Khám Phá Trò Lừa Bịp Ký Tên Uniswap Permit2

Tin tặc là một sự hiện diện đáng sợ trong hệ sinh thái Web3. Đối với các dự án, mã nguồn mở khiến họ cảm thấy như đi trên băng mỏng khi phát triển, sợ rằng sẽ để lại lỗ hổng dẫn đến sự cố an ninh. Đối với người dùng cá nhân, mỗi lần tương tác trên chuỗi hoặc ký tên đều có thể khiến tài sản đối mặt với rủi ro bị đánh cắp. Do đó, vấn đề an ninh luôn là một trong những điểm đau của thế giới tiền điện tử. Đặc tính không thể đảo ngược của blockchain cũng có nghĩa là tài sản bị đánh cắp gần như không thể lấy lại, điều này càng làm nổi bật tầm quan trọng của kiến thức về an ninh.

Gần đây, một nhà nghiên cứu an ninh blockchain đã phát hiện ra một phương pháp lừa đảo mới, chỉ cần một chữ ký có thể dẫn đến việc tài sản bị đánh cắp. Phương pháp này rất tinh vi và khó phòng ngừa, và bất kỳ địa chỉ nào đã từng sử dụng Uniswap đều có thể bị rủi ro. Bài viết này sẽ phân tích chi tiết phương pháp lừa đảo chữ ký này, nhằm giúp mọi người tránh được thiệt hại tài sản nhiều hơn.

Diễn biến sự kiện

Gần đây, một người dùng ( có tên là A) đã tìm kiếm sự giúp đỡ sau khi tài sản trong ví của họ bị đánh cắp. Khác với các phương thức đánh cắp thông thường, A( không tiết lộ khóa riêng, cũng không tương tác với các hợp đồng đáng ngờ. Qua điều tra, phát hiện rằng USDT của A) đã được chuyển qua hàm Transfer From, điều này có nghĩa là địa chỉ bên thứ ba đã thao tác để chuyển tài sản, chứ không phải do khóa riêng bị lộ.

Tiến hành tra cứu chi tiết giao dịch, phát hiện manh mối quan trọng:

• Địa chỉ kết thúc bằng fd51 đã chuyển tài sản của nhỏ A đến địa chỉ kết thúc bằng a0c8
• Hành động này tương tác với hợp đồng Permit2 của Uniswap.

Vấn đề là, địa chỉ kết thúc bằng fd51 đã nhận được quyền thao tác tài sản của nhỏ A như thế nào? Tại sao lại liên quan đến Uniswap?

Câu trả lời nằm trong hồ sơ tương tác của địa chỉ có đuôi số fd51. Trước khi chuyển tài sản của nhỏ A, địa chỉ này cũng đã thực hiện một thao tác Permit, đối tượng tương tác cũng là hợp đồng Permit2 của Uniswap.

Uniswap Permit2 là hợp đồng mới được ra mắt vào cuối năm 2022, nhằm mục đích thực hiện quản lý ủy quyền thống nhất giữa các ứng dụng, nâng cao trải nghiệm người dùng và giảm chi phí giao dịch. Cốt lõi của nó là chuyển đổi thao tác của người dùng từ tương tác trên chuỗi thành ký hiệu ngoài chuỗi, được thực hiện bởi vai trò trung gian ( như hợp đồng Permit2 ).

Mặc dù giải pháp này có thể giảm chi phí tương tác của người dùng, nhưng cũng mang lại rủi ro mới. Chữ ký ngoài chuỗi là phần mà người dùng dễ dàng phớt lờ nhất, nhiều người sẽ không kiểm tra kỹ nội dung chữ ký.

Điều kiện quan trọng để tái hiện phương pháp lừa đảo này là: ví bị lừa cần có Token được ủy quyền cho hợp đồng Permit2 của Uniswap. Hiện tại, chỉ cần thực hiện Swap trên Dapp đã tích hợp Permit2 hoặc trên Uniswap, đều cần thực hiện quyền ủy quyền này.

Điều đáng chú ý hơn nữa là hợp đồng Permit2 của Uniswap sẽ mặc định cho phép người dùng ủy quyền toàn bộ số dư của Token đó. Mặc dù ví sẽ hiển thị thông báo để nhập số tiền tùy chỉnh, nhưng hầu hết mọi người có thể sẽ chọn giá trị tối đa hoặc giá trị mặc định, và giá trị mặc định của Permit2 là hạn mức không giới hạn.

Điều này có nghĩa là, chỉ cần bạn đã tương tác với Uniswap và cấp quyền cho hợp đồng Permit2 sau năm 2023, bạn có thể bị rủi ro trong trò lừa bịp này.

Tin tặc sử dụng hàm Permit, thông qua chữ ký của người dùng để chuyển nhượng hạn mức Token được người dùng ủy quyền cho hợp đồng Permit2 đến địa chỉ khác. Một khi có được chữ ký, tin tặc có thể điều khiển quyền Token trong ví của người dùng và chuyển nhượng tài sản.

Làm thế nào để phòng ngừa?

Xem xét rằng hợp đồng Uniswap Permit2 có thể trở nên phổ biến hơn, nhiều dự án có thể tích hợp nó để chia sẻ quyền hạn, dưới đây là một số biện pháp phòng ngừa hiệu quả:

1. Hiểu và nhận diện nội dung chữ ký: Học cách nhận diện định dạng chữ ký Permit, sử dụng plugin an toàn để hỗ trợ nhận diện.

2. Tách biệt ví tài sản và ví tương tác: Lưu trữ tài sản lớn trong ví lạnh, ví tương tác hàng ngày chỉ giữ một lượng nhỏ tiền.

3. Giới hạn hạn mức ủy quyền hoặc hủy ủy quyền: Khi Swap trên Uniswap, chỉ ủy quyền số tiền cần thiết, hoặc sử dụng plugin an toàn để hủy ủy quyền đã có.

4. Nhận diện xem token có hỗ trợ chức năng permit hay không: Quan tâm đến các token mình nắm giữ có hỗ trợ chức năng này hay không, cần đặc biệt cẩn trọng với các giao dịch của token hỗ trợ.

5. Lập kế hoạch cứu trợ tài sản hoàn chỉnh: Nếu còn token tồn tại trên các nền tảng khác sau khi bị đánh cắp, cần thận trọng lập kế hoạch rút và chuyển nhượng, có thể xem xét sử dụng chuyển nhượng MEV hoặc tìm kiếm sự hỗ trợ từ đội ngũ an ninh chuyên nghiệp.

Khi phạm vi ứng dụng của Permit2 mở rộng, các phương pháp lừa đảo dựa trên nó có thể ngày càng gia tăng. Cách lừa đảo bằng chữ ký này cực kỳ tinh vi và khó phòng ngừa, các địa chỉ bị rủi ro cũng sẽ ngày càng tăng. Hy vọng bài viết này có thể giúp nhiều người hiểu và phòng ngừa loại trò lừa bịp mới này, bảo vệ tốt tài sản kỹ thuật số của mình.

![Ký tên thì bị đánh cắp? Khám phá trò lừa bịp chữ ký Uniswap Permit2]https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp