Tác giả: Keystone Nguồn: X, @KeystoneCN
Hãy bắt đầu bằng một câu chuyện ngắn về việc vay tiền:
Tôi sắp hỏi ý kiến của tôi Bạn tốt Jack Ma Để vay 1 triệu, Jack Ma nhấc máy gọi điện cho ngân hàng mà không nói một lời. Sau khi xác nhận danh tính, anh ta nói với ngân hàng: Tôi muốn ủy quyền hạn mức rút 1 triệu cho một số người. Ngân hàng trả lời đã nhận được ủy quyền và ghi nhận.
Bước tiếp theo tôi đến ngân hàng và thông báo với quầy rằng tôi sẵn sàng rút 1 triệu mà Jack Ma ủy quyền cho tôi. Lúc này ngân hàng sẽ kiểm tra xem có hồ sơ ủy quyền không và sau khi xác nhận là tôi như vậy thì đưa cho tôi 1 triệu.
Truyện ngắn này có thể được coi là hiện thân của Ủy quyền phê duyệt trên ETH. Trong quá trình này, việc ủy quyền chỉ có thể được ủy quyền bởi Jack Ma (chủ sở hữu tài sản) gọi ngân hàng ủy quyền (on-chain) và ngân hàng (hợp đồng Token) quản lý các ủy quyền này và sau đó tôi (bên được ủy quyền) mới có thể chuyển nó từ ngân hàng Không nhiều hơn số tiền được ủy quyền. Nếu ngân hàng không tìm được hồ sơ ủy quyền, đơn xin rút tiền của tôi chắc chắn sẽ bị từ chối.
Được rồi, nếu bạn chuyển sang phương thức ủy quyền khác - Xin phép và vay tiền từ Jack Ma, quy trình sẽ ra sao?
Lần này tôi hỏi vay thêm 1 triệu. Jack Ma hào phóng quá lười gọi điện. Anh ta lấy trong túi ra một cuốn séc, điền vào. số tiền và anh ấy đã ký vào đó và đưa nó cho tôi. Tôi đã mang tấm séc này đến ngân hàng để đổi. Mặc dù lúc này ngân hàng không có biên bản ủy quyền nhưng với chữ ký của Jack Ma trên tấm séc, ngân hàng đã xác nhận tính xác thực của tấm séc và chuyển số tiền quy định cho tôi.
Tôi tin rằng bạn bè đã thấy sự khác biệt trong quy trình giữa hai quy trình này, vì một chức năng quan trọng trong ERC-20, đã bị cấm ngay sau ETH. đã được đưa lên mạng. Nó đã được sử dụng rộng rãi, vậy tại sao phương pháp Permit lại cần được đưa vào ERC-2612 sau này để đạt được hiệu quả tương tự?
Đề xuất ERC-2612 đã được đề xuất vào tháng 3 năm 2019 cho đến khi quá trình xem xét cuối cùng hoàn tất vào tháng 10 năm 2022. Sự ra mắt của nó và giá gas trên mạng chính ETH trong giai đoạn này Có trải qua nhiều đợt dâng trào không thể tách rời.
Ảnh: Giá gas mainnet ETH vẫn ở mức cao trong giai đoạn 2020-2022
Thị trường tăng trưởng bạo lực chồng chất hiệu ứng tạo ra của cải của các dự án mới trên chuỗi và chuỗi người dùng Mức độ nhiệt tình đối với các giao dịch trên blockchain rất cao và họ sẵn sàng trả phí cao hơn để nhận được giao dịch trên chuỗi nhanh hơn, bởi vì đôi khi tải lên trước một khối thường có nghĩa là lợi nhuận cao hơn.
Tuy nhiên, hậu quả của hiện tượng này là khi người dùng giao dịch token trên chuỗi, họ thường phải chịu phí gas cao. Theo quy trình Phương thức phê duyệt. mất 2 TX để hoàn thành việc hoán đổi mã thông báo Đối với người dùng có số tiền nhỏ, phí giao dịch đơn giản là một cơn ác mộng.
Giấy phép được giới thiệu bởi ERC-2612 thay đổi quy trình ủy quyền thành chữ ký ngoại tuyến. Nó không cần phải được tải lên chuỗi ngay lập tức. Nó chỉ cần được cung cấp khi. chuyển token, giống như tôi nhận được tấm séc Jack Horse trong truyện ngắn về việc vay tiền, tôi chỉ cần nộp tấm séc cho ngân hàng để xác minh khi rút tiền.
Người đàn ông bận rộn Jack Ma lưu một cuộc điện thoại, và dường như người dùng cũng tiết kiệm được một TX. Khi giá xăng cao, chi phí tiết kiệm được đáng kể. . Nó có vẻ là một kết thúc có hậu. Nhưng như mọi người đều biết, chiếc hộp Pandora cũng đang lặng lẽ mở ra...
Trước khi Permit xuất hiện, hacker đã đánh cá lấy tiền Một trong những cách để thu hút người dùng là xúi giục người dùng ký phê duyệt các giao dịch. Những giao dịch như vậy yêu cầu người dùng phải tiêu tốn xăng, điều này dễ gây ra cảnh báo và thất bại. Ngay cả khi người dùng nhấp chuột nhanh chóng, vì phải mất một khoảng thời gian nhất định để giao dịch được tải lên chuỗi, người dùng tỉnh táo lại có thể gửi ngay một giao dịch với cùng một nonce để lưu nó. tin tặc không dễ dàng thành công.
Sự xuất hiện của Permit chắc chắn là chiếc gối êm ái cho hacker. So với Approve, Permit không tốn xăng và chỉ yêu cầu chữ ký, điều này làm giảm sự cảnh giác của người dùng. . giảm bớt. Đồng thời, do đặc điểm của chữ ký ngoại tuyến, quyền chủ động nằm trong tay hacker. Không những người dùng không hề hối tiếc mà hacker còn có thể lợi dụng quyền để chọn thời điểm thích hợp để làm việc xấu và tối đa hóa lợi nhuận của mình. .
Tác động bất lợi của việc này là chúng ta có thể thấy số lượng nạn nhân lừa đảo và số tiền bị đánh cắp tăng lên. Theo thống kê từ @ScamSniffer:
Nạn nhân lừa đảo đã mất 295 triệu USD vào năm 2023.
Trong nửa đầu năm 2024, số tiền này đã vượt quá 314 triệu USD.
Vào cuối quý 3 năm 2024, một điều lớn đã xảy ra: địa chỉ ví bị nghi ngờ là Shenyu đã bị tấn công lừa đảo Permit, dẫn đến mất 12.000 $spWETH Trị giá 200 triệu RMB.
Ảnh: Báo cáo thống kê về cuộc tấn công lừa đảo nửa đầu năm 2024 của ScamSniffer
Cảnh như vậy được cho là nằm ngoài dự đoán của nhà phát triển đề xuất ban đầu. Mục đích ban đầu của giới thiệu Giấy phép là để giảm mức tiêu thụ gas của người dùng giúp cải thiện trải nghiệm và hiệu quả của người dùng. Tôi cứ tưởng đó là con dao hai lưỡi, vừa được vừa mất. Không ngờ nó lại là một con dao làm bếp lớn với một cạnh cực kỳ sắc bén, trực tiếp cắt đứt một con dao. lỗ hổng trong lá chắn bảo mật tài sản của người dùng.
Có nhiều phương thức ủy quyền chữ ký tương tự như Permit. Ví dụ: Permit2 được khởi chạy sau Uniswap cho phép tất cả các mã thông báo ERC-20 hỗ trợ chữ ký ngoại tuyến. Với tư cách là DEX số 1, động thái của UniSwap cũng làm tăng sự phụ thuộc của người dùng vào chữ ký ngoại tuyến và làm tăng nguy cơ bị lừa đảo.
Vậy, với tư cách là người dùng bình thường, đối mặt với con Damocles này... con dao làm bếp lớn treo trên đầu, chúng ta có thể làm gì để ngăn ngừa tổn thất?
Xử lý bình tĩnh Sự cám dỗ của airdrop
Airdrop từ các bên dự án tiền tệ thực sự rất phổ biến, nhưng hầu hết chúng là các cuộc tấn công lừa đảo dưới danh nghĩa airdrop giả . Khi gặp phải điều này Khi nhận được những thông tin như vậy, hãy đảm bảo không bị cuốn theo và "nhận" trực tiếp nó. Xác nhận tính xác thực và trang web chính thức của airdrop thông qua nhiều nguồn để tránh nhầm lẫn vào các trang web lừa đảo.
