Báo cáo lừa đảo giữa năm 2024 do Scam Sniffer công bố cho thấy chỉ trong nửa đầu năm 2024 , 260.000 nạn nhân đã mất 314 triệu USD trên chuỗi EVM và 20 trong số đó mất hơn 1 triệu USD mỗi người . Đáng buồn thay, một nạn nhân khác lại mất đi 11 triệu USD, trở thành nạn nhân bị trộm lớn thứ hai trong lịch sử.
Theo tóm tắt của báo cáo, hầu hết các vụ trộm mã thông báo ERC20 hiện tại đều bắt nguồn từ việc ký các chữ ký lừa đảo như Permit , TăngAllowance và Uniswap Permit2 . Hầu hết các vụ trộm lớn đều liên quan đến việc đặt cọc , đặt lại , đặt cọc Aave và mã thông báo Pendle . Nạn nhân thường được dẫn đến các trang web lừa đảo thông qua các bình luận lừa đảo từ các tài khoản Twitter giả mạo.
Các cuộc tấn công lừa đảo chắc chắn vẫn là lĩnh vực bị ảnh hưởng nặng nề nhất trong các vấn đề bảo mật trên chuỗi.
Là một sản phẩm cấp thấp đáp ứng nhu cầu giao dịch cơ bản của người dùng, Ví OKX Web3 tập trung vào việc tăng cường các biện pháp bảo mật và giáo dục người dùng. Ở cấp độ sản phẩm, nhóm gần đây đã nâng cấp chức năng chặn giao dịch rủi ro chủ yếu xoay quanh các tình huống lừa đảo tần suất cao và cho biết họ sẽ tiếp tục xác định nhiều tình huống rủi ro hơn để nhắc nhở người dùng trong tương lai.
Bài viết này nhằm giải thích rõ ràng các tình huống có thể áp dụng của bốn chức năng chặn giao dịch rủi ro chính trong bản nâng cấp mới nhất của ví OKX Web3, đồng thời phổ biến nguyên tắc hoạt động của một số trường hợp bị đánh cắp. Tôi hy vọng nó sẽ hữu ích cho bạn.
1. Ủy quyền độc hại vào tài khoản EOA
Vào ngày 26 tháng 6 , một người dùng đã ký nhiều chữ ký lừa đảo trên trang web lừa đảo Blast giả mạo và mất 217.000 USD; vào ngày 3 tháng 7 , ZachXBT đã báo cáo rằng địa chỉ 0xD7b2 đã trở thành nạn nhân của hành vi lừa đảo Fake_Phishing 187019 , dẫn đến mất 6 BAYC NFT và 40 BAYC NFT . (trị giá hơn 1 triệu đô la Mỹ); Vào ngày 24 tháng 7 , một người dùng Pendle đã bị đánh cắp mã thông báo đặt cược lại PENDLEPT trị giá khoảng 4,69 triệu đô la Mỹ do có nhiều chữ ký lừa đảo Permit một giờ trước.
Trong hai tháng qua, đã xảy ra nhiều sự cố mất mát và số lượng giao dịch đơn lẻ do nhiều loại lừa đảo chữ ký khác nhau. Điều này đã trở thành một tình huống quan trọng khi các vấn đề bảo mật xảy ra thường xuyên. Hầu hết các tình huống đều liên quan đến việc xúi giục người dùng ủy quyền cho tài khoản EOA của hacker.
Ủy quyền độc hại đối với tài khoản EOA thường đề cập đến việc tin tặc xúi giục người dùng ủy quyền thông qua các hoạt động phúc lợi khác nhau và ủy quyền cho địa chỉ người dùng của họ bằng chữ ký của địa chỉ EOA .
