Mua Crypto
Thanh toán bằng
USD
USD
Mua & Bán
HOT
Mua và bán tiền điện tử qua Apple Pay, thẻ, Google Pay, chuyển khoản ngân hàng, v.v.
P2P tiền (P2P)
0 Fees
Mua và bán tiền điện tử với đa dạng tùy chọn
Thẻ Gate
Thẻ thanh toán tiền điện tử, cho phép giao dịch toàn cầu liền mạch.
Thị trường
Giao dịch
Loại giao dịch
Công cụ giao dịch
Futures
Futures
Hàng trăm hợp đồng được thanh toán bằng USDT hoặc BTC
Quyền chọn
HOT
Giao dịch với các quyền chọn kiểu Châu Âu
Tài khoản hợp nhất
Tối đa hóa hiệu quả sử dụng vốn của bạn
Bắt đầu với Hợp đồng
Nắm vững kỹ năng giao dịch hợp đồng từ đầu
Sự kiện tương lai
Tham gia các sự kiện để giành được những phần thưởng hậu hĩnh
Giao dịch demo
Sử dụng tiền ảo để trải nghiệm giao dịch không rủi ro
Kiếm tiền
Khởi động
CandyDrop
Sưu tập kẹo để kiếm airdrop
Launchpool
Thế chấp nhanh, kiếm token mới tiềm năng
HODLer Airdrop
Nắm giữ GT và nhận được airdrop lớn miễn phí
Launchpad
Đăng ký sớm dự án token lớn tiếp theo
Điểm Alpha
NEW
Giao dịch tài sản on-chain và tận hưởng phần thưởng airdrop!
Điểm Futures
NEW
Kiếm điểm futures và nhận phần thưởng airdrop
Đầu tư
Cộng đồng
Trung tâm
Gate Fun
Chia sẻ bài đăng của bạn và cập nhật thông tin về tiền điện tử và hơn thế nữa
Live
moments live
Livestream phân tích thịtrường mỗi ngày
Chat
Giao Lưu Với Các Nhà Giao Dịch Khác
Tin nhanh
Tin tức tiền điện tử mớinhất
web3
Web3
Thêm
Khuyến mãi
Hướng dẫn cho người mới bắt đầu
giveaways
Trung tâm phần thưởng
Trung tâm
Mới nhất
Hot
Tin nhanh
Hồ sơ

Một vụ tấn công trị giá 440.000 USD tiết lộ điều gì về mối đe dọa ngày càng tăng của các trò lừa đảo “ủy quyền” trên Ethereum

MerkleDreamervip

image

Nguồn: PortaldoBitcoin Tiêu đề gốc: Một cuộc tấn công trị giá 440.000 USD tiết lộ về mối đe dọa ngày càng tăng của các vụ lừa đảo “cho phép” trên Ethereum Liên kết gốc: Một hacker đã đánh cắp hơn 440.000 USD bằng USDC sau khi chủ sở hữu một ví đã ký, mà không biết, một chữ ký độc hại về “cho phép”.

Vụ trộm xảy ra trong bối cảnh tăng các tổn thất do lừa đảo qua phishing. Khoảng 7,77 triệu USD đã bị mất của hơn 6.000 nạn nhân vào tháng 11, tăng 137% tổng thiệt hại so với tháng 10, mặc dù số lượng nạn nhân giảm 42%.

“Cuộc săn cá mập đã trở nên dữ dội hơn, với thiệt hại tối đa là 1,22 triệu USD (chữ ký cho phép). Mặc dù số lượng các cuộc tấn công giảm, nhưng thiệt hại của từng vụ đã tăng đáng kể”.

Các vụ lừa đảo dựa trên cho phép là gì?

Các trò lừa đảo dựa trên cho phép bao gồm việc lừa người dùng ký một giao dịch trông có vẻ hợp pháp, nhưng thực chất, điều này cấp quyền cho kẻ tấn công chi tiêu các token của họ. Các ứng dụng phi tập trung (dapps) độc hại có thể làm giả các trường, giả mạo tên hợp đồng hoặc trình bày yêu cầu ký như một hoạt động thông thường.