Tránh ký tên mù quáng
Nếu chẳng may bạn tham gia vào một trang lừa đảo website, nếu bạn chưa biết thì khi cửa sổ giao dịch hiện lên trong ví, bạn nên kiểm tra kỹ nội dung giao dịch. Khi các từ như Permit, Permit2, Approve, BoostAllowance, v.v. xuất hiện nghĩa là giao dịch đã được thực hiện. để tước bỏ ủy quyền mã thông báo và bạn nên cảnh giác vì quy trình phát sóng thông thường không yêu cầu điều này. Keystone cũng thực hiện phân tích và hiển thị giao dịch ở phía phần cứng. Người dùng có thể sử dụng phân tích giao dịch để tránh việc ký tên mù quáng và tránh những hậu quả nghiêm trọng do sự bốc đồng gây ra.
Hình ảnh: Ví phần cứng Keystone và Ví Rabby phân tích và hiển thị các giao dịch chữ ký Permit2
ScamSniffer
Là một người dùng bình thường, rất khó để xác định chính xác các URL lừa đảo gặp khó khăn, việc một số cá lọt qua lưới là điều không thể tránh khỏi. Với sự trợ giúp của plugin trình duyệt của ScamSniffer, người dùng sẽ nhận được lời nhắc từ plugin trước khi nhập URL lừa đảo đáng ngờ. Sau khi nhận được lời nhắc, người dùng có thể dừng tương tác kịp thời.
Thu hồi
Revoke.cash có thể hiển thị số tiền trong bản ghi ủy quyền mã thông báo trong ví của người dùng, chúng tôi khuyên bạn nên thu hồi các ủy quyền đáng ngờ và số lượng không giới hạn. Hãy phát triển thói quen xóa ủy quyền thường xuyên và cố gắng thực hiện ít ủy quyền hơn mức cần thiết.
Như đã nói, đừng đặt tất cả trứng của bạn vào một chỗ Trong giỏ, câu này cũng áp dụng cho tài sản tiền tệ. Ví dụ: chúng ta có thể lưu trữ số lượng lớn tài sản trong ví lạnh như Keystone và sử dụng ví nóng nhỏ để tương tác hàng ngày. Ngay cả khi chúng ta vô tình bị lừa, tài sản sẽ không bị đánh cắp.
Nếu có yêu cầu cao hơn về bảo mật, bạn có thể sử dụng đa chữ ký để cải thiện bảo mật hơn nữa. Đối với những nội dung đã được thêm vào đa chữ ký, nội dung chỉ có thể được chuyển khi số lượng đồng ý của ví đạt đến ngưỡng. Nếu một chiếc ví không đạt ngưỡng bị đánh cắp, hacker sẽ không thể chiếm được tài sản.
Chúng ta không thể phủ nhận giá trị mà Permit mang lại, nhưng trong những năm gần đây Càng nhiều vụ trộm cắp càng gây ra nhiều thiệt hại. Cũng giống như phương pháp ethsign trước đây, nó cũng được giới hacker thời đó ưa chuộng do khả năng đọc kém và tác hại lớn. Ngày nay, nó đã bị hầu hết các phần mềm ví chặn và bỏ đi, đồng thời các chức năng mà nó thực hiện cũng đã được thay thế bằng một số phương pháp an toàn hơn.
Tập trung vào Giấy phép, nó đã đạt đến ngã rẽ giống như ethsign từng phải đối mặt chưa? Việc cải tiến, nâng cấp hay từ bỏ nó đòi hỏi các nhà phát triển ETH phải dành chút thời gian suy nghĩ và thảo luận.
Một vụ lừa đảo tiền điện tử lớn ở Hàn Quốc đã dẫn đến việc bắt giữ 215 người, bao gồm một YouTuber đã sử dụng nền tảng của mình để quảng bá các chương trình đầu tư giả mạo. Vụ lừa đảo nhắm vào hơn 15.000 nhà đầu tư, lừa đảo họ khoảng 230 triệu đô la bằng cách bán các tài sản tiền điện tử vô giá trị và đưa ra những lời hứa sai sự thật về lợi nhuận cao.