Tên đầy đủ của EOA là Tài khoản thuộc sở hữu bên ngoài , còn được dịch là " tài khoản bên ngoài " . Đây là một loại tài khoản trên mạng blockchain dựa trên Ethereum, khác với loại tài khoản khác trên Ethereum - Tài khoản hợp đồng do người dùng sở hữu và không được kiểm soát bởi các hợp đồng thông minh. Khi người chơi lướt trên chuỗi, họ thường sử dụng tài khoản hợp đồng thông minh được bên dự án ủy quyền thay vì tài khoản EOA thuộc sở hữu cá nhân . |
Hiện tại, có ba phương thức ủy quyền phổ biến nhất: Phê duyệt là phương thức ủy quyền phổ biến tồn tại trong tiêu chuẩn mã thông báo ERC-20 . Nó ủy quyền cho bên thứ ba (chẳng hạn như hợp đồng thông minh) chi tiêu một số lượng token nhất định dưới tên của chủ sở hữu token. Người dùng cần ủy quyền trước một số lượng token nhất định cho hợp đồng thông minh. Sau đó, hợp đồng có thể gọi hàm transferFrom bất cứ lúc nào để chuyển các token này. Nếu người dùng vô tình ủy quyền cho một hợp đồng độc hại, các mã thông báo được ủy quyền này có thể được chuyển ngay lập tức. Điều đáng chú ý là dấu vết ủy quyền của Approve có thể được nhìn thấy trong địa chỉ ví của nạn nhân.
Giấy phép là một phương thức ủy quyền mở rộng được giới thiệu dựa trên tiêu chuẩn ERC-20 , cho phép các bên thứ ba chi tiêu mã thông báo thông qua chữ ký tin nhắn thay vì gọi trực tiếp các hợp đồng thông minh. Nói một cách đơn giản, người dùng có thể chấp thuận cho người khác chuyển mã thông báo của họ bằng cách ký tên . Hacker có thể sử dụng phương pháp này để thực hiện các cuộc tấn công, chẳng hạn như chúng có thể thiết lập một trang web lừa đảo và thay thế nút đăng nhập vào ví bằng Permit , từ đó dễ dàng lấy được chữ ký của người dùng.
Permit2 không phải là chức năng tiêu chuẩn của ERC-20 mà là một tính năng được Uniswap giới thiệu để thuận tiện cho người dùng. Tính năng này cho phép người dùng Uniswap chỉ trả phí gas một lần trong quá trình sử dụng . Tuy nhiên, điều quan trọng cần lưu ý là nếu bạn đã từng sử dụng Uniswap và bạn đã ủy quyền hạn ngạch không giới hạn cho hợp đồng, bạn có thể là mục tiêu của một cuộc tấn công lừa đảo Permit2 .
Permit và Permit2 là các phương thức chữ ký ngoại tuyến. Địa chỉ ví của nạn nhân không cần phải trả Gas . Địa chỉ ví của kẻ lừa đảo sẽ cung cấp ủy quyền cho các hoạt động trên chuỗi. Do đó, dấu vết ủy quyền của hai chữ ký này chỉ có thể được nhìn thấy trong địa chỉ ví của kẻ lừa đảo. . Giờ đây, lừa đảo chữ ký Permit và Permit2 đã trở thành lĩnh vực bị ảnh hưởng nặng nề nhất trong lĩnh vực bảo mật tài sản Web3 .
Trong trường hợp này, chức năng chặn ví OKX Web3 hoạt động như thế nào? Ví OKX Web3 sẽ phân tích trước giao dịch để ký. Nếu quá trình phân tích cú pháp phát hiện ra rằng giao dịch đó là hành vi được ủy quyền và địa chỉ được ủy quyền là địa chỉ EOA , thì cảnh báo sẽ được đưa ra cho người dùng để ngăn chặn người dùng bị tấn công bởi lừa đảo và lừa đảo. gây thất thoát tài sản. |
2. Cố ý thay đổi chủ tài khoản
Các sự cố thay đổi chủ sở hữu tài khoản có mục đích thường xảy ra trên các chuỗi công khai nơi các cơ chế cơ bản được thiết kế bởi chủ sở hữu tài khoản như TRON và Solana . Sau khi người dùng đăng nhập, họ sẽ mất quyền kiểm soát tài khoản của mình.
Lấy ví TRON làm ví dụ, hệ thống cấp phép đa chữ ký của TRON được thiết kế với ba quyền khác nhau: Chủ sở hữu , Nhân chứng và Hoạt động . Mỗi quyền có chức năng và cách sử dụng cụ thể.
