Vụ Trộm Tiền Ảo Lớn Do Lừa Đảo Permit
Một hacker đã đánh cắp hơn 440.000 USD trong USDC sau khi một chủ ví vô tình ký một chữ ký “permit” độc hại, theo thông tin từ Scam Sniffer vào thứ Hai. Vụ trộm này diễn ra trong bối cảnh gia tăng các vụ mất mát do lừa đảo. Trong tháng 11, khoảng 7,77 triệu USD đã bị rút từ hơn 6.000 nạn nhân, theo báo cáo hàng tháng của Scam Sniffer, cho thấy mức tăng 137% tổng số thiệt hại so với tháng 10, mặc dù số lượng nạn nhân giảm 42%.
“Việc săn cá voi đã gia tăng, với vụ lớn nhất lên tới 1,22 triệu USD (chữ ký permit). Mặc dù số vụ tấn công giảm, nhưng thiệt hại cá nhân lại tăng đáng kể,” công ty lưu ý.
Các vụ lừa đảo dựa trên permit xoay quanh việc đánh lừa người dùng ký một giao dịch trông có vẻ hợp pháp nhưng thực chất lại trao quyền cho kẻ tấn công chi tiêu token của họ. Các dapp độc hại có thể ngụy trang thông tin, giả mạo tên hợp đồng, hoặc trình bày yêu cầu chữ ký như một điều gì đó bình thường. Nếu người dùng không xem xét kỹ các chi tiết, việc ký yêu cầu sẽ cấp cho kẻ tấn công quyền truy cập vào tất cả các token ERC-20 của họ. Khi đã được cấp quyền, các kẻ lừa đảo thường rút tiền ngay lập tức.
Phương pháp này khai thác chức năng permit của Ethereum, được thiết kế để giúp việc chuyển token dễ dàng hơn bằng cách cho phép người dùng ủy quyền quyền chi tiêu cho các ứng dụng đáng tin cậy. Tuy nhiên, sự tiện lợi này trở thành một lỗ hổng khi quyền được cấp cho kẻ tấn công.
“Điều đặc biệt khó khăn về loại tấn công này là các kẻ tấn công có thể thực hiện phép permit và chuyển token trong một giao dịch (một cách tiếp cận đột kích) hoặc họ có thể tự cấp quyền truy cập qua permit và sau đó nằm im chờ để chuyển đi bất kỳ khoản tiền nào được thêm vào sau đó (miễn là họ đặt một thời hạn truy cập đủ xa trong siêu dữ liệu chức năng permit),” Tara Annison, trưởng bộ phận sản phẩm tại Twinstake, nói với Decrypt.
“Sự thành công của những loại lừa đảo này phụ thuộc vào việc bạn ký một cái gì đó mà bạn không hoàn toàn nhận ra nó sẽ làm gì,” cô nói thêm rằng, “Tất cả đều liên quan đến sự dễ bị tổn thương của con người và việc lợi dụng sự háo hức của mọi người.” Annison cho biết sự cố này không phải là một trường hợp đơn lẻ.
“Có nhiều ví dụ lớn về giá trị và khối lượng cao của các vụ lừa đảo được thiết kế để đánh lừa người dùng ký một cái gì đó mà họ không hoàn toàn hiểu. Thường được thực hiện dưới vỏ bọc của các airdrop miễn phí, các trang đích dự án giả mạo để kết nối ví của bạn hoặc các cảnh báo bảo mật giả mạo để kiểm tra xem bạn có bị ảnh hưởng hay không,” cô nói thêm.
Các nhà cung cấp ví đã triển khai nhiều tính năng bảo vệ hơn. MetaMask, ví dụ, cảnh báo người dùng nếu một trang web có vẻ đáng ngờ và cố gắng dịch dữ liệu giao dịch thành ý định dễ hiểu. Các ví khác cũng tương tự làm nổi bật các hành động có nguy cơ cao. Tuy nhiên, các kẻ lừa đảo vẫn tiếp tục thích nghi.
Harry Donnelly, người sáng lập và CEO của Circuit, nói với Decrypt rằng các cuộc tấn công kiểu permit “khá phổ biến” và khuyên người dùng kiểm tra địa chỉ người gửi và chi tiết hợp đồng. “Đó là cách rõ ràng nhất để biết nếu đó là một giao thức không khớp với nơi bạn thực sự cố gắng gửi tiền, thì có khả năng đó là ai đó đang cố gắng đánh cắp tiền,” ông nói.
“Bạn có thể kiểm tra số tiền, vì vậy thường họ sẽ cố gắng cấp quyền không giới hạn, như vậy.” Annison nhấn mạnh rằng sự cảnh giác vẫn là phòng thủ mạnh nhất của người dùng. “Cách tốt nhất để bảo vệ bản thân khỏi một vụ lừa đảo permit, approveAll hoặc transferFrom là đảm bảo rằng bạn biết bạn đang ký cái gì. Những hành động nào sẽ thực sự được thực hiện trong giao dịch? Những chức năng nào đang được sử dụng? Chúng có khớp với những gì bạn nghĩ rằng bạn đang ký không?”
“Nhiều ví và dapps đã cải thiện giao diện người dùng để đảm bảo rằng bạn không ký một cách mù quáng và có thể thấy điều gì sẽ xảy ra, cũng như cảnh báo cho các chức năng có nguy cơ cao đang được sử dụng. Tuy nhiên, điều quan trọng là người dùng phải tích cực kiểm tra những gì họ đang ký và không chỉ kết nối ví của họ và nhấn ký,” cô nói.
Khi đã bị đánh cắp, việc phục hồi tiền là không khả thi. Martin Derka, đồng sáng lập và trưởng bộ phận kỹ thuật tại Zircuit Finance, nói với Decrypt rằng khả năng lấy lại tiền là “cơ bản bằng không.”
“Trong các cuộc tấn công lừa đảo, bạn đang đối phó với một cá nhân có mục tiêu hoàn toàn là lấy tiền của bạn. Không có thương lượng, không có điểm liên lạc, và thường không biết ai là bên đối tác,” ông nói. “Những kẻ tấn công này chơi một trò chơi số,” Derka nói, thêm rằng, “Khi tiền đã đi, nó đã đi. Việc phục hồi gần như là không thể.”
