Vào ngày 22 tháng 1 năm 2024, theo giám sát của nền tảng giám sát, cảnh báo sớm và ngăn chặn rủi ro bảo mật EagleEye của Beosin, một người chơi tiền điện tử lớn đã phải hứng chịu một cuộc tấn công lừa đảo, dẫn đến mất 4,2 triệu chìa khóa điểm mất mát chính là chữ ký Permit mà chúng ta thường nhắc đến.

Beosin và các nhà nghiên cứu bảo mật blockchain trước đó Spinach đã cùng nhau nghiên cứu và xuất bản "Chữ ký của bạn có bị đánh cắp không?" Nếu bạn đã sử dụng Uniswap, hãy cẩn thận! Bài viết nghiên cứu bảo mật "Secret Permit2 Signature Lừa đảo", bài viết mô tả chi tiết cách kẻ tấn công sử dụng chức năng allow2 để thực hiện các cuộc tấn công lừa đảo nhằm vào người dùng,Nguyên tắc tấn công được sử dụng trong vụ việc này giống như nguyên tắc allow2 được mô tả trong bài viết Các phương thức tấn công về cơ bản giống nhau, ngoại trừ giấy phép đó nhắm mục tiêu vào các hợp đồng erc20 hỗ trợ chức năng này, trong khi allow2 có thể nhắm mục tiêu vào tất cả các hợp đồng erc20.

Trong bài viết này, chúng ta hãy xem những kẻ tấn công thường sử dụng những gì để lừa người dùng ký thông tin gian lận, cũng như một số kỹ thuật phòng ngừa bảo mật. .

Lừa đảo chữ ký Permit là gì?

Chữ ký cấp phép là một cơ chế chữ ký số cụ thể được sử dụng để đơn giản hóa các hoạt động ủy quyền trong một số trường hợp nhất định. Đây là một phương pháp xác minh an toàn dựa trên nguyên tắc công nghệ chuỗi khối và mật mã.

Trong chữ ký số truyền thống, người ký cần có khóa riêng để ký dữ liệu cụ thể và truyền dữ liệu đã ký cùng với khóa chung tới Người xác minh. Người xác minh sử dụng khóa chung tương ứng để xác minh tính hợp lệ của chữ ký.

Tuy nhiên, việc cấp phép chữ ký lại có cách tiếp cận khác. Nó cho phép chủ sở hữu cấp quyền truy cập vào các hoạt động cụ thể cho người khác bằng cách ký một thông báo ủy quyền đặc biệt mà không cần truyền trực tiếp khóa riêng cho người được cấp phép.

Giấy phép lừa đảo chữ ký lợi dụng việc người dùng thiếu xác minh cẩn thận hoặc thiếu hiểu biết về các hoạt động được ủy quyền để có được quyền trái phép hoặc thông tin nhạy cảm. Cuộc tấn công này khai thác lòng tin của người dùng vào quy trình ủy quyền hoặc cơ chế chữ ký và đánh lừa người dùng tạo ra các hoạt động ủy quyền hoặc yêu cầu chữ ký giả mạo.

Các cuộc tấn công lừa đảo có chữ ký nào cho phép mà tin tặc thường sử dụng?

Yêu cầu ủy quyền giả mạo:

Tấn công Kẻ tấn công có thể tạo một yêu cầu ủy quyền có vẻ hợp pháp để đánh lừa lòng tin của người dùng. Điều này có thể liên quan đến các ứng dụng hoặc trang web giả mạo yêu cầu người dùng cung cấp ủy quyền hoặc chữ ký để thực hiện một hành động.

Hoạt động gây hiểu lầm cho người dùng:

Kẻ tấn công có thể đánh lừa Người dùng phạm sai lầm để thực hiện các cuộc tấn công. Ví dụ: họ có thể tạo một nút có vẻ vô hại nhưng thực tế lại kích hoạt một hành động được ủy quyền mà không có sự chấp thuận của người dùng.

Trang ủy quyền giả:

Kẻ tấn công có thể giả mạo A trang tương tự như trang ủy quyền thông thường để thu hút người dùng thực hiện các thao tác ủy quyền. Các trang này thường được thiết kế trông gần giống với các trang ủy quyền thông thường để đánh lừa người dùng tin rằng họ đang tương tác với một ứng dụng hoặc dịch vụ hợp pháp.