Sự cho phép của chủ sở hữu có thẩm quyền cao nhất để thực hiện tất cả các hợp đồng và hoạt động; chỉ với sự cho phép này, các quyền khác mới có thể được sửa đổi, bao gồm thêm hoặc xóa những người ký khác sau khi tạo tài khoản mới, tài khoản đó mặc định có quyền này.
Quyền của nhân chứng chủ yếu liên quan đến Siêu đại diện. Các tài khoản có quyền này có thể tham gia bầu cử và bỏ phiếu cho các siêu đại diện và quản lý các hoạt động liên quan đến siêu đại diện.
Quyền hoạt động được sử dụng cho các hoạt động hàng ngày, chẳng hạn như chuyển tiền và gọi hợp đồng thông minh. Quyền này có thể được thiết lập và sửa đổi bởi sự cho phép của Chủ sở hữu. Nó thường được gán cho các tài khoản cần thực hiện các nhiệm vụ cụ thể. Nó là tập hợp một số hoạt động được ủy quyền (chẳng hạn như chuyển nhượng TRX và tài sản cầm cố).
Một tình huống là sau khi hacker lấy được khóa riêng / cụm từ ghi nhớ của người dùng, nếu người dùng không sử dụng cơ chế đa chữ ký (tức là tài khoản ví chỉ được kiểm soát bởi một người dùng), hacker cũng có thể ủy quyền cho Chủ sở hữu/ Quyền hoạt động đối với địa chỉ của chính anh ta hoặc chuyển tài khoản ví sang địa chỉ của chính anh ta. Quyền chủ sở hữu/ Hoạt động của người dùng được chuyển cho chính anh ta.
Nếu quyền Chủ sở hữu/Hoạt động của người dùng không bị xóa, hacker sẽ sử dụng cơ chế đa chữ ký để cùng người dùng kiểm soát quyền sở hữu tài khoản. Tại thời điểm này, người dùng giữ cả khóa riêng tư / cụm từ ghi nhớ và quyền Chủ sở hữu/Hoạt động , nhưng không thể chuyển tài sản của chính mình. Khi người dùng bắt đầu yêu cầu chuyển tài sản, cả địa chỉ của người dùng và của hacker đều phải ký trước. giao dịch có thể được thực hiện bình thường.
Một tình huống khác là tin tặc sử dụng cơ chế thiết kế quản lý quyền của TRON để chuyển trực tiếp quyền Chủ sở hữu/Hoạt động của người dùng sang địa chỉ của tin tặc, khiến người dùng mất quyền Chủ sở hữu/Hoạt động .
Kết quả của hai tình huống trên là như nhau. Bất kể người dùng có còn quyền Chủ sở hữu/Hoạt động hay không, anh ta sẽ mất quyền kiểm soát thực sự đối với tài khoản. Nếu địa chỉ của hacker có được quyền cao nhất của tài khoản, anh ta có thể thay đổi quyền của tài khoản. , chuyển giao tài sản, v.v. hoạt động.
Trong trường hợp này, chức năng chặn ví OKX Web3 hoạt động như thế nào? Ví OKX Web3 thực hiện phân tích trước các giao dịch sẽ được ký. Nếu phân tích phát hiện thấy có sự thay đổi về quyền tài khoản trong bộ nhớ giao dịch, giao dịch sẽ bị người dùng chặn trực tiếp, ngăn người dùng tiếp tục ký, gây ra vốn. tổn thất. Vì rủi ro rất cao nên ví OKX Web3 hiện tại sẽ trực tiếp chặn nó và không cho phép người dùng thực hiện các giao dịch tiếp theo. |
3. Cố tình thay đổi địa chỉ chuyển tiền
Kịch bản giao dịch rủi ro về việc thay đổi địa chỉ chuyển tiền một cách có ác ý chủ yếu xảy ra khi thiết kế hợp đồng DApp không hoàn hảo.
