SlowMist: Đánh giá về tính bảo mật của chuỗi khối

Bài viết này là bản đánh giá hàng năm về Web3 của Coinlive và SlowMist; vui lòng trích dẫn nguồn nếu bạn có ý định sao chép nội dung.

Theo kho lưu trữ của SlowMist Hacked về số vụ hack, có tổng cộng 295 sự cố bảo mật vào năm 2022 và thiệt hại lên tới 3,728 tỷ USD. So với 9,795 tỷ đô la Mỹ vào năm 2021, đã giảm 62%. Tuy nhiên, đó là chưa kể tài sản bị thất thoát do nhiễu loạn thị trường.

Có ít nhất 245 sự cố bảo mật trong các hệ sinh thái DeFi, cầu nối chuỗi chéo và NFT khác nhau. Ngoài ra, có hơn 10, 11, 5 và 24 sự cố bảo mật liên quan đến các sàn giao dịch, chuỗi khối công khai, ví và các sự cố khác tương ứng.

Theo thời gian, các cuộc tấn công xảy ra thường xuyên nhất vào tháng 5 và tháng 10, lên tới 38 vụ. Tháng 3 chứng kiến số tiền lớn nhất bị mất vào khoảng 700 triệu đô la Mỹ.

1) Tổng quan về bảo mật của hệ sinh thái chuỗi khối

Chuỗi khối công khai

Chuỗi khối công khai là cơ sở hạ tầng cơ bản nhất trong lĩnh vực Web3 và cũng là một trong những cơ sở hạ tầng cạnh tranh nhất trong ngành. Sự cố bất ngờ nhất năm 2022 không gì khác chính là sự cố Terra. Vào ngày 8 tháng 5 năm 2022, thị trường tiền điện tử đã xuất hiện sự sụp đổ tàn khốc nhất trong lịch sử. Một lượng lớn 285 triệu đô la Mỹ của stablecoin thuật toán của mạng Terra, UST đã xảy ra. Điều này đã gây ra một loạt phản ứng dây chuyền, trong đó giá của mã thông báo gốc của Terra, LUNA đã trải qua một sự cố thiên thạch đột ngột mà không có cảnh báo. Chỉ trong một ngày, giá trị thị trường của LUNA đã giảm gần 40 tỷ USD và hệ sinh thái TVL gần như không còn gì. Sự cố này có thể là nguyên nhân gây ra mùa đông tiền điện tử năm 2022.

DeFi/Cầu nối chuỗi chéo

Theo thống kê của DeFi Llama, tính đến cuối tháng 12, tổng giá trị bị khóa của DeFi là 39,8 tỷ USD. Đó là mức giảm 75% so với cùng kỳ năm ngoái. Ethereum dẫn đầu, chiếm 58,5% (23,3 tỷ USD) DeFi TVL. TRON theo sát phía sau với TVL là 4,3 tỷ đô la Mỹ và Chuỗi BNB (BNB) chiếm 4,2 tỷ đô la Mỹ. Thật thú vị, vào tháng 5 năm 2022, tỷ lệ TVL của Ethereum trong DeFi thấp hơn 35%, trong khi tỷ lệ TVL của TRON tăng 47%.

Theo thống kê của SlowMist Hacked, có ít nhất 90 sự cố bảo mật đã xảy ra trên BNBChain vào năm 2022. Tổng số tiền bị mất vào khoảng 785 triệu USD, đứng đầu về số lượng thiệt hại trên các nền tảng riêng biệt. Ngược lại, có hơn 50 sự cố bảo mật đã xảy ra trên Ethereum, với tổng thiệt hại lên tới 528 triệu đô la Mỹ. Ngoài ra còn có Solana với khoảng 11 sự cố an ninh, thiệt hại tổng cộng 196 triệu USD.