Kỹ thuật xã hội:

Kẻ tấn công có thể sử dụng kỹ thuật xã hội Các kỹ thuật, chẳng hạn như gửi email lừa đảo, tin nhắn văn bản hoặc tin nhắn trên mạng xã hội, nhằm hướng dẫn người dùng nhấp vào liên kết độc hại hoặc truy cập các trang ủy quyền giả mạo.

Làm cách nào để bảo vệ bản thân một cách an toàn?

Xem xét một số cuộc tấn công lừa đảo bằng chữ ký Permit, nhà nghiên cứu Spinach trước đây đã cung cấp cho chúng ta một số phương pháp phòng ngừa hiệu quả:

1 Hiểu và nhận biết nội dung chữ ký:

Định dạng chữ ký cấp phép thường bao gồm Chủ sở hữu, Người chi tiêu, giá trị, nonce và deadline là những định dạng chính. Nếu bạn muốn tận hưởng sự tiện lợi và chi phí thấp do Permit mang lại, bạn phải học cách nhận dạng định dạng chữ ký này. (Tải xuống các plug-in bảo mật là một lựa chọn phù hợp)

Chúng tôi đề xuất plugin chống lừa đảo Beosin Alert sau đây cho tất cả độc giả và bạn bè, plugin này có thể xác định hầu hết các trang web lừa đảo trong trường Web3 và bảo vệ tính bảo mật cho ví và tài sản của mọi người.

Tải xuống plugin chống lừa đảo:

https://chrome.google.com/webstore/detail/beosin-alert/lgbhcpagiobjacpmcgckfgodjeogceji?hl= vi

2 Sử dụng ví tài sản riêng và ví tương tác:

Nếu bạn có một lượng lớn tài sản, bạn nên đặt tài sản đó vào ví lạnh và đặt một lượng nhỏ tiền vào ví tương tác với chuỗi, điều này có thể giảm đáng kể tổn thất khi gặp phải các vụ lừa đảo.

3 Xác định bản chất của mã thông báo và liệu nó có hỗ trợ chức năng cấp phép hay không:

Trong tương lai, ngày càng nhiều mã thông báo ERC20 có thể sử dụng giao thức mở rộng này để triển khai chức năng cấp phép. Bạn cần chú ý xem mã thông báo bạn giữ có hỗ trợ chức năng này hay không. Nếu có thì đối với giao dịch hoặc thao tác mã thông báo Hãy hết sức cẩn thận và kiểm tra nghiêm ngặt xem mỗi chữ ký không xác định có phải là chữ ký của chức năng cấp phép hay không.

4 Nếu vẫn còn mã thông báo được lưu trữ trên các nền tảng khác sau khi bị lừa đảo, cần phải xây dựng một kế hoạch giải cứu hoàn chỉnh:

Khi bạn phát hiện mình đã bị lừa đảo và mã thông báo đã bị tin tặc chuyển đi nhưng bạn vẫn còn mã thông báo được lưu trữ trên các nền tảng khác thông qua đặt cược, v.v., bạn cần phải hãy rút chúng và chuyển chúng đến một địa chỉ an toàn. , khi đó bạn cần biết rằng hacker có thể đang theo dõi số dư token trong địa chỉ của bạn mọi lúc, bởi vì hắn có chữ ký của bạn. Miễn là các token xuất hiện trên địa chỉ bị đánh cắp của bạn, hacker có thể chuyển chúng trực tiếp. Tại thời điểm này, cần phải phát triển một quy trình giải cứu mã thông báo hoàn chỉnh. Hai quy trình rút mã thông báo và chuyển mã thông báo cần phải được thực hiện cùng nhau và không thể chèn các giao dịch của hacker vào chúng. Có thể sử dụng chuyển MEV, điều này đòi hỏi một số kiến ​​thức về blockchain và mã.Nếu bạn có các kỹ năng cơ bản, bạn cũng có thể tìm một công ty bảo mật chuyên nghiệp như nhóm Beosin để sử dụng các tập lệnh chạy trước giao dịch để đạt được điều đó.