Vào ngày 5 tháng 3 , @CyversAlerts đã phát hiện ra rằng địa chỉ bắt đầu bằng 0xae7ab đã nhận được 4 stETH từ EigenLayer , với giá hợp đồng là 14.199,57 USD và bị nghi ngờ là nạn nhân của một cuộc tấn công lừa đảo. Đồng thời, ông chỉ ra rằng nhiều nạn nhân đã ký giao dịch lừa đảo " queueWithdrawal " trên mạng chính.
Angel Drainer nhắm vào bản chất của cam kết của Ethereum. Việc phê duyệt các giao dịch khác với phương pháp "phê duyệt" ERC20 thông thường và đặc biệt đã viết một cách khai thác cho chức năng queueWithdrawal (0xf123991e) của hợp đồng Trình quản lý chiến lược EigenLayer . Cốt lõi của cuộc tấn công là người dùng đã ký giao dịch " queueWithdrawal " thực sự đã phê duyệt một lần "rút tiền" độc hại để rút phần thưởng đặt cược của ví từ giao thức EigenLayer đến địa chỉ do kẻ tấn công chọn. Nói một cách đơn giản, sau khi bạn chấp thuận giao dịch trên trang lừa đảo, phần thưởng bạn đặt cược trên EigenLayer sẽ thuộc về kẻ tấn công.
Để làm cho việc phát hiện các cuộc tấn công độc hại trở nên khó khăn hơn, kẻ tấn công sử dụng cơ chế " CREATE2 " để phê duyệt các khoản rút tiền này đến các địa chỉ trống. Vì đây là phương thức phê duyệt mới nên hầu hết các nhà cung cấp bảo mật hoặc công cụ bảo mật nội bộ không phân tích và xác thực loại phê duyệt này nên trong hầu hết các trường hợp, nó được đánh dấu là một giao dịch vô hại.
Không chỉ trường hợp này, kể từ năm nay, một số lỗ hổng hợp đồng được thiết kế kém đã xuất hiện trong một số hệ sinh thái chuỗi công cộng chính thống, khiến địa chỉ chuyển tiền của một số người dùng bị thay đổi một cách độc hại, gây thiệt hại tài chính.
Trong trường hợp này, chức năng chặn ví OKX Web3 hoạt động như thế nào? Để đối phó với kịch bản tấn công lừa đảo của EigenLayer, OKX Web3 Wallet sẽ phân tích các giao dịch liên quan của " queueWithdrawal ". Nếu phát hiện người dùng đang giao dịch trên một trang web không chính thức và rút tiền đến một địa chỉ khác ngoài địa chỉ của chính người dùng đó. sẽ cảnh báo người dùng và buộc người dùng thực hiện các bước tiếp theo. Xác nhận để ngăn chặn các cuộc tấn công lừa đảo. |
4. Chuyển đến các địa chỉ tương tự
Các cuộc tấn công chuyển địa chỉ tương tự lừa nạn nhân sử dụng địa chỉ giả rất giống với địa chỉ thật của họ, cho phép chuyển tiền vào tài khoản của kẻ tấn công. Những cuộc tấn công này thường đi kèm với các kỹ thuật che giấu và che giấu phức tạp. Những kẻ tấn công sử dụng nhiều ví và chuyển tiền xuyên chuỗi để tăng độ khó cho việc theo dõi.
Vào ngày 3 tháng 5 , một con cá voi khổng lồ đã gặp phải một cuộc tấn công lừa đảo có cùng địa chỉ và bị lừa lấy đi 1.155 WBTC trị giá khoảng 70 triệu USD.
Logic của cuộc tấn công này chủ yếu là tin tặc tạo trước một số lượng lớn địa chỉ lừa đảo theo đợt. Sau khi triển khai chương trình hàng loạt theo cách phân tán, chúng khởi động một cuộc tấn công lừa đảo có cùng địa chỉ số đầu và cuối dựa trên địa chỉ chuyển mục tiêu. về động lực của người dùng trên chuỗi. Trong vụ việc này, hacker đã sử dụng một địa chỉ có 4 chữ số đầu và 6 chữ số cuối sau khi xóa 0x khớp với địa chỉ chuyển mục tiêu của nạn nhân. Sau khi người dùng chuyển tiền, hacker ngay lập tức sử dụng địa chỉ lừa đảo bị va chạm (khoảng 3 phút sau) để theo dõi một giao dịch (địa chỉ lừa đảo đã chuyển 0 ETH đến địa chỉ của người dùng ), để địa chỉ lừa đảo xuất hiện trong hồ sơ giao dịch của người dùng.
