Tác giả gốc: rau chân vịt bocaibocai (X: @wzxznl )
Mình vừa ký tên mà sao lại hết tiền vậy? ? "Lừa đảo bằng chữ ký" hiện đang trở thành phương thức lừa đảo ưa thích của hacker Web3. Gần đây, tôi thấy ông chủ Cosine @evilcos cùng các ví và công ty bảo mật lớn không ngừng phổ biến kiến thức về các chữ ký lừa đảo phổ biến, nhưng nhiều người vẫn bị lừa đảo hàng ngày. .
Spinach tin rằng một trong những lý do là hầu hết mọi người không hiểu logic cơ bản của tương tác ví và ngưỡng học tập quá cao đối với những người không hiểu công nghệ, vì vậy Spinach quyết định tạo một phiên bản minh họa về logic cơ bản của phổ biến. lừa đảo chữ ký khoa học và cố gắng sử dụng Hình thức bản ngữ tối đa có thể được hiểu bởi những người không rành về kỹ thuật.
Trước hết, chúng ta cần biết rằng chỉ có hai thao tác trong việc sử dụng ví: "ký" và "tương tác". Cách hiểu đơn giản và trực tiếp nhất là chữ ký xảy ra bên ngoài blockchain (ngoài chuỗi) và không yêu cầu phí gas; các tương tác xảy ra trên blockchain (trên chuỗi) và yêu cầu phí gas.
Kịch bản sử dụng chung của chữ ký là để xác minh rằng bạn là bạn, chẳng hạn như đăng nhập vào ví. Cũng giống như nếu bạn muốn vào Uniswap để trao đổi token, trước tiên bạn cần phải liên kết ví của mình. một cái tên để nói với trang web "Tôi là "Chủ sở hữu ví" này, sau đó bạn có thể sử dụng Uniswap. Bước này sẽ không gây ra bất kỳ thay đổi dữ liệu hoặc trạng thái nào đối với blockchain nên không cần phải tốn tiền. Về mặt tương tác, khi bạn thực sự muốn trao đổi Token trên Uniswap, trước tiên bạn cần bỏ ra một khoản tiền để nói với hợp đồng USDT: “Tôi muốn đổi 100 USDT lấy một xu rau bina và tôi đồng ý rằng bạn có thể chuyển 100 USDT." Bước này được gọi là ủy quyền và sau đó bạn phải chi thêm một khoản tiền khác để nói với hợp đồng thông minh của Uniswap: "Tôi muốn sử dụng 100 USDT để đổi lấy đồng xu rau bina và bạn có thể thực hiện thao tác ngay bây giờ" và thế là bạn đã hoàn tất thao tác đổi 100 USDT lấy một đồng xu rau bina.
Sau khi hiểu ngắn gọn về sự khác biệt giữa chữ ký và tương tác, chúng tôi sẽ giới thiệu nguyên tắc lừa đảo. Spinach sẽ liệt kê ba phương pháp khác nhau: lừa đảo ủy quyền, cho phép lừa đảo chữ ký và cho phép lừa đảo chữ ký 2. Ba phương pháp này rất phổ biến.
Trước tiên hãy nói về lừa đảo ủy quyền. Đây là một trong những phương thức lừa đảo cổ điển nhất trong Web3 trước đây. Như tên cho thấy, nó sử dụng cơ chế ủy quyền (phê duyệt). Ví dụ trước đây của Uniswap cho chúng ta biết rằng ủy quyền là để nói với người thông minh. hợp đồng “Tôi chấp thuận bạn di chuyển mã thông báo xxx của tôi ", sau đó hacker có thể tạo một trang web lừa đảo giả mạo với giao diện người dùng đẹp mắt được ngụy trang dưới dạng dự án NFT. Ở giữa trang web có một nút lớn tuyệt đẹp "Nhận airdrop của bạn". Trên thực tế, giao diện bật lên từ ví sau khi bạn nhấp vào thực chất là Trên đây là địa chỉ yêu cầu bạn ủy quyền Token của mình cho hacker. Nếu bạn nhấp vào Xác nhận vào thời điểm này, xin chúc mừng hacker đã hoàn thành KPI. .
Tuy nhiên, có một vấn đề với lừa đảo được ủy quyền: vì tốn xăng nên nhiều người hiện cảnh giác với các hoạt động liên quan đến việc tiêu tiền. Sau khi nhấp vào một trang web lạ, bạn sẽ thấy có gì đó không ổn sau khi xem nhanh, vì vậy tốt hơn hết bạn nên ngăn chặn. Nó.
Sau đó đến nhân vật chính của ngày hôm nay: Lừa đảo chữ ký Permit và Permit 2, đây là lĩnh vực bị ảnh hưởng nặng nề nhất trong lĩnh vực bảo mật tài sản Web3. Tại sao lại khó ngăn chặn như vậy? Bởi vì mỗi khi muốn sử dụng Dapp, bạn phải đăng nhập vào ví của mình. Nhiều người có thể đã hình thành một suy nghĩ quán tính trong đầu: “Hoạt động này an toàn và hầu hết mọi người đều không cần phải tốn tiền”. Không biết ý nghĩa từng chữ ký.
