Phân tích bẫy lừa đảo chữ ký Web3: Phân tích cơ chế ủy quyền, Permit và Permit2

Gần đây, những kẻ hacker trong lĩnh vực Web3 đang rất thích một phương pháp lừa đảo mới - "lừa đảo chữ ký". Mặc dù các chuyên gia an ninh và các công ty ví tiền liên tục thực hiện giáo dục và cảnh báo về điều này, nhưng mỗi ngày vẫn có nhiều người dùng rơi vào bẫy. Một trong những nguyên nhân chính gây ra hiện tượng này là phần lớn người dùng thiếu hiểu biết về logic cơ bản của việc tương tác với ví, và đối với những người không chuyên, ngưỡng học tập về kiến thức liên quan là khá cao.

Để giúp nhiều người hiểu vấn đề này hơn, bài viết này sẽ giải thích logic cơ bản của lừa đảo chữ ký theo cách dễ hiểu, đặc biệt dành cho những người không hiểu về công nghệ.

Đầu tiên, chúng ta cần hiểu rằng khi sử dụng ví, chủ yếu có hai loại thao tác: "ký" và "tương tác". Nói một cách đơn giản, ký là thao tác diễn ra bên ngoài chuỗi khối, không cần phải trả phí Gas; trong khi tương tác diễn ra trên chuỗi khối, cần phải trả phí Gas.

Một kịch bản điển hình của chữ ký là để xác thực danh tính, chẳng hạn như đăng nhập vào ví. Khi bạn cần thực hiện một thao tác trên một DApp nào đó, bạn cần phải ký để chứng minh rằng bạn là chủ sở hữu của ví đó. Quá trình này sẽ không gây ra bất kỳ thay đổi thực chất nào trên blockchain, vì vậy không cần phải trả phí.

Ngược lại, tương tác thì liên quan đến các thao tác thực tế trên chuỗi. Ví dụ, khi bạn muốn thực hiện một giao dịch hoán đổi token trên một DEX nào đó, bạn cần phải cấp quyền cho hợp đồng thông minh của DEX có thể sử dụng token của bạn trước, rồi mới thực hiện thao tác hoán đổi thực tế. Cả hai bước này đều cần phải trả phí Gas.

Sau khi hiểu sự khác biệt giữa chữ ký và tương tác, chúng ta hãy xem xét một số phương thức lừa đảo phổ biến: lừa đảo bằng cách ủy quyền, lừa đảo bằng chữ ký Permit và lừa đảo bằng chữ ký Permit2.

Phishing ủy quyền là một phương pháp lừa đảo kinh điển, sử dụng cơ chế ủy quyền (approve). Hacker có thể tạo ra một trang web giả mạo thành dự án NFT, dụ dỗ người dùng nhấp vào nút "Nhận airdrop". Thực tế, khi người dùng nhấp vào, một yêu cầu ủy quyền cho địa chỉ hacker để thao tác với token của người dùng sẽ xuất hiện. Một khi người dùng xác nhận, hacker có thể kiểm soát tài sản của người dùng.

Tuy nhiên, việc ủy quyền lừa đảo vì cần phải trả phí Gas, nhiều người dùng khi thấy ví bật lên yêu cầu thanh toán sẽ trở nên cảnh giác hơn, do đó tương đối dễ phòng ngừa.

Và chữ ký lừa đảo Permit và Permit2 thì càng kín đáo và nguy hiểm hơn. Permit là một chức năng mở rộng của tiêu chuẩn ERC-20, cho phép người dùng phê duyệt người khác thực hiện các giao dịch với token của mình thông qua chữ ký. Người dùng chỉ cần ký một "giấy ủy quyền" có thông tin ủy quyền, người sở hữu "giấy ủy quyền" này có thể đại diện cho người dùng thực hiện các thao tác ủy quyền.

Permit2 là một tính năng được một số DEX giới thiệu nhằm cải thiện trải nghiệm người dùng. Nó cho phép người dùng ủy quyền số lượng lớn một lần cho hợp đồng Permit2, sau đó mỗi giao dịch chỉ cần ký xác nhận, không cần phải trả thêm phí Gas.

Hai phương pháp lừa đảo này khó phòng ngừa là vì người dùng đã quen với việc thực hiện thao tác ký trước khi sử dụng DApp, thường không kiểm tra kỹ nội dung cụ thể của chữ ký.

Để phòng ngừa lừa đảo chữ ký, người dùng nên:

1. Nuôi dưỡng ý thức an toàn, hãy kiểm tra kỹ lưỡng các thao tác đang diễn ra mỗi khi thực hiện giao dịch với ví.

2. Tách biệt số tiền lớn với ví dùng hàng ngày để giảm thiểu tổn thất tiềm năng.

3. Học cách nhận diện định dạng chữ ký của Permit và Permit2, khi thấy yêu cầu chữ ký chứa thông tin sau đây, cần đặc biệt cảnh giác:

   • Interactive：Địa chỉ tương tác
   • Chủ sở hữu：Địa chỉ của bên ủy quyền
   • Spender：Địa chỉ bên được ủy quyền
   • Giá trị：Số lượng ủy quyền
   • Nonce：số ngẫu nhiên
   • Deadline：Thời gian hết hạn

Bằng cách hiểu nguyên lý và phương pháp phòng ngừa của những cơ chế lừa đảo này, người dùng có thể bảo vệ an toàn tài sản số của mình tốt hơn.