Một vụ tấn công trị giá 440.000 USD tiết lộ điều gì về mối đe dọa ngày càng tăng của các trò lừa đảo “ủy quyền” trên Ethereum

Nguồn: PortaldoBitcoin Tiêu đề gốc: Một vụ tấn công trị giá 440.000 USD tiết lộ mối đe dọa ngày càng tăng của các chiêu trò lừa đảo “ủy quyền” trên Ethereum Liên kết gốc: Một hacker đã đánh cắp hơn 440.000 USD bằng USDC sau khi chủ ví vô tình ký một chữ ký “ủy quyền” độc hại, theo một tweet của Scam Sniffer vào thứ Hai (8).

Vụ trộm xảy ra trong bối cảnh số vụ mất mát do phishing gia tăng. Khoảng 7,77 triệu USD đã bị mất từ hơn 6.000 nạn nhân trong tháng 11, theo báo cáo hàng tháng của Scam Sniffer, đại diện cho mức tăng 137% tổng thiệt hại so với tháng 10, mặc dù số nạn nhân giảm 42%.

“Cuộc săn cá voi đã trở nên khốc liệt hơn, với thiệt hại lớn nhất là 1,22 triệu USD (chữ ký ủy quyền). Dù số vụ tấn công giảm, thiệt hại cá nhân lại tăng đáng kể”, công ty này lưu ý.

Lừa đảo ủy quyền là gì?

Lừa đảo dựa trên ủy quyền lừa người dùng ký một giao dịch trông hợp pháp nhưng thực chất trao quyền cho kẻ tấn công tiêu xài token của họ. Các ứng dụng phi tập trung (dapps) độc hại có thể che giấu trường thông tin, giả mạo tên hợp đồng hoặc trình bày yêu cầu ký như một thao tác thường ngày.

Nếu người dùng không kiểm tra kỹ chi tiết, việc ký yêu cầu sẽ trao cho kẻ tấn công quyền truy cập tất cả token ERC-20 của họ. Một khi quyền đã được cấp, kẻ lừa đảo thường rút sạch tiền ngay lập tức.

Phương pháp này khai thác chức năng ủy quyền của Ethereum, vốn được thiết kế để tạo thuận lợi cho việc chuyển token, cho phép người dùng ủy quyền chi tiêu cho các ứng dụng đáng tin cậy. Sự tiện lợi này trở thành lỗ hổng khi quyền được trao cho kẻ tấn công.

“Điều đặc biệt phức tạp ở kiểu tấn công này là kẻ tấn công có thể thực hiện cả ủy quyền lẫn chuyển token trong một giao dịch duy nhất (một phương thức ‘đánh nhanh rút gọn’) hoặc có thể cấp quyền truy cập thông qua ủy quyền rồi chờ đợi, chờ nạn nhân nạp thêm tiền vào ví (miễn là đặt hạn truy cập đủ dài trong metadata của chức năng ủy quyền)”, Tara Annison, trưởng bộ phận sản phẩm tại Twinstake cho biết.

“Thành công của kiểu lừa đảo này phụ thuộc vào việc bạn ký một thứ mà không thật sự hiểu chuyện gì sẽ xảy ra”, cô nói thêm, “Tất cả đều xuất phát từ lỗ hổng của con người và lợi dụng sự cả tin của mọi người”.

Annison bổ sung rằng đây không phải là trường hợp cá biệt. “Có rất nhiều ví dụ về các vụ phishing giá trị lớn, được tạo ra để đánh lừa người dùng ký một thứ mà họ không hiểu rõ. Thường các vụ này ngụy trang thành các đợt airdrop, trang đích giả mạo các dự án để kết nối ví hoặc cảnh báo bảo mật giả để kiểm tra xem bạn có bị ảnh hưởng không”, cô cho biết.

Cách tự bảo vệ mình

Các nhà cung cấp ví điện tử ngày càng bổ sung nhiều tính năng bảo vệ hơn. Ví dụ, MetaMask cảnh báo người dùng nếu một trang web có dấu hiệu đáng ngờ và cố gắng dịch dữ liệu giao dịch sang ngôn ngữ dễ hiểu. Các ví khác cũng làm nổi bật những hành động rủi ro cao. Tuy nhiên, kẻ lừa đảo vẫn thích nghi liên tục.

Harry Donnelly, nhà sáng lập kiêm CEO Circuit, cho biết các vụ tấn công dạng “permit” khá phổ biến và khuyên người dùng kiểm tra địa chỉ gửi và chi tiết hợp đồng.

“Đây là cách rõ ràng nhất để biết liệu giao thức có phù hợp với nơi bạn thật sự muốn gửi tiền không, vì rất có thể ai đó đang cố lấy cắp của bạn”, ông nói. “Bạn có thể kiểm tra giá trị; họ thường cố gắng cấp quyền không giới hạn, như trường hợp này.”

Annison nhấn mạnh sự đề phòng vẫn là biện pháp phòng vệ tốt nhất cho người dùng. “Cách tốt nhất để tự bảo vệ khỏi các vụ lừa ‘permit’, ‘applianceAll’ hay ‘transferFrom’ là đảm bảo bạn biết mình đang ký gì. Thao tác nào sẽ thật sự thực hiện trong giao dịch? Chức năng nào đang được sử dụng? Chúng có đúng như bạn nghĩ không?”

“Nhiều ví và ứng dụng phi tập trung (dapps) đã cải thiện giao diện người dùng để giúp bạn không ký bừa và xem được kết quả, cũng như hiển thị cảnh báo về các chức năng rủi ro cao. Tuy nhiên, quan trọng là người dùng cần chủ động kiểm tra những gì mình ký, không chỉ kết nối ví và bấm ký”, cô nói.

Một khi đã bị lấy cắp, khả năng lấy lại tiền là rất thấp. Martin Derka, đồng sáng lập và trưởng bộ phận kỹ thuật của Zircuit Finance, cho biết khả năng lấy lại tiền là “gần như bằng không”.

“Với các vụ phishing, bạn đang đối mặt với một cá nhân mà mục tiêu duy nhất là lấy tiền của bạn. Không có thương lượng, không có kênh liên lạc và thường cũng không biết đối phương là ai”, ông nói.

“Những kẻ này đánh cược vào xác suất”, Derka cho biết, “một khi tiền đã đi, là đi mãi mãi. Khả năng phục hồi gần như không có.”