Vì người dùng đã quen với việc sao chép thông tin chuyển tiền gần đây từ lịch sử ví nên anh ta đã không kiểm tra cẩn thận xem địa chỉ mình sao chép có chính xác hay không sau khi nhìn thấy giao dịch lừa đảo kéo dài này. Kết quả là 1.155 WBTC đã bị chuyển nhầm sang địa chỉ lừa đảo.
Trong trường hợp này, chức năng chặn ví OKX Web3 hoạt động như thế nào? Ví OKX Web3 liên tục giám sát các giao dịch trên chuỗi nếu phát hiện thấy ngay sau khi một giao dịch lớn xảy ra, một giao dịch đáng ngờ không được người dùng kích hoạt sẽ ngay lập tức xuất hiện trên chuỗi và bên tương tác của giao dịch đáng ngờ không phải là bên thực hiện. giống với bên tương tác của giao dịch lớn Rất giống nhau, trong trường hợp này, bên tương tác của giao dịch đáng ngờ sẽ được xác định là một địa chỉ tương tự. Nếu sau đó người dùng tương tác với một địa chỉ tương tự, OKX Web3 sẽ chặn và nhắc nhở đồng thời, trên trang lịch sử giao dịch, các giao dịch liên quan đến địa chỉ tương tự sẽ được đánh dấu trực tiếp để ngăn chặn người dùng bị dụ dán, gây thất thoát vốn. (Hiện tại có 8 chuỗi được hỗ trợ ) |
Phần kết luận
Nói chung, trong nửa đầu năm 2024, các sự cố bảo mật như email lừa đảo qua airdrop và hack tài khoản chính thức của dự án vẫn sẽ xảy ra thường xuyên. Trong khi người dùng đang tận hưởng những lợi ích do các đợt airdrop và hoạt động này mang lại, họ cũng phải đối mặt với những rủi ro bảo mật chưa từng có. Bằng cách ngụy trang thành email lừa đảo chính thức và địa chỉ giả mạo, tin tặc lừa người dùng tiết lộ khóa riêng của họ hoặc thực hiện các giao dịch chuyển tiền độc hại. Ngoài ra, một số tài khoản chính thức của dự án cũng đã bị hack khiến tiền của người dùng bị mất. Đối với người dùng thông thường, trong môi trường như vậy, điều quan trọng nhất là nâng cao ý thức phòng ngừa và học hỏi kiến thức bảo mật chuyên sâu. Đồng thời, hãy cố gắng chọn một nền tảng có khả năng kiểm soát rủi ro đáng tin cậy.
Cảnh báo rủi ro và từ chối trách nhiệm
Bài viết này chỉ mang tính chất tham khảo. Bài viết này chỉ thể hiện quan điểm của tác giả và không thể hiện quan điểm của OKX. Bài viết này không nhằm mục đích cung cấp (i) lời khuyên đầu tư hoặc khuyến nghị đầu tư; (ii) lời đề nghị hoặc chào mời mua, bán hoặc nắm giữ tài sản kỹ thuật số (iii) tư vấn tài chính, kế toán, pháp lý hoặc thuế; Chúng tôi không đảm bảo tính chính xác, đầy đủ hoặc hữu ích của thông tin đó. Việc nắm giữ tài sản kỹ thuật số, bao gồm stablecoin và NFT , có mức độ rủi ro cao và có thể biến động đáng kể. Bạn nên cân nhắc cẩn thận xem việc giao dịch hoặc nắm giữ tài sản kỹ thuật số có phù hợp với mình hay không dựa trên tình hình tài chính của bạn. Vui lòng tham khảo ý kiến chuyên gia pháp lý / thuế / đầu tư về tình huống cụ thể của bạn . Vui lòng có trách nhiệm hiểu và tuân thủ luật pháp và quy định hiện hành của địa phương.