Trước tiên, hãy xem xét cơ chế Giấy phép. Giấy phép là một chức năng mở rộng để ủy quyền theo tiêu chuẩn ERC-20. Chúng tôi biết Ủy quyền. (Phê duyệt) là khi bạn tiêu tiền để nói với hợp đồng thông minh: "Bạn có thể di chuyển số lượng Token của tôi." Sau đó, Giấy phép là khi bạn ký một "ghi chú" cho một người nào đó. Giấy này nói: ""Tôi cho phép-. và-vì vậy để di chuyển số lượng Token xxx của tôi", thì người này lấy "ghi chú" này vào hợp đồng thông minh và bỏ ra một khoản phí gas để thông báo cho hợp đồng thông minh: "Anh ta cho phép tôi di chuyển số lượng Token xxx của anh ta", và sau đó Bạn Tiền có thể bị người khác chiếm đoạt. Trong quá trình này, bạn chỉ cần ký một tên, nhưng đằng sau nó có nghĩa là bạn cho phép người khác gọi ủy quyền (Phê duyệt) và chuyển mã thông báo của bạn. Tin tặc có thể tạo một trang web lừa đảo. để đăng nhập vào ví bằng Permit phishing, sau đó bạn có thể dễ dàng lừa đảo tài sản của mình.
Vậy Giấy phép 2 là gì? Permit 2 thực chất không phải là một chức năng của ERC-20 mà là một chức năng được Uniswap đưa ra để thuận tiện cho người dùng. Ví dụ trước nói rằng nếu bạn muốn sử dụng USDT để trao đổi coin rau bina trên Uniswap, bạn cần phải ủy quyền (Phê duyệt) một lần. trước khi tiếp tục Exchange, yêu cầu hai khoản phí gas, vì vậy Uniswap đã nghĩ ra một cách: "Bạn ủy quyền tất cả hạn ngạch cho tôi cùng một lúc và bạn ký tên mỗi lần trao đổi và tôi sẽ xử lý việc này cho bạn." Chức năng giúp Uniswap Người dùng chỉ cần thanh toán phí Gas một lần khi sử dụng và bước này là ký kết nên phí Gas thực tế không phải do bạn thanh toán mà do hợp đồng Permit 2 thanh toán nhưng sẽ được trừ vào Token của bạn. cuối cùng chuộc lại.
Tuy nhiên, điều kiện tiên quyết để lừa đảo Permit 2 là bạn đã sử dụng Uniswap trước đây và bạn cũng đã ủy quyền hạn ngạch không giới hạn cho các hợp đồng thông minh Permit 2. Vì hoạt động mặc định hiện tại của Uniswap là ủy quyền hạn ngạch không giới hạn nên số lượng người dùng đáp ứng điều kiện này là. thực sự khá lớn, tương tự như vậy, hacker có thể chuyển Token của bạn đi miễn là chúng lừa bạn ký tên (chỉ được ủy quyền).
Tóm lại, bản chất của lừa đảo ủy quyền là bạn bỏ ra một khoản tiền để nói với hợp đồng thông minh: "Tôi chấp thuận cho bạn chiếm đoạt Mã thông báo của tôi cho tin tặc". người khác di chuyển tài sản của bạn. Khi nói đến hacker, hacker sẽ chi tiền để nói với hợp đồng thông minh: "Tôi muốn chiếm đoạt Token của anh ta và chuyển nó cho tôi." Permit và Permit 2 hiện là khu vực bị ảnh hưởng nặng nề nhất bởi chữ ký lừa đảo. Permit là một chức năng mở rộng được ủy quyền của ERC-20 và Permit 2 là một chức năng mới do Uniswap ra mắt.
Vậy một khi bạn đã hiểu được nguyên lý thì làm sao bạn có thể ngăn chặn được nó?
1. Điều đầu tiên và quan trọng nhất là nâng cao nhận thức về bảo mật của bạn. Mỗi khi vận hành ví của mình, bạn phải kiểm tra xem chính xác mình đang làm gì?
2. Số tiền lớn được tách khỏi ví trên WanChain, do đó tổn thất có thể được giảm thiểu khi bị lừa đảo.
3. Tìm hiểu cách nhận biết định dạng chữ ký của Permit và Permit 2. Chỉ cần bạn nhìn thấy định dạng chữ ký sau thì bạn nên cảnh giác:
Tương tác: URL tương tác
Chủ sở hữu: Địa chỉ bên ủy quyền
Người chi tiêu: Địa chỉ của bên được ủy quyền
Giá trị: Số lượng được ủy quyền
Nonce: số ngẫu nhiên
Hạn chót: Thời gian hết hạn
IOS
Android