Ký tên đã bị đánh cắp? Khám phá trò lừa bịp ký tên Permit2 của một DEX nhất định

Tin tặc là một sự tồn tại khiến người ta sợ hãi trong hệ sinh thái Web3. Đối với các dự án, mã nguồn mở làm tăng rủi ro an ninh; đối với người dùng cá nhân, mỗi lần tương tác trên chuỗi đều có thể mang lại rủi ro bị đánh cắp tài sản. Do đó, vấn đề an ninh luôn là ưu tiên hàng đầu trong thế giới tiền mã hóa.

Gần đây, một nhà nghiên cứu đã phát hiện ra một phương pháp lừa đảo mới, chỉ cần ký tên có thể dẫn đến việc tài sản bị đánh cắp. Phương pháp này cực kỳ kín đáo và khó phòng ngừa, và bất kỳ địa chỉ nào đã sử dụng một DEX đều có thể đối mặt với rủi ro. Bài viết này sẽ phân tích phương pháp lừa đảo bằng chữ ký này, nhằm giúp mọi người tránh được nhiều tổn thất tài sản hơn.

Diễn biến sự kiện

Một người dùng (, nhỏ A ), đã tìm kiếm sự giúp đỡ sau khi tài sản ví của mình bị đánh cắp. Khác với các phương thức đánh cắp thông thường, nhỏ A không để lộ khóa riêng tư hoặc tương tác với trang web lừa đảo. Qua trình duyệt blockchain, có thể thấy rằng USDT của nhỏ A đã được chuyển nhượng thông qua hàm Transfer From, điều này có nghĩa là một bên thứ ba đã thực hiện việc chuyển giao tài sản, chứ không phải là do lộ khóa riêng.

Tiến hành tra cứu thêm phát hiện:

• Một địa chỉ (fd51) đã chuyển tài sản của nhỏ A đến một địa chỉ khác (a0c8)
• Hành động này tương tác với hợp đồng Permit2 của một DEX nào đó.

Câu hỏi quan trọng là: làm thế nào để địa chỉ fd51 có được quyền tài sản? Tại sao lại liên quan đến một DEX nào đó?

Phân tích hồ sơ tương tác của địa chỉ fd51, phát hiện ra rằng trước khi chuyển nhượng tài sản của A nhỏ, địa chỉ này đã thực hiện thao tác Permit, và cả hai đối tượng tương tác đều là hợp đồng Permit2 của một DEX nào đó.

Phân tích hợp đồng Permit2

Permit2 của một DEX là một hợp đồng phê duyệt token, cho phép chia sẻ và quản lý quyền hạn giữa các ứng dụng khác nhau, nhằm cung cấp trải nghiệm người dùng đồng nhất, hiệu quả và an toàn hơn. Trong tương lai, với việc tăng cường tích hợp, Permit2 có khả năng đạt được tiêu chuẩn hóa quyền hạn token xuyên ứng dụng.

Lợi thế chính của Permit2 là: người dùng chỉ cần cấp quyền một lần cho hợp đồng Permit2, tất cả các ứng dụng tích hợp hợp đồng này đều có thể chia sẻ hạn mức quyền. Điều này giảm đáng kể chi phí tương tác của người dùng và nâng cao trải nghiệm. Nhưng điều này cũng có thể là một con dao hai lưỡi.

Trong các phương thức tương tác truyền thống, việc ủy quyền và chuyển tiền đều là các thao tác trên chuỗi của người dùng. Tuy nhiên, Permit2 đã biến các thao tác của người dùng thành chữ ký ngoài chuỗi, và các thao tác trên chuỗi được thực hiện bởi bên trung gian ( như hợp đồng Permit2 hoặc các dự án tích hợp ). Điều này cho phép người dùng không cần nắm giữ ETH vẫn có thể thanh toán gas hoặc hoàn thành giao dịch.

Tuy nhiên, chữ ký ngoài chuỗi lại chính là khâu mà người dùng dễ dàng bỏ qua nhất. Hầu hết mọi người sẽ không kiểm tra kỹ nội dung chữ ký, điều này chính là điểm nguy hiểm nhất.

Tái hiện thủ pháp câu cá

Điều kiện tiên quyết của thủ thuật lừa đảo này là: ví bị lừa đảo cần phải đã cấp quyền cho hợp đồng Permit2. Hiện tại, chỉ cần thực hiện Swap trên ứng dụng tích hợp Permit2 hoặc một số DEX, sẽ yêu cầu cấp quyền cho Permit2.

Càng tệ hơn, bất kể số tiền Swap là bao nhiêu, Permit2 của một số DEX sẽ mặc định yêu cầu ủy quyền toàn bộ số dư. Mặc dù ví sẽ đề xuất số tiền tùy chỉnh, nhưng hầu hết người dùng sẽ trực tiếp chọn giá trị tối đa hoặc giá trị mặc định.

Điều này có nghĩa là, chỉ cần tương tác với một DEX nào đó sau năm 2023 và ủy quyền cho Permit2, có thể sẽ bị lộ ra dưới nguy cơ lừa đảo này.

Nguyên lý cốt lõi là sử dụng hàm Permit, thông qua chữ ký của người dùng để chuyển giao hạn mức token được ủy quyền cho Permit2 đến địa chỉ khác. Kẻ tấn công chỉ cần lấy được chữ ký, có thể chuyển giao tài sản của người dùng.

Lời khuyên phòng ngừa

1. Hiểu và nhận diện nội dung chữ ký: Học cách nhận diện định dạng chữ ký Permit, sử dụng plugin an toàn hỗ trợ.

2. Tách biệt lưu trữ tài sản và ví tương tác: Tài sản lớn được lưu trữ trong ví lạnh, ví tương tác có một lượng nhỏ tiền.

3. Kiểm soát hạn mức ủy quyền Permit2: chỉ ủy quyền số tiền cần thiết, hoặc hủy bỏ ủy quyền thừa.

4. Tìm hiểu xem mã thông báo có hỗ trợ chức năng permit hay không: cần đặc biệt cẩn thận với các giao dịch của mã thông báo được hỗ trợ.

5. Xây dựng kế hoạch ứng phó: Nếu phát hiện bị đánh cắp, cần nhanh chóng và an toàn chuyển giao tài sản sang các nền tảng khác.

Khi phạm vi ứng dụng Permit2 mở rộng, các cuộc tấn công lừa đảo dựa trên đó có thể sẽ gia tăng. Cách lừa đảo bằng chữ ký này khó phát hiện và khó phòng ngừa, và số lượng địa chỉ có rủi ro bị lộ cũng sẽ ngày càng nhiều. Hy vọng độc giả có thể chia sẻ bài viết này, giúp nhiều người hơn tránh được rủi ro bị đánh cắp.