Theo thống kê của Dune Analytics, TVL của cầu nối chuỗi chéo của Ethereum lên tới 8,39 tỷ USD, so với nửa đầu năm nay, đã giảm 31%. Hiện tại, Polygon Bridges có TVL cao nhất (3 tỷ đô la Mỹ). Xếp thứ hai là Arbitrum Bridges (1,28 tỷ USD), tiếp theo là Optimism Bridges (850 triệu USD). Cầu nối chuỗi chéo cho phép người dùng di chuyển tài sản tiền điện tử của họ từ chuỗi này sang chuỗi khác, chủ yếu giải quyết vấn đề mở rộng quy mô đa chuỗi. Tuy nhiên, các hợp đồng thông minh của cầu nối chuỗi chéo thu hút sự chú ý của tin tặc do số tiền lớn cũng như thiếu kiểm toán bảo mật.

Vào năm 2022, các sự cố bảo mật trong cầu nối chuỗi chéo chiếm 15 trường hợp theo thống kê của SlowMist Hacked. Khoản lỗ lên tới 1,21 tỷ USD, chiếm 32,45% tổng số lỗ vào năm 2022.

Tóm lại, đối với các dự án, nếu họ muốn loại bỏ các lỗ hổng và giảm rủi ro bảo mật nhiều nhất có thể, thì họ cần phải hướng tới mục tiêu đó một cách hiệu quả – Trước khi dự án đi vào hoạt động, hãy tiến hành kiểm tra bảo mật toàn diện và chuyên sâu. Đồng thời, các dự án nên tăng cường bảo vệ tài sản của mình thông qua cơ chế đa chữ ký. Khi tương tác giữa các giao thức hoặc chuyển mã qua, các dự án cần hiểu đầy đủ về khuôn khổ của hợp đồng được chuyển cũng như thiết kế khuôn khổ dự án của chính họ. Nếu cả hai giao thức đều tương thích, nó sẽ đủ để ngăn chặn mọi tình huống xảy ra dẫn đến tổn thất tài chính. Đối với người dùng, khi các cách chơi với blockchain đa dạng hóa, người dùng nên tìm hiểu kỹ về nền tảng của dự án trước khi tiến hành đầu tư. Trước khi tham gia vào bất kỳ dự án nào, hãy thận trọng và lưu ý các rủi ro của dự án, kiểm tra xem dự án có phải là mã nguồn mở và đã được kiểm toán hay không.

NFT

Hiệu suất của NFT vào năm 2022 rất bắt mắt. Theo thống kê của NFTScan, tổng số giao dịch trong năm nay đối với NFT của Ethereum lên tới con số khổng lồ 198 triệu. Con số đó rõ ràng là cao hơn so với dữ liệu của năm 2020 và 2021. Số lượng giao dịch NFT trên BNBChain lên tới 345 triệu trong một năm, trong khi giao dịch NFT của Polygon là 793 tỷ.

Mặt khác, theo thống kê chưa đầy đủ của SlowMist Hacked, đã có 56 sự cố bảo mật về phía NFT. Tổng thiệt hại vượt quá 654,3 triệu đô la Mỹ, trong đó phần lớn là do các cuộc tấn công lừa đảo chiếm 40% số vụ (22 vụ). Thứ hai, kéo thảm chiếm 21% số trường hợp trong 12 sự cố.

Ví/Trao đổi

Vào ngày 8 tháng 2, Bộ Tư pháp Hoa Kỳ (DOJ) thông báo rằng họ đã thu hồi được số bitcoin trị giá 3,6 tỷ đô la Mỹ. Những bitcoin này có liên quan đến vụ hacker xảy ra với sàn giao dịch tiền điện tử, Bitfinex vào năm 2016. Ilya Lichtenstein, 34 tuổi và vợ, Heather Morgan, 31 tuổi, bị bắt ở New York, cả hai đều bị buộc tội âm mưu phạm tội. rửa tiền và gian lận. Đây cũng là vụ tịch thu tài chính lớn nhất của DOJ Hoa Kỳ trong lịch sử.

Vào ngày 6 tháng 11, người sáng lập Binance, CZ đã đăng trên Twitter quyết định thanh lý tất cả FTT còn lại trên sổ sách của họ, gây ra cuộc đối đầu giữa hai sàn giao dịch lớn. Bất chấp Giám đốc điều hành của Alameda và Giám đốc điều hành của FTX, SBF cố gắng ổn định niềm tin của người dùng và bác bỏ những tin tức đã tiết lộ trước đó của họ bằng một loạt các tweet. Tuy nhiên, nó vẫn khiến nhóm thanh khoản của FTX cạn kiệt, dẫn đến việc họ phá sản. FTX cuối cùng đã sụp đổ và SBF bị bắt. Sự thiếu minh bạch đã gây ra một cuộc khủng hoảng niềm tin của người dùng đối với các sàn giao dịch tập trung, làm nổi bật vấn đề thiếu quy định thận trọng. Bất kể đó là việc bảo vệ người tiêu dùng cẩn thận hơn hay các quy định rõ ràng hơn về thể chế, tốc độ của các quy định sẽ còn rõ ràng hơn.

Sau sự sụp đổ của FTX, doanh số bán ví phần cứng đã tăng vọt. Ví có hầu hết người dùng, số người dùng hoạt động hàng tháng của MetaMask đạt 300 triệu. Theo thống kê của Finbold, dựa trên 21 ứng dụng lưu trữ tiền điện tử hàng đầu, đã có 102 triệu lượt tải xuống cho ví tiền điện tử trên cả Android và iOS trong khoảng thời gian từ tháng 1 đến tháng 10 năm 2022. Mặc dù dữ liệu này thấp hơn số lượt tải xuống trong thị trường giá xuống năm 2021 là 188 triệu , nó vẫn cao hơn mọi năm. Số liệu thống kê hàng tháng tiết lộ rằng số lượt tải xuống ví tiền điện tử vào đầu năm đang phải đối mặt với sự sụt giảm. Tuy nhiên, sau sự sụp đổ của Terra/LUNA cũng như sự sụp đổ của FTX, chúng đã có sự gia tăng đáng kể.

Người khác

Tính không thể đảo ngược và tính ẩn danh của công nghệ chuỗi khối không chỉ bảo vệ quyền riêng tư một cách hiệu quả mà còn cung cấp “chiếc ô bảo vệ” cho tội phạm mạng. Với sự phổ biến của các khái niệm như metaverse và NFT, việc đánh cắp tiền điện tử và lừa đảo thỉnh thoảng xảy ra. Nhiều tội phạm gửi “tài sản tiền điện tử” được ngụy trang dưới dạng chuỗi khối để thực hiện hành vi lừa đảo. Sự tiến bộ và tính chuyên nghiệp của những sản phẩm như vậy vượt xa sức tưởng tượng của chúng tôi.

Theo dữ liệu từ Bộ phận thanh toán và quyết toán của Ngân hàng Nhân dân Trung Quốc, trong số các phương thức thanh toán gian lận thanh toán vào năm 2021, việc sử dụng tiền điện tử chỉ đứng sau chuyển khoản ngân hàng, lên tới 750 triệu đô la Mỹ. Trong khi năm 2020 và 2019 lần lượt chỉ là 180 triệu USD và 30 triệu USD. Xu hướng tăng trưởng hàng năm là rõ ràng. Điều đáng chú ý là việc chuyển tiền điện tử trong các vụ lừa đảo lãng mạn đang gia tăng nhanh chóng. Trong tổng số tiền bị lừa đảo từ các vụ lừa đảo lãng mạn vào năm 2021, 139 triệu đô la Mỹ được thanh toán qua tiền điện tử, gấp 5 lần và 25 lần so với năm 2020 và 2019.

Theo báo cáo từ Ủy ban Thương mại Liên bang Hoa Kỳ (FTC), đã có hơn 46.000 người báo cáo gặp phải một vụ lừa đảo tiền điện tử, chỉ hơn một năm kể từ đầu năm 2021. Tổng thiệt hại vượt quá 1 tỷ USD. Theo báo cáo, loại lừa đảo tiền điện tử phổ biến nhất có liên quan đến các khoản đầu tư, chiếm 575 tỷ đô la Mỹ trong tổng số 1 tỷ đô la Mỹ. Hình thức thanh toán phổ biến nhất đối với những kẻ lừa đảo bao gồm BTC (70%), USDT (10%) và ETH (9%).

2) Phương pháp tấn công

Trong 295 sự cố bảo mật, phương thức tấn công có thể được phân thành 3 loại chính: 1) Tấn công do lỗi thiết kế của chính dự án cũng như các lỗ hổng khác nhau trong hợp đồng, 2) Các loại lừa đảo như kéo thảm, lừa đảo và các phương thức , 3) Tổn thất tài sản do rò rỉ khóa riêng.

Phương thức tấn công phổ biến nhất vào năm 2022 là do lỗi thiết kế của chính dự án cũng như các lỗ hổng khác nhau trong hợp đồng của họ. Có khoảng 92 trường hợp như vậy, dẫn đến tổng thiệt hại là 1,06 tỷ đô la Mỹ và chiếm 40,5% tổng số vụ tấn công. Nguyên nhân chính của các cuộc tấn công như vậy là do các khoản vay chớp nhoáng, chiếm khoảng 19 trường hợp với tổng số tiền là 613,3 triệu đô la Mỹ đã bị mất. Các nguyên nhân khác bao gồm truy cập lại, thao túng giá, các vấn đề xác thực, v.v.

Xác suất tổn thất tài sản do rò rỉ khóa cá nhân là khoảng 6%, nhưng tổng thiệt hại lên tới 746 tỷ USD. Chỉ đứng sau các vụ khai thác do lỗ hổng hợp đồng, thiệt hại lớn nhất do đánh cắp khóa riêng đến từ sự cố Ronin, sau đó là Harmony. Tất cả đều từ những cây cầu xuyên chuỗi.

Trong thế giới Web3, nhận thức về bảo mật của người dùng thường khác nhau, dẫn đến rất nhiều cuộc tấn công lừa đảo thường xuyên và đa dạng nhằm vào người dùng. Ví dụ: những kẻ tấn công sử dụng các phương tiện độc hại để chiếm lấy các nền tảng truyền thông xã hội chính thức của dự án (ví dụ: Discord, Twitter) hoặc ngụy trang thành tài khoản truyền thông xã hội chính thức của họ. Sau đó, họ sẽ đăng các liên kết lừa đảo cho tiền đúc và airdrop, thậm chí đôi khi đăng lại các tài khoản chính thức thực sự để gây nhầm lẫn cho người dùng. Ví dụ: sử dụng quảng cáo trên các công cụ tìm kiếm để quảng bá các trang web giả mạo hoặc một tên miền và nội dung rất giống với trang web chính thức để khiến chúng trở nên đáng tin cậy. Chẳng hạn như tạo email bắt chước của họ, quà tặng hấp dẫn để khiến người dùng rơi vào bẫy của họ. Các ví dụ khác bao gồm việc sử dụng thông tin thiếu của người dùng mới để cung cấp các liên kết tải xuống ứng dụng giả mạo. Dù đó là gì, điều quan trọng nhất là tăng cường ý thức nhận thức của bạn. Đồng thời, nếu phát hiện mình đã rơi vào bẫy của chúng, hãy chuyển ngay tài sản ra ngoài để kịp thời tránh bị thiệt hại cũng như lưu giữ chứng cứ. Tìm kiếm sự hỗ trợ từ các tổ chức an ninh trong ngành nếu cần thiết.

Trường hợp xấu nhất đến từ việc kéo tấm thảm. Rug pulls thường đề cập đến khi một người sáng lập từ bỏ các dự án của mình, chạy trốn với số tiền. Nó cũng thường xuyên hơn là dự án có mục đích xấu. Kéo thảm có thể xảy ra theo nhiều cách. Ví dụ, khi nhà phát triển bắt đầu thanh khoản ban đầu, đẩy giá lên cao. Sau đó, họ sẽ rút thanh khoản và tạo một dự án tiền điện tử. Thông qua các phương tiện tiếp thị khác nhau, họ sẽ thu hút người dùng tiền điện tử đầu tư, đồng thời chọn thời điểm thích hợp để lấy đi tiền đầu tư của người dùng mà không cần cảnh báo. Họ sẽ tiến hành bán đi những tài sản tiền điện tử này và cuối cùng biến mất, và những người dùng đã đầu tư vào dự án sau đó sẽ chịu tổn thất lớn. Một ví dụ khác là họ phát hành một trang web, nhưng đóng cửa sau khi nhận được hơn hàng chục nghìn khoản tiền gửi. Riêng năm 2022, có 50 trường hợp kéo thảm, gây thiệt hại 188 tỷ USD. Chúng xuất hiện thường xuyên nhất trên hệ sinh thái BSC và giữa các NFT.

Các phương pháp mới vào năm 2022 bao gồm các cuộc tấn công độc hại từ giao diện người dùng, tấn công DNS và chiếm quyền điều khiển BGP. Trường hợp kỳ lạ nhất là tổn thất tài sản do lỗi cấu hình và vận hành của con người.

3) Kỹ thuật lừa đảo/lừa đảo

Phân đoạn này chỉ tiết lộ các kỹ thuật lừa đảo/lừa đảo chọn lọc mà SlowMist đã tiết lộ.

Dấu trang trình duyệt web độc hại đánh cắp mã thông báo Discord

Các trình duyệt ngày nay đều có trình quản lý dấu trang riêng, tuy mang lại sự tiện lợi nhưng nó cũng là mục tiêu dễ dàng cho những kẻ tấn công. Thông qua một trang lừa đảo được tạo độc hại, nó có thể chèn mã JavaScript vào các dấu trang đã lưu của bạn. Cùng với đó, về cơ bản, nó có thể làm bất cứ điều gì, bao gồm cả việc lấy thông tin thông qua gói giao diện người dùng webpackChunkdiscord_app của Discord. Khi người dùng Discord nhấp vào nó, mã JavaScript độc hại sẽ bắt đầu thực thi trong miền Discord của người dùng. Nó sẽ đánh cắp mã thông báo Discord của bạn và sau đó, kẻ tấn công có thể trực tiếp và tự động chiếm quyền có liên quan đến tài khoản Discord để quản lý các dự án. Nhận mã thông báo Discord giống như đăng nhập vào tài khoản Discord. Nó có thể làm mọi thứ mà một tài khoản đã đăng nhập có thể làm, chẳng hạn như tạo bot webhook Discord và tiến hành lừa đảo đăng thông báo giả mạo trong một kênh. Sau đây minh họa nạn nhân nhấp vào dấu trang lừa đảo:

Dưới đây minh họa mã JavaScript được viết bởi kẻ tấn công nhận mã thông báo và thông tin cá nhân của nạn nhân. Nó được nhận thông qua webhook của máy chủ Discord.

Như minh họa, do người dùng đã đăng nhập vào web Discord và cho rằng nạn nhân đã lưu dấu trang độc hại từ trang lừa đảo, nó sẽ kích hoạt mã độc khi họ đăng nhập vào web Discord và nhấp vào dấu trang. Do đó, Mã thông báo của nạn nhân và thông tin cá nhân khác sẽ được gửi đến kênh của kẻ tấn công thông qua webhook Discord do kẻ tấn công thiết lập.

Lừa đảo NFT đặt hàng giả mạo

Ví dụ như trang web lừa đảo sau đây, nội dung chữ ký bao gồm:

Nhà sản xuất: Địa chỉ của người dùng

Người nhận: 0xde6135b63decc47d5a5d47834a7dd241fe61945a

Trao đổi: 0x7f268357A8c2552623316e2562D90e642bB538E5 (địa chỉ hợp đồng của OpenSea V2)

Đây là một kỹ thuật lừa đảo NFT thường thấy, trong đó những kẻ lừa đảo có thể mua tất cả các NFT mà bạn sở hữu bằng 0ETH (hoặc bất kỳ loại tiền tệ nào khác). Điều đó có nghĩa là đơn đặt hàng này lừa người dùng ký vào việc bán NFT của chính họ. Sau khi người dùng ký vào đơn đặt hàng này, kẻ lừa đảo có thể mua NFT của họ trực tiếp thông qua OpenSea. Nhưng giá mà họ mua được xác định bởi kẻ lừa đảo, có nghĩa là kẻ lừa đảo có thể “mua” NFT của người dùng mà không tốn một xu nào.