Nếu người dùng không kiểm tra kỹ các chi tiết, việc ký yêu cầu sẽ cấp quyền cho kẻ tấn công truy cập tất cả các token ERC-20 của người dùng. Sau khi quyền được cấp, các hacker thường rút hết tiền ngay lập tức.

Phương pháp này khai thác chức năng quyền của Ethereum, được thiết kế để tạo điều kiện cho các giao dịch chuyển token, cho phép người dùng ủy quyền quyền chi tiêu cho các ứng dụng đáng tin cậy. Sự tiện lợi này trở thành một lỗ hổng khi các quyền này bị cấp cho kẻ tấn công.

“Điều đặc biệt phức tạp trong loại tấn công này là kẻ tấn công có thể thực hiện cả phép cấp quyền và chuyển token trong một giao dịch (một cách tiếp cận ‘đập rồi lấy’) hoặc có thể truy cập thông qua quyền và sau đó nằm bất động, chờ đợi để chuyển các khoản tiền được thêm vào sau đó (miễn là họ đặt thời hạn truy cập đủ dài trong siêu dữ liệu của chức năng cấp quyền).”

“Thành công của loại lừa đảo này phụ thuộc vào việc bạn ký một thứ gì đó mà không hiểu rõ chuyện sẽ xảy ra. Tất cả đều liên quan đến sự dễ bị tổn thương của con người và việc lợi dụng sự ngây thơ của mọi người.”

Có nhiều ví dụ về các vụ lừa đảo phishing có giá trị và khối lượng lớn, được tạo ra để đánh lừa người dùng và khiến họ ký những thứ họ không hiểu hết. Thường thì, các trò lừa đảo này được ngụy trang thành các chương trình phát tiền miễn phí, các trang đích giả của dự án để liên kết ví của bạn hoặc các cảnh báo an ninh giả mạo.

Cách tự bảo vệ

Các nhà cung cấp ví kỹ thuật số đã triển khai nhiều chức năng bảo vệ hơn. MetaMask, ví dụ, cảnh báo người dùng nếu một trang web trông đáng ngờ và cố gắng dịch dữ liệu giao dịch sang ngôn ngữ dễ hiểu cho con người. Các ví khác cũng làm nổi bật các hành động có rủi ro cao. Nhưng các hacker vẫn tiếp tục thích nghi.

Khuyên người dùng kiểm tra địa chỉ của người gửi và chi tiết hợp đồng. “Đây là cách rõ ràng nhất để biết liệu giao thức có phù hợp với mục đích thực sự của quỹ hay không, vì có thể ai đó đang cố gắng đánh cắp chúng. Bạn có thể kiểm tra số tiền; nhiều khi, họ cố gắng cấp quyền vô hạn.”

Việc giám sát vẫn là phương pháp bảo vệ tốt nhất của người dùng. “Cách tốt nhất để tự bảo vệ khỏi các trò lừa đảo kiểu ‘permit’ là đảm bảo rằng bạn biết rõ những gì mình đang ký. Các hành động nào sẽ thực sự được thực hiện trong giao dịch? Các chức năng nào đang được sử dụng? Chúng có phù hợp với những gì bạn nghĩ mình đang ký không?”

“Nhiều ví và ứng dụng phi tập trung đã nâng cao giao diện người dùng để đảm bảo bạn không ký một cách mù quáng và có thể xem kết quả, ngoài ra còn hiển thị cảnh báo về các chức năng rủi ro cao. Tuy nhiên, người dùng cần chủ động kiểm tra những gì họ đang ký và không chỉ kết nối ví rồi nhấn ký.”

Một khi bị đánh cắp, khả năng khôi phục quỹ là rất thấp. Trong các cuộc tấn công phishing, bạn đang đối mặt với cá nhân chỉ mục đích là đánh cắp quỹ của bạn. Không có đàm phán, không có điểm liên hệ và thường không có ý tưởng về phía bên kia.

“Những kẻ tấn công này chơi với các con số. Một khi tiền đã đi, thì mãi mãi mất. Việc phục hồi gần như không thể.”

ETH0.69%
USDC0.01%
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
  • Phần thưởng
  • Bình luận
  • Đăng lại
  • Retweed
Bình luận
0/400
Không có bình luận
  • Ghim
sơ đồ trang web