JoyMột cuộc tấn công lừa đảo vào một nhà đầu tư tiền điện tử đã dẫn đến vụ đánh cắp 95,3 triệu token GIGA, trị giá hơn 6 triệu đô la, thông qua một liên kết Zoom giả mạo. Tin tặc đã nhanh chóng bán các token bị đánh cắp, chuyển đổi chúng thành Solana và stablecoin, và chuyển tiền vào các ví ẩn danh, trong khi nhà đầu tư hiện đang làm việc với cơ quan thực thi pháp luật để thu hồi tài sản.
WeatherlyFBI được cho là đã tịch thu các thiết bị của CEO Polymarket, Shayne Coplan, có thể liên quan đến dự đoán của nền tảng này về chiến thắng trong cuộc bầu cử của Trump. Mặc dù chưa có cáo buộc nào được đưa ra, các nguồn tin cho biết hoạt động thao túng thị trường đang được điều tra. Trong khi đó, cơ quan quản lý cờ bạc của Pháp có thể chặn hoạt động của Polymarket. Đây có phải là khởi đầu cho hồi kết của nền tảng cá cược phi tập trung này không?
CatherineGiữa chiến thắng trong cuộc bầu cử và việc bổ nhiệm nhân sự, Tổng thống đắc cử Trump đang tận dụng xu hướng Dogecoin bằng cách bán hàng hóa DOGE. Động thái này làm nổi bật bản năng kinh doanh liên tục của ông, ngay cả trong chính trị, khi Dogecoin đang có đà tăng ổn định.
KikyoTính năng "chạm để thanh toán" sắp tới của Coinbase Wallet nhằm mục đích cạnh tranh với các ứng dụng thanh toán nhanh như Venmo và Cash App, với mục tiêu tiếp cận 50 quốc gia vào năm 2025. Ngoài ra, mạng lưới Base của Coinbase đang nỗ lực giải quyết khả năng tương tác lớp 2 của Ethereum, có thể cho phép chuyển tiền liền mạch qua nhiều chuỗi trong vòng sáu tháng.
WeatherlyCộng hòa Tự do Liberland đã triển khai chương trình không gian của mình, nhằm mục đích dẫn đầu về đổi mới công nghệ và hợp tác toàn cầu thông qua một nền tảng mở cho các quốc gia và tổ chức tư nhân, không bị ràng buộc bởi các thủ tục hành chính.
CatherineRevolut X đang mở rộng trên 30 thị trường châu Âu, cung cấp các công cụ giao dịch tiền điện tử tiên tiến và bảo mật nâng cao. Nền tảng này phục vụ cho các nhà giao dịch nghiêm túc với quyền truy cập vào hơn 200 loại tiền điện tử và phí thấp, trong khi Revolut cũng phát triển một loại tiền ổn định để thanh toán xuyên biên giới nhanh hơn.
AnaisMột phụ nữ 32 tuổi đã bị buộc tội giết Kevin Mirshahi, mặc dù bất kỳ mối liên hệ nào với công việc mật mã của anh ta vẫn chưa được xác nhận. Được cho là đã chết từ tháng 8, Mirshahi gần đây đã được cảnh sát tìm thấy và xác định danh tính. Anh ta là một trong bốn người bị bắt cóc vào tháng 6, chỉ có anh ta vẫn mất tích cho đến bây giờ.
KikyoAi Palette, một công ty khởi nghiệp có trụ sở tại Singapore, sử dụng AI để phân tích hàng tỷ điểm dữ liệu, cung cấp cho các thương hiệu thông tin chi tiết theo thời gian thực để dự đoán xu hướng và tạo ra các sản phẩm thành công. Các công ty lớn như Diageo, Nestlé và PepsiCo đang áp dụng nền tảng của công ty này để đón đầu thị hiếu của người tiêu dùng và nhu cầu thị trường đang thay đổi.
AnaisZK International đang áp dụng thanh toán bằng tiền điện tử, bắt đầu bằng Bitcoin, để cải thiện tốc độ giao dịch và giảm chi phí cho thương mại toàn cầu. Động thái này nhằm mục đích đơn giản hóa các khoản thanh toán xuyên biên giới và cung cấp một hệ thống tài chính hiệu quả và linh hoạt hơn cho các đối tác quốc tế của mình.
Weatherly