Ngoài ra, chữ ký về cơ bản được lưu trữ bởi kẻ tấn công. Hiệu lực của nó không thể bị thu hồi thông qua các trang web như Revoke.Cash hoặc Etherscan để hủy cấp phép chữ ký. Tuy nhiên, nó có thể hủy bỏ quyền liệt kê các đơn đặt hàng của bạn, điều này có thể ngăn chặn những rủi ro lừa đảo như vậy từ vấn đề gốc rễ của nó.

Trojan đánh cắp Redline

Các cuộc tấn công như vậy thông qua Discord để mời người dùng tham gia thử nghiệm beta của một dự án trò chơi mới. Được ngụy trang dưới dạng "cung cấp giảm giá", các cuộc trò chuyện riêng tư từ một nhóm hoặc các phương thức như vậy để gửi cho bạn một chương trình để tải xuống. Họ thường sẽ gửi một tệp zip sẽ trích xuất các tệp .exe trị giá khoảng 800mb. Sau khi bạn chạy nó trên thiết bị của mình, nó sẽ quét tất cả các tệp và lọc ra các tệp chứa từ “ví” và các từ khóa có liên quan khác. Sau đó, nó sẽ được tải lên máy chủ của kẻ tấn công và chúng sẽ đạt được mục đích đánh cắp tiền điện tử.

Redline Stealer là một Trojan độc hại được bán riêng trong các diễn đàn ngầm, được phát hiện vào tháng 3 năm 2020. Phần mềm độc hại này thu thập thông tin như thông tin đăng nhập đã lưu, dữ liệu tự động hoàn thành cũng như thẻ tín dụng từ trình duyệt. Phiên bản mới của Redline đã thêm khả năng đánh cắp tiền điện tử, có thể tự động quét thông tin của ví tiền điện tử đã được cài đặt sẵn. Sau đó, nó sẽ được tải lên một thiết bị được điều khiển từ xa. Phần mềm độc hại này có khả năng tải lên và tải xuống các tệp, thực thi các lệnh cũng như định kỳ gửi lại thông tin về thiết bị bị nhiễm. Nó sẽ thường tấn công các thư mục liên quan đến ví tiền điện tử, tiến hành quét các tệp ví:

Kiểm tra trống eth_sign lừa đảo

Sau khi kết nối ví của bạn và nhấp vào “yêu cầu”, một cửa sổ bật lên sẽ xuất hiện để yêu cầu chữ ký của bạn. Đồng thời, MetaMask sẽ hiển thị lời nhắc cảnh báo màu đỏ. Tuy nhiên, không thể tìm ra từ cửa sổ bật lên này chính xác yêu cầu chữ ký này đang yêu cầu điều gì. Đây thực sự là một loại chữ ký thực sự nguy hiểm, về cơ bản nó là một “séc trắng” từ Ethereum. Thông qua hành vi lừa đảo này, những kẻ lừa đảo có thể sử dụng khóa cá nhân của bạn để thực hiện bất kỳ giao dịch nào.

Phương thức eth_sign này có thể ký bất kỳ hàm băm nào. Đương nhiên, nó có thể ký byte32 sau. Do đó, những kẻ tấn công chỉ cần dApp mà chúng tôi kết nối để lấy địa chỉ của chúng tôi và phân tích cũng như truy vấn tài khoản của chúng tôi. Điều này có thể tạo bất kỳ dữ liệu nào (Ví dụ: chuyển mã thông báo gốc, gọi hợp đồng) chỉ bằng cách ký eth_sign.

Một kiểu lừa đảo khác là nếu bạn từ chối việc ký nói trên, nó sẽ tự động hiển thị một cửa sổ bật lên chữ ký khác trong MetaMask của bạn, lừa bạn ký trong khi bạn mất cảnh giác. Sau khi nhận được thông tin chữ ký của bạn, sử dụng phương pháp SetApprovalForAll, nó sẽ thay đổi thành “Tất cả NFT của bạn” trong “Nội dung được phê duyệt”. Điều đó có nghĩa là sau khi bạn ký, những kẻ lừa đảo sẽ có thể đánh cắp tất cả NFT của bạn mà không bị hạn chế.

