trên Permit2 có thể ngày càng gia tăng, phương thức lừa đảo bằng chữ ký này cực kỳ kín đáo và khó phòng ngừa. Khi phạm vi ứng dụng của Permit2 mở rộng, số lượng địa chỉ bị lộ ra rủi ro cũng sẽ tăng lên. Hy vọng độc giả có thể truyền bá những thông tin này đến nhiều người hơn, tránh cho nhiều người phải chịu tổn thất.