Loại phương thức lừa đảo này rất khó hiểu đối với người dùng. Trước đây, khi gặp phải lừa đảo ủy quyền, MetaMask sẽ hiển thị một cách khách quan cho chúng tôi dữ liệu thông báo rằng kẻ tấn công muốn chúng tôi ký. Tuy nhiên, khi những kẻ tấn công sử dụng phương thức eth_sign để yêu cầu người dùng ký, MetaMask chỉ hiển thị cho chúng tôi một loạt hàm băm byte32.

Cùng một mã kết thúc + Chuyển từ lừa đảo chuyển khoản bằng không

Trong lịch sử giao dịch của người dùng, các địa chỉ không xác định chuyển 0USDT sẽ liên tục xuất hiện. Giao dịch này cũng được hoàn thành thông qua chức năng TransferFrom. Điều này chủ yếu là do trong hợp đồng của mã thông báo, chức năng TransferForm không bắt buộc số tiền chuyển được ủy quyền phải lớn hơn 0. Do đó, việc chuyển 0USDT có thể được thực hiện thành công mà không cần ủy quyền tài khoản của người dùng. Những kẻ tấn công độc hại khai thác điều kiện này để liên tục nhắm mục tiêu người dùng đang hoạt động trên chuỗi để bắt đầu TransferFrom. Do đó, điều này sẽ kích hoạt sự kiện Chuyển giao.

Ngoài sự quấy rối như vậy bằng cách chuyển 0USDT, nó còn đi kèm với những kẻ tấn công nhắm mục tiêu đến những người dùng giao dịch thường xuyên và trên quy mô lớn. Họ sẽ liên tục airdrop một lượng nhỏ mã thông báo, chẳng hạn như 0,01USDT hoặc 0,001USDT. Phần cuối địa chỉ của kẻ tấn công sẽ gần giống với địa chỉ của người dùng. Thông thường, khi người dùng sao chép địa chỉ từ lịch sử giao dịch của họ, họ sẽ sao chép sai, dẫn đến mất tiền.

Trên đây chỉ là một ví dụ về một số phương pháp và tình huống tấn công thường thấy. Trên thực tế, tin tặc và những kẻ tấn công liên tục tìm ra những cách thức mới trong mọi tình huống. Vì vậy, họ sẽ luôn nghĩ ra những phương pháp mới, và về phía chúng ta, điều chúng ta phải làm là luôn không ngừng thu thập kiến thức.

Đối với người dùng cá nhân, họ có thể tránh được hầu hết các rủi ro bằng cách tuân thủ các quy tắc và quy định an toàn sau:

2 quy tắc an toàn chính:

• Không tin tưởng. Nói một cách đơn giản, hãy luôn cảnh giác và duy trì sự cảnh giác mọi lúc.
• Xác minh liên tục. Nếu bạn muốn tin, bạn phải có khả năng kiểm chứng những nghi ngờ của mình và biến khả năng này thành thói quen.

Những quy định an toàn:

• Kiến thức trên mạng luôn phải được tham khảo chéo với 2 tài liệu tham khảo khác. Chứng thực chúng và luôn luôn hoài nghi.
• Cách ly tốt, nghĩa là không bỏ tất cả trứng vào một giỏ.
• Đối với ví có tài sản quan trọng, đừng cập nhật chúng quá tùy tiện, chỉ cần đủ là được.
• Những gì bạn thấy là những gì bạn ký. Ngay cả khi những gì bạn nhìn thấy là những gì bạn phải ký, thì một khi bạn đã ký, điều xảy ra tiếp theo sẽ là điều bạn mong đợi.
• Hãy chú ý đến các bản cập nhật bảo mật của hệ thống. Sau khi có các bản cập nhật bảo mật mới, hãy hành động ngay lập tức.
• Đừng vội tải xuống bất kỳ chương trình nào.

Cùng với đó, tôi thực sự khuyên bạn nên đọc và nắm vững Sổ tay tự bảo vệ Blockchain Dark Forest